При запуске Windows открывается FireFox с рекламным сайтом

[RussiaRuleZzZ]

Здравствуйте.

Собственно проблема: после загрузки Windows 7 Firefox сам открывается и кидает на рекламный сайт.

Проверка КИС, Drweb - ничего не дала.

Запускал adwcleaner_6.000 - но программа в конце выдает ошибку и все (запускал от администратора, и КИС выключал, пробовал в безопасном режиме и т.д. - ошибка остается).

Лог прикладываю.

CollectionLog-2016.08.21-20.00.zip

[SQ]

Здравствуйте,

HiJackThis профиксить

R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1444412664&z=c2ea94e9170fea38b33bc5eg1z5zazbz9g2o1zaw3o&from=cor&uid=WDCXWD10EZEX-08M2NA0_WD-WMC3F289210492104
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [RussiaRuleZzZ] explorer.exe http://sd-steam.info
O4 - MSConfig\startupreg:  [AceWebException] C:\Users\RussiaRuleZzZ\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe (2016/08/21)
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - (no file)
O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\RussiaRuleZzZ\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe','');
 QuarantineFile('C:\Windows\SysWow64\WinVDEdrv6.sys','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RussiaRuleZzZ');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceWebException','command');
 DeleteFile('C:\Users\RussiaRuleZzZ\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\RussiaRuleZzZ','64');
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[RussiaRuleZzZ]

Здравствуйте.

1.HiJackThis

 были только

O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

O4 - HKCU\..\Run: [RussiaRuleZzZ] explorer.exe http://sd-steam.info

 

Остальные не нашел.

2.AVZ выполнить следующий скрипт.

 

Скрипт прошел с ошибками. Какими -не могу сказать, теста не было видно, но он там был красный. После завершения - папка карантин пустая.

 

 

3. Подготовьте лог AdwCleaner и приложите его в теме.

До конца не доходит выдает ошибку (см. вложение)

 

После проведенного скрипта и автоматической перезагрузки - винда загрузилась без автоматического открывания firefox, но не знаю. Так как и до этого так было, а потом постоянно открывалось.

[SQ]

Здравствуйте.

1.HiJackThis

 были только

O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

O4 - HKCU\..\Run: [RussiaRuleZzZ] explorer.exe http://sd-steam.info

 

Профиксите в HiJackThis используя версию HiJackThis из каталога AutoLogger.

 

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[RussiaRuleZzZ]

Здравствуйте.

1. По поводу HiJackThis, если суммировать, то пофиксил все, кроме:

O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) - так и не нашел.

 

2. Прикладываю результаты Farbar Recovery Scan Tool

Addition.txt

FRST.txt

[SQ]

Знакома ли Вам?

2015-09-17 22:43 - 2015-09-17 22:43 - 0000016 ____H () C:\Program Files (x86)\Common Files\dys1-astg
2015-09-06 08:57 - 2015-09-06 08:57 - 0000016 ____H () C:\Program Files (x86)\Common Files\ins1-astg
2015-09-06 10:09 - 2015-09-06 10:09 - 0000016 ____H () C:\Program Files (x86)\Common Files\mir1-astg
2015-10-22 00:07 - 2015-10-22 00:07 - 0000016 ____H () C:\Program Files (x86)\Common Files\pcs2-astg
2015-09-05 10:27 - 2015-09-05 10:27 - 0000016 ____H () C:\Program Files (x86)\Common Files\vs1-astg
2015-09-12 09:19 - 2015-09-12 09:19 - 0000016 ____H () C:\Program Files (x86)\Common Files\ws1-astg
2015-09-17 22:43 - 2015-09-17 22:43 - 0000011 ____H () C:\ProgramData\.dys1sfi
2015-09-06 08:57 - 2015-09-06 08:57 - 0000011 ____H () C:\ProgramData\.ins1sfi
2015-09-06 10:09 - 2015-09-06 10:09 - 0000011 ____H () C:\ProgramData\.mir1sfi
2015-10-22 00:07 - 2015-10-22 00:07 - 0000016 ____H () C:\ProgramData\.pcs2sfi
2015-09-05 10:27 - 2015-09-05 10:27 - 0000016 ____H () C:\ProgramData\.vs1sfi
2015-09-12 09:19 - 2015-09-12 09:19 - 0000016 ____H () C:\ProgramData\.ws1sfi

Сами настраивали ограничения в локальной групповой политике?

GroupPolicyScripts: Restriction <======= ATTENTION

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-2402323723-3342178928-1934409909-1000\...\Policies\Explorer: []
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  BHO: Hotspot Shield Class -> {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -> C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll => No File
  Toolbar: HKU\S-1-5-21-2402323723-3342178928-1934409909-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  Toolbar: HKU\S-1-5-21-2402323723-3342178928-1934409909-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll [No File]
  FF Plugin HKU\S-1-5-21-2402323723-3342178928-1934409909-1000: @onlive.com/OnLiveGameClientDetector,version=1.0.0 -> C:\Program Files (x86)\OnLive\Plugin\npolgdet.dll [No File]
  FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => not found
  CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
  Zip: C:\Windows\SysWow64\WinVDEdrv6.sys
  Folder: C:\Users\RussiaRuleZzZ\dwhelper
  CustomCLSID: HKU\S-1-5-21-2402323723-3342178928-1934409909-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\RussiaRuleZzZ\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-2402323723-3342178928-1934409909-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\RussiaRuleZzZ\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
  Task: {21370F7D-CB69-46E3-B3F3-A3C559BA87A0} - \GoogleUpdateTaskUserS-1-5-21-2402323723-3342178928-1934409909-1000UA -> No File <==== ATTENTION
  Task: {3181DA34-7BA6-4800-8DFB-988256DE8469} - \GoogleUpdateTaskUserS-1-5-21-2402323723-3342178928-1934409909-1000Core -> No File <==== ATTENTION
  Task: {5931581B-6B4D-472F-B662-74642D298C30} - \RussiaRuleZzZ -> No File <==== ATTENTION
  Task: {699B510F-8589-4BEA-AE5A-516E112A7241} - System32\Tasks\{1DC48BF4-153D-4BE1-A379-1F9C209DDCBE} => pcalua.exe -a C:\Users\RussiaRuleZzZ\AppData\Local\Temp\Temp1_RealtekALC883_Audio_V51005391_V6015391.zip\Audio\AsusSetup.exe <==== ATTENTION
  Task: {71FF7CF0-6C48-48AF-A1BF-DFE619A07399} - \WPD\SqmUpload_S-1-5-21-2402323723-3342178928-1934409909-1000 -> No File <==== ATTENTION
  Task: {CFEEDB56-6BF9-47BE-805C-13FDED1162AD} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  Task: {D67A9FEB-8206-427A-B393-09563DB8387D} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Task: {DFC430E2-8F59-4763-8998-ED6CFA807BD0} - \Launch HTC Sync Loader -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\TEMP:BF14D50A [244]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:BF14D50A [244]
  HKU\S-1-5-21-2402323723-3342178928-1934409909-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  
  Файл Upload.zip с рабочего стола, отправьте по адресу newvirus@kaspersky.com..

[RussiaRuleZzZ]

1. Знакома ли Вам?

Ответ да, это чисто файлы дополнения для Adobe illustrator

2. Сами настраивали ограничения в локальной групповой политике?

нет. Ну или возможно когда-то, но уже не помню
 

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите.

 

провел

 

Файл Upload.zip - пустой архив

[SQ]

Сообщите, что с проблемой?

[RussiaRuleZzZ]

Автоматическое открытие браузера с киданием на сайт зодиак - пропал еще пару постов назад. Но мне не  очень понятно, как сделать вывод, что опасное ПО не сидит где-то скрытно? И почему его на находит КИС изначально? Т.е. вредоностная прога откровенно запускает там какие-то процессы, а КИСу вообще до лампочки )

Изменено 23 августа, 2016 пользователем RussiaRuleZzZ

[SQ]

Но мне не  очень понятно, как сделать вывод, что опасное ПО не сидит где-то скрытно? И почему его на находит КИС изначально? Т.е. вредоностная прога откровенно запускает там какие-то процессы, а КИСу вообще до лампочки )

В логах ничего плохого не вижу. Не все вредоносные программы являются вирусами, убедитесь, чтобы в настройках KIS было выбрано "Обнаруживать другие программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя" (Настройки -> Дополнительно -> Угрозы и исключения), т.к. по умолчанию данная опция отключена.

 

Сделайте лог полного сканирования МВАМ

[RussiaRuleZzZ]

Здравствуйте.

Спасибо за помощь.

 

по поводу:

Сделайте лог полного сканирования МВАМ

 

я ее уже качал до этого, она тупо вертит "обновление" и больше ничего не делает. Обновить она так и не обновляет и проверку не начинает. В общем фиг с ней.

Еще раз спасибо.

[SQ]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.

 

2. Запустите DelFix.

Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

 

3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

 

4. Нажмите на кнопку Run.

 

5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)

 

6. Прикрепите этот отчет в вашей теме.

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[RussiaRuleZzZ]

Здравствуйте.

Отчет прилагаю

 

DelFix.txt

[SQ]

На этом всё!