explorer.exe http //kb-ribaki.org

[nikopol]

Добрый день!

 

После загрузки ОС открывается рекламный сайт, в реестре постоянно появляется explorer.exe http //kb-ribaki.org

 

Как я понимаю для каждого конкретного пользователя решение свое

 

 

CollectionLog-2016.08.24-15.21.zip

Изменено 24 августа, 2016 пользователем nikopol

[SQ]

Здравствуйте,


Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[nikopol]

Здравствуйте,

 

 

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

 

Извините подправил (добавил нужный файл логов), И кажется я нашел

вот тут лежит файл добавляющий сайт в реестр. Если удалить проблема решиться?

 

C:\WINDOWS\system32\Tasks\

Изменено 24 августа, 2016 пользователем nikopol

[SQ]

Знакома ли Вам?
 

O4 - HKLM\..\StartupApproved\Run32: [{21C345D0-D0EB-45C3-9991-791E50FBCEF2}] C:\Users\Vitaly\AppData\Local\Temp\GLB5693.tmp C:\Users\Vitaly\AppData\Local\Temp\GLF62FB.tmp\settings.ini (2016/08/11)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\WINDOWS\system32\Tasks\Vitaly','64');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


- Подготовьте лог AdwCleaner и приложите его в теме.

[nikopol]

 

Знакома ли Вам?

 

O4 - HKLM\..\StartupApproved\Run32: [{21C345D0-D0EB-45C3-9991-791E50FBCEF2}] C:\Users\Vitaly\AppData\Local\Temp\GLB5693.tmp C:\Users\Vitaly\AppData\Local\Temp\GLF62FB.tmp\settings.ini (2016/08/11)

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\WINDOWS\system32\Tasks\Vitaly','64');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

- Подготовьте лог AdwCleaner и приложите его в теме.

 

 

нет,

спасибо скрипт помог. Это программа ничего не находила, и логов как я понимаю нет AdwCleaner

Изменено 24 августа, 2016 пользователем nikopol

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[nikopol]

Cделал держите

спасибо еще раз

Addition.txt

FRST.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [{21C345D0-D0EB-45C3-9991-791E50FBCEF2}] => C:\Users\Vitaly\AppData\Local\Temp\GLB5693.tmp C:\Users\Vitaly\AppData\Local\Temp\GLF62FB.tmp\settings.ini <===== ATTENTION
  CHR HKU\S-1-5-21-2356421392-3664768952-1503122419-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
  Folder: C:\Users\Vitaly\AppData\Roaming\Sun
  2016-08-07 21:50 - 2016-08-07 21:50 - 00000000 ____H C:\Users\Все пользователи\DP45977C.lfl
  2016-08-07 21:50 - 2016-08-07 21:50 - 00000000 ____H C:\ProgramData\DP45977C.lfl
  Folder: C:\WINDOWS\system32\DAX2
  Folder: C:\$SysReset
  C:\Users\Vitaly\AppData\Local\Temp\temp~.DLL
  C:\Users\Vitaly\AppData\Local\Temp\temp~.EXE
  Task: {0866133B-B28A-4566-B546-FA6B4BCFAD35} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
  Task: {10E0A57A-D95F-4610-A86D-0DC8E7914C20} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verification => C:\Program Files\Windows Defender\\MpCmdRun.exe [2016-07-16] (Microsoft Corporation)
  Task: {1101E5A7-AC2A-4214-8901-4C588392C047} - \Vitaly -> No File <==== ATTENTION
  Task: {33CC07D9-9BE3-4D5A-BC74-C0150E10EBBF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
  Task: {3718374F-D4AD-4E16-8001-1ADEC46D423E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
  Task: {5A7461A0-0EDE-4222-85B1-6C23224B8DCA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
  Task: {78DA72FE-CD83-48D0-B3A5-33493C80D360} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
  Task: {82647D16-6574-4CBA-A275-26F641575EFE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
  Task: {B29B6AC6-2DAA-41C8-838A-225A64E2762B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
  Task: {EB0BA2D1-E0E4-4C9C-A361-47EE15F1DCBD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
  Task: {EB5FC3FC-A040-4B8E-9F46-EABF8AAB6667} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
  Task: {EDEE743D-FA8E-4680-B379-4255094DCAEB} - \{AAA951AF-0D47-48EF-9070-B6FA37124B9C} -> No File <==== ATTENTION
  Task: {FAEA9C22-BB93-41F7-B02B-B5F50F4F5CB8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
  Task: {FBF85A84-5C9D-41CC-AE62-82CD551C5A1B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [282]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [138]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\{21C345D0-D0EB-45C3-9991-791E50FBCEF2}]
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[nikopol]

Сделал. Но страница опять появилась

 

 

Fixlog.txt

[SQ]

 

Сделайте лог полного сканирования МВАМ

[nikopol]

Сделайте лог полного сканирования МВАМ

 

Сделал

mbam.txt

Изменено 25 августа, 2016 пользователем nikopol

[SQ]

Удалите в MBAM:

PUP.Optional.StartPage.USACVAR, HKU\S-1-5-21-2356421392-3664768952-1503122419-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Vitaly, explorer.exe http://kb-ribaki.org, , [9359c589207a77bf65bd329240c44db3]

[nikopol]

 

Удалите в MBAM:

PUP.Optional.StartPage.USACVAR, HKU\S-1-5-21-2356421392-3664768952-1503122419-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Vitaly, explorer.exe http://kb-ribaki.org, , [9359c589207a77bf65bd329240c44db3]

 

Удалил, будем наблюдать. Спасибо

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[nikopol]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

 

Сделал

LOREIN_2016-08-25_12-52-57.7z