Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Браузер добровольно открывается/открывает новую вкладку с рекламным сайтом

Misha Goncharov

Автор Misha Goncharov
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Misha Goncharov

Misha Goncharov

Опубликовано
Опубликовано

Независимо от того, чем я занимаюсь (играю, сижу в браузере, включаю комп и им не пользуюсь), браузер самостоятельно открывает вкладку, в адресной строке которой первые несколько секунд можно увидеть gangnamgame.org, после чего происходит редирект на сайт http://zodiac-game.info/newpager.html

После сканирования KVRT (при первом запуске нажал Start Scan, ничего не нашел, во второй раз поставил галочку на System Drive и после того, как нашел один файл, остановил сканирование) был найден объект File: C:\Windows\System32\SppExtComObjPatcher.exe, выбрал опцию Удалить.

CollectionLog-2016.12.13-18.45.zip

mike 1

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 DeleteFile('C:\Users\Mike\AppData\Roaming\ESET\Java\jusched.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Java Update Schedule','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\MS','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Realtek HD Audio','64');
 DeleteFile('C:\Users\Mike\AppData\Roaming\ESET\Realtek HD\rthdcpl.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{045F316E-8798-43CE-9B66-A2A8BF059772}','64');
 DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\core\PDApp.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера

 

Сделайте новые логи Автологгером.

mike 1

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
CHR Extension: (friGate Light - site unblocker) - C:\Users\Mike\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdnmhbnbebabimcjggckeoibchhckemm [2016-11-04]
2014-12-05 13:00 - 2014-12-05 13:00 - 0000038 ___SH () C:\Users\Mike\AppData\Local\69ff07055291669bb2b218.72821112
2014-12-05 12:58 - 2014-12-05 12:58 - 0000037 ___SH () C:\Users\Mike\AppData\Local\70149b02515b3bb20dd492.47983420
2015-03-29 21:52 - 2015-03-29 21:52 - 0000000 ___SH () C:\Users\Mike\AppData\Local\LumaEmu
Task: {09F29779-6BC1-469C-9725-F73C9172ED72} - \MS -> No File <==== ATTENTION
Task: {10122AEF-2170-47AA-9DA3-1217C7D7DCA8} - \{045F316E-8798-43CE-9B66-A2A8BF059772} -> No File <==== ATTENTION
Task: {1101F82B-22CB-41DC-8DE5-B0D5211296D6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {24209B2E-FC35-4236-AE9F-56AB11A5376E} - \WPD\SqmUpload_S-1-5-21-1809296216-4038807738-31440341-1001 -> No File <==== ATTENTION
Task: {3C21A111-9BBF-41E7-B291-89D27115391E} - \Java Update Schedule -> No File <==== ATTENTION
Task: {7DDF9C60-90BB-4345-A230-7602C8AF63AB} - \Realtek HD Audio -> No File <==== ATTENTION
Task: {A1D5EED2-82C5-4F36-8731-A5036E03208F} - \{09352E48-ECEF-4AAA-B5D2-7DFCB4BCF036} -> No File <==== ATTENTION
Task: {E64F5D91-0096-4F14-A7E4-68AC1363570C} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
mike 1

mike 1

Опубликовано
Опубликовано

  • Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  • Запустите DelFix

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
  • Нажмите на кнопку Run
Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Советы и рекомендации после лечения компьютера

Misha Goncharov

Misha Goncharov

Опубликовано
  • Автор
Опубликовано

Все сделал, уязвимости 2: отключен запрос UAC на повышение прав для администраторов, а так же у меня стоит устаревший QuickTime (из-за того, что новые версии плохо контактируют с редактором sony vegas pro)

Еще раз спасибо

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sxhwre
      Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
    • Zhenya__
      Ноутбук на 10-15 секунд, раз в 3-4 минуты глючит. На постоянной основе немного глючит
      Автор Zhenya__
      WinDef пожаловался на это Trojan:Win32/Malgent!MSR. Я решил обратиться за помощью сюда и узнать как его удалить, нашёл инструкцию по тому как обращаться, скачал программу и проверил ноутбук. Трояна он не нашёл, но нашёл что то другое, и когда я нажал на удалить всё зависло минут на 5 и ноут выключился. После всего этого ноут тупит, прогу не могу найти, а инструкция пропала. Про троян - WinDef его удалял, но он снова появлялся. Каюсь, хотел скачать чит на роблокс, это и есть Xeno(качал с официального сайта)

    • Altair Studio
      Компьютер жестко виснет и пропадает инет, как будто агент ИИ работает
      Автор Altair Studio
      Добрый день.
      Месяца 2 борюсь с явным умышленным проникновением ко мпен в локальную сеть и ПК. То интернет пропадет то какие то непонятные траблы с учетными записями да много всего не упомнишь, операционку менял раза 4 как будто в сам биос перепрошили программу или я не знаю как. 
      CollectionLog-2026.06.03-06.46.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Инс
      Вирус перемещает случайные файлы в TMP, а потом удаляет
      Автор Инс
      Суть:
      - вирусняк переносит случайные файлы, надёрганные отовсюду кластерами, в папку Тmp(папка временных файлов винды из настроек переменных сред), а оттуда уже удаляет через какое-то время(~минута), прям в реалтайме
      - в автозагрузке пусто
      - планировщик заданий чистый(единственно задачи винды не песочил)
      - в системных службах тоже ничего подозрительного
      - диспетчер задач ничего опасного не показывает
      - двеб и касперский ничего не находят, касперский вообще никак не реагирует на то что прям при нём файлы куда-то перемещаются и удаляются
      - вирус запускается сам по себе непонятно от чего, но 100% запуск если включить поиск по диску, например "дата создания ‎25.‎05.‎2026"
      - при этом в первую очередь удаляет игры, папки мод и сохранки (бедный Зомбоид, который я последний раз запускал лет 5 назад, раздербанил почти в 0)
      Что это вообще такое?
       
      Вин7, установлена лет 10 как, всякое было, но чтоб вот так - первый раз. Я подобное видел только на ХП, думал что на Вин7 нельзя просто вот взять и поудалять чё хошь, без желания пользователя.
      Пока что заблокировал удаление тем что убрал запись в папке Tmp, вирус стучится туда(видно про монитору ресурсов диспетчера), но не может удалить файлы.
      Прежде чем заметил не знаю сколько всего удалило вирусом, но точно на моих глазах он удалил на 3гб, прежде чем я окончательно сообразил что происходит, заметил вообще потому что он удалил несколько ярлыков с рабочего стола и я пошёл искать что это такое.
      CollectionLog-2026.05.25-14.44.zip
×
×
  • Создать...