Всплывающие вкладки в браузере Mozilla Firefox

[Мария Швецова]

Здравствуйте. В браузере Мозилла примерно раз в 30-60 минут сама по себе открывается вкладка именуемая famousaactors.ru/syforgesm , после чего в этой вкладке появляется различная реклама фильмов, ставок на футбол и прочего. Компьютер был просканирован антивирусом Dr. Web, но никаких вредоносных программ обнаружено не было.
Надеюсь на вашу помощь. Заранее спасибо.

CollectionLog-2017.01.04-01.34.zip

[SQ]

Здравствуйте,

Удалите Zaxar, TimeTasks через установку программ в панели управления


HiJackThis (из каталога автологгера) профиксить

O4 - HKCU\..\Run: [fqawqlkoye] explorer "http://chatozov.ru/?utm_source=uoua03n&utm_content=1f1a7d4e6784534601121b44b7be8052&utm_term=1A8CA9382EB41877E1B0063560F5640F&utm_d=20160714"
O4-32 - HKLM\..\Run: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe"
O4-32 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s
O4-32 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O18 - Protocol: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - (no file)
O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)
O22 - ScheduledTask: (Ready) famousaactors - {root} - "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://famousaactors.ru/syforgesm
O22 - ScheduledTask: (Ready) fupdate - {root} - C:\Users\Женя\AppData\Local\fupdate\fupdate.exe (file missing)
O22 - ScheduledTask: (Ready) nethost task - {root} - C:\Users\Женя\AppData\Local\SystemDir\nethost.exe (file missing)
O22 - ScheduledTask: (Ready) syslog - {root} - C:\Users\Женя\AppData\Local\syslog\syslog.exe (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Users\Женя\AppData\LocalLow\SearchGo\searchgo.dll','');
 QuarantineFile('C:\Users\Женя\AppData\Local\Kometa\StartButton\kometastartvx64.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Local\SearchGo\searchgo.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Local\syslog\syslog.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Local\SystemDir\nethost.exe','');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Users\Женя\AppData\LocalLow\SearchGo\searchgo.dll','32');
 DeleteFile('C:\Users\Женя\AppData\Local\fupdate\fupdate.exe','32');
 DeleteFile('C:\Users\Женя\AppData\Local\Kometa\StartButton\kometastartvx64.exe','32');
 DeleteFile('C:\Users\Женя\AppData\Local\SearchGo\searchgo.exe','32');
 DeleteFile('C:\Users\Женя\AppData\Local\syslog\syslog.exe','32');
 DeleteFile('C:\Users\Женя\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser\ZaxarUpdate.lnk','32');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "syslog" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Женя\AppData\Local\SystemDir', '*', true, ' ');
 DeleteDirectory('C:\Users\Женя\AppData\Local\SystemDir');
 DeleteFileMask('C:\Users\Женя\AppData\Local\syslog', '*', true, ' ');
 DeleteDirectory('C:\Users\Женя\AppData\Local\syslog');
 DeleteFileMask('C:\Users\Женя\AppData\Local\SearchGo', '*', true, ' ');
 DeleteDirectory('C:\Users\Женя\AppData\Local\SearchGo');
 DeleteFileMask('C:\Users\Женя\AppData\Local\fupdate', '*', true, ' ');
 DeleteDirectory('C:\Users\Женя\AppData\Local\fupdate');
 DeleteFileMask('C:\ProgramData\TimeTasks', '*', true, ' ');
 DeleteDirectory('C:\ProgramData\TimeTasks');
 DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\Zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fqawqlkoye');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.

[Мария Швецова]

Надеюсь, это именно то, что вы просили.

AdwCleanerS0.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Мария Швецова]

Вот отчёт.

AdwCleanerC0.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Мария Швецова]

Вот.

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-2489097010-3408441926-936255278-1000\...\Run: [mailruhomesearch] => "C:\Users\Женя\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
  CHR Extension: (Tampermonkey) - C:\Users\Женя\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-02]
  CHR HKU\S-1-5-21-2489097010-3408441926-936255278-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [holihdldfgekmjfdhdinpfjbfnhcphia] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
  OPR Extension: (Tampermonkey) - C:\Users\Женя\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-02]
  U3 idsvc; no ImagePath
  2017-01-02 00:23 - 2017-01-02 00:23 - 00003688 _____ C:\WINDOWS\System32\Tasks\famousaactors
  2016-12-24 16:36 - 2017-01-02 01:33 - 00000000 ____D C:\Program Files (x86)\Ghostery Storage Server
  Folder: C:\Users\Женя\Searches
  2015-12-26 19:14 - 2015-12-26 19:14 - 0000000 _____ () C:\Users\Женя\AppData\Local\{0BC29423-C42D-4C4A-89AB-006E9898BFEC}
  2016-03-02 14:31 - 2016-03-02 14:32 - 0000000 _____ () C:\Users\Женя\AppData\Local\{CAE78623-455C-4D3F-9446-2C89CEDFC0FE}
  C:\Users\Женя\AppData\Local\Temp\Setup-yabrowser.exe
  C:\Users\Женя\AppData\Local\Temp\Uninstall.exe
  Task: {A31D4201-5FAC-4903-8283-8CF07C82A97F} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
  Task: {D4B85823-05FC-4FDD-8A4E-5A2451870460} - System32\Tasks\famousaactors => Firefox.exe hxxp://famousaactors.ru/syforgesm
  FirewallRules: [{40A5AAD2-6B82-4973-A2D8-DA083B085E6F}] => C:\Program Files\UBar\ubar.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Мария Швецова]

Вот.

Fixlog.txt

[nikitosec007]

Может я что-то не так делаю, но вобщем раз эта та же тема решил написать сдесь. У меня такая же проблема только она в опере. И Zakhar у меня не установлен.

[Sandor]

раз эта та же тема решил написать сдесь

Не правильно. Создайте свою тему, прочтите и выполните Порядок оформления запроса о помощи