Вирус, заполняющий страницы рекламой

[Ivan Vodin]

Поймал вирус, который заполняет открываемые в браузере страницы рекламой. После открывания страницы, спустя несколько секунд, поверх страницы открывается окно (практически во весь экран) с рекламой. Если закрыть рекламу крестом в кружочке, в отдельной вкладке открывается новое окно на незапрашиваемые сайты. Кроме того, на просматриваемых страницах появляются (встраиваются) отдельные блоки с рекламной информацией.

Пробовал удалить вирус при помощи Касперского, Доктора Веба, CEZURITY, VIPRE. Безуспешно
Антивирусы ничего не видят.

Доктор Веб только лишь "...не рекомендует посещать данный сайт...", а Firefox вывел сообщение: "... Firefox заблокировал 226 всплывающих окон с данного сайта..."

Прилагаю к сообщению файл протоколов (логов) CollectionLog-2016.11.09-00.29.zip и два скриншота экранов (блокировка сайтов антивирусом).
 

CollectionLog-2016.11.09-00.29.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Ivan Vodin]

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

Sandor, большое спасибо!

Кажется, эта зараза убита!

По крайней мере, больше не появляется

Тфу, тфу, тфу...

 

Я уже было отчаялся. Полагал, что придётся переустанавливать всю систему...

 

Повторно продиагностировал компьютер.

Логи прилагаю.

 

А почему антивирусы не видят эту рекламную нечисть?

CollectionLog-2016.11.10-19.58.zip

[Sandor]

Не спешите.

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ivan Vodin]

Эту заразу вообще можно убить?

До сегодняшнего дня всё было нормально.

Сегодня началось....

Обидно ведь, никуда особо не лазил.

Просматривал Яндекс-новости
https://news.yandex.ru/
http://news-clck.yandex.ru/

Перешёл на сайт
http://www.spbdnevnik.ru/news/

Опять на
https://news.yandex.ru/
http://news-clck.yandex.ru/

И тут появились странные ссылки на непонятные сайты:
http://ps4ux.com/
http://yxo.warmportrait.com/sd/dw32.html
http://10990-29778979.ampxchange.com/

После этого опять во весь экран стала появляться всплывающая реклама и открываться ссылки в самооткрывающихся окнах...
:crying:
 

CollectionLog-2016.11.26-21.25.zip

report1.log

report2.log

[Roman_Five]

 

 

Прикрепите отчеты к своему следующему сообщению.

речь шла про FRST

[Ivan Vodin]

 

Прикрепите отчеты к своему следующему сообщению.

речь шла про FRST

 

Прикрепляю FRST.txt, Addition.txt, Shortcut.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Амиго

Интернет

Служба автоматического обновления программ

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellExecuteHooks:  - {16664848-0E00-11D2-8059-000000000000} -  No File [ ]
ShellIconOverlayIdentifiers: [0YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} =>  No File
ShellIconOverlayIdentifiers: [0YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} =>  No File
ShellIconOverlayIdentifiers: [0YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} =>  No File
ShellIconOverlayIdentifiers: [0YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} =>  No File
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
BHO: VIPRE Search Guard Helper -> {963C8283-AE7F-4AA6-9B3B-847A8FC62C5E} -> C:\Program Files\VIPRE\VSG.dll => No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKLM - VIPRE Search Guard Toolbar - {A924C17A-5E94-4E02-BED5-49720BA6F7FA} -  No File
Toolbar: HKU\S-1-5-21-1220945662-1303643608-725345543-1003 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1220945662-1303643608-725345543-1005 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Handler: vipresg - {47BE2E5B-703B-444F-ABD3-05717D2191C6} - C:\Program Files\VIPRE\VSG.dll No File
FF DefaultSearchEngine: C:\Documents and Settings\Vitaliy\Application Data\Mozilla\Firefox\Profiles\h75fpnm6.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: C:\Documents and Settings\Vitaliy\Application Data\Mozilla\Firefox\Profiles\h75fpnm6.default -> Поиск@Mail.Ru
FF Keyword.URL: C:\Documents and Settings\Vitaliy\Application Data\Mozilla\Firefox\Profiles\h75fpnm6.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BCEC432FC-B69B-4E28-9796-89767863F571%7D&gp=811002
FF NetworkProxy: C:\Documents and Settings\Vitaliy\Application Data\Mozilla\Firefox\Profiles\h75fpnm6.default -> type", 4
FF Extension: (Video DownloadHelper) - C:\Documents and Settings\Vitaliy\Application Data\Mozilla\Firefox\Profiles\h75fpnm6.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}.xpi [2016-10-18]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811005"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BD6F7C523-378E-4BAE-9009-DDC125155894%7D&gp=811006
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\Vitaliy\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-09-26]
CHR Extension: (Яндекс) - C:\Documents and Settings\Vitaliy\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp [2016-11-05]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Documents and Settings\Vitaliy\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-09-26]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\Vitaliy\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-09-26]
Task: C:\WINDOWS\Tasks\{81CE00EC-3665-B747-77D3-3284F2784EA0}.job => C:\Documents and Settings\All Users\Application Data\{78D4D8E0-CF7F-6F4B-CE00-C42E2B6F0200}\7384D3E7-C42F-644C-EC2D-F02986346224.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\{95B4DDB1-79D8-B0FB-B8CA-603613A59A6A}.job => C:\WINDOWS\system32\regsvr32.exeD /s /n /i:/rt C:\DOCUME~1\ALLUSE~1\APPLIC~1\8d59460\4ea29f5.dll <==== ATTENTION
AlternateDataStreams: C:\WINDOWS:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
AlternateDataStreams: C:\Documents and Settings\Vitaliy\Local Settings\Application Data:wa [178]
HKU\S-1-5-21-1220945662-1303643608-725345543-1003\Software\Classes\.scr:  =>  <===== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Ivan Vodin]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Амиго

Интернет

Служба автоматического обновления программ

 

Через удаление программ удалось удалить только "Амиго" и "Интернет"

"Служба автоматического обновления программ" в "Удаление программ" не высвечивалась.

Решил удалить через regedit Но там была только одна запись "Служба автоматического обновления"

 

Затем скопировал предложенный выше код.

Сохранил как fixlist.txt в папке с Farbar Recovery Scan Tool.

 

Отключил до перезагрузки антивирусы, запустил FRST, нажал Fix

Спустя примерно минуту появилось сообщение об ошибке программы.

Попытался сделать скриншот и сохранить в виде картинки - компьютер отказался запустить графический редактор.

Попытался перегрузить компьютер - не перезагружается.

Нажал кнопку на системном блоке reset.

Компьютер стал перезагружаться, но завис перед выбором профилей пользователей. Голубой экран, в центре логотип windows, есть курсор беспроводной мыши, который без проблем движется по экрану. В правой верхней части экрана появилась надпись от антивируса Касперского и всё.....

Компьютер ни на что не реагирует.

 

Пробовал перезагрузить и выбрать различные варианты загрузки - не помогает.

 

Установил windows на другой винчестер. Загрузился. Но как исправить ситуацию с загрузкой первого windows ума не приложу. Там у меня все пароли для сайтов в firefox и как до них добраться тоже не знаю.

 

Установил программу autoruns v.13.62

Отсканировал, но ничего не могу понять в результатах.

 

 

[Sandor]

В скрипте ничего жизненно важного для системы задето не было. Вероятно - это совпадение. Проверьте проблемный диск на ошибки.