Как вы хотите открывать ссылки такого типа (http)? №2

[sokoladnoe]

Всем доброго времени суток. 
Столкнулся с проблемой что каждые 20 минут вылезает окошко с предложением "как вы хотите открывать ссылки такого типа (http)" с выбором какого браузера он хочет открыть рекламу. Случилось после того как скачал "не тот" CCleaner. Нашел такую тему на этом форуме (с которой меня любезно прогнали, т.к. помочь там гораздо сложнее по видимому; отдельное спасибо Mike 1 за просветление) с предложением почистить Revo Uninstaller Portable, но тех файлов не обнаружил, также AdwCleaner ничего не находит. Что странно, то что этот вирус всплывает через раз, порой его нету долгое время, а потом опять каждые 20 минут.
Kaspersky Virus Removal Tool ничего не обнаружил.
Windows 8.1 х64
Логи прикрепил

CollectionLog-2016.12.07-14.01.zip

Изменено 7 декабря, 2016 пользователем sokoladnoe

[kmscom]

тему свою создали, а правила раздела так и не прочитали?

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[sokoladnoe]

Изменил

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
 StopService('Ghostery Storage Server');
 QuarantineFileF('c:\program files (x86)\ghostery storage server', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetBE" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '32');
 DeleteFileMask('c:\program files (x86)\ghostery storage server', '*', true);
 DeleteDirectory('c:\program files (x86)\ghostery storage server');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('Ghostery Storage Server');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[sokoladnoe]

Здравствуйте. Все сделал по инструкции. 

Вот ответ: 

[KLAN-5459776126]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
ghstore.exe

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Новый лог

CollectionLog-2016.12.07-14.58.zip

Изменено 7 декабря, 2016 пользователем sokoladnoe

[Sandor]

В логах порядок. Если проблема решена:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[mike 1]

Нашел такую тему на этом форуме (с которой меня любезно прогнали, т.к. помочь там гораздо сложнее по видимому;

Порядок должен быть потому что. Если каждый так начнет писать в чужой теме, то тема превратиться в помойку. А вообще врываться со своими проблемами в чужую тему некрасиво.

[sokoladnoe]

Вот отчет SecurityCheck. Должен заметить, что после последней перезагрузки вирус еще не вылезал.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18450 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Автоматическое обновление отключено

Дата установки обновлений: 2016-10-01 16:22:50

--------------------------- [ OtherUtilities ] ----------------------------

Foxit Reader 7.0.3.916 v.v 7.0.3.916 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.42973 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 15 ActiveX & Plugin 64-bit v.15.0.0.223 Внимание! Скачать обновления

^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.54.0.2840.99 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[sokoladnoe]

Спасибо за помощь форуму и Sandor. В случае вирус этот вирус снова внезапно объявится, то мне можно писать сюда?

Mike 1, это был самый некрасивый поступок в моей жизни, надеюсь дети никогда не узнают.

[Sandor]

В случае вирус этот вирус снова внезапно объявится, то мне можно писать сюда?

При выполнении предыдущих рекомендаций с большой долей вероятности можно предположить, что не объявится

 

Если все же будет и на этом же компьютере, то да, можно сюда.

Изменено 7 декабря, 2016 пользователем Sandor