Открывается сам браузер IE с сайтом mmorpgfree.ru

23 января, 2017

Здравствуйте!

Запускается автоматически IE и переходит по ссылке http://mmorpgfree.ru/binatex2/?p=klimenko-1601

Помогите, пожалуйста, в лечении.

Пролечил Касперским и Dr.Web CureIt!, обнаружено и обезврежено 2 угрозы, но браузер все равно сам открывается.

Прикрепляю логи.

Буду признателен помощи.

CollectionLog-2017.01.23-11.32.zip

Изменено 23 января, 2017 пользователем iiwanc

23 января, 2017

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

ForceUpdateVOF

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

23 января, 2017

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

ForceUpdateVOF

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

.......

Сделано. Теперь и в Яндекс Браузере открывается реклама, ссылка на которую в первом посте.

Также открывается 2 казино: https://pinupsender.net и https://minfoweb.pro

Прикрепляю логи.

ClearLNK-23.01.2017_13-23.log

CollectionLog-2017.01.23-13.36.zip

23 января, 2017

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

23 января, 2017

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.

Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

AdwCleaner обнаружил 3 угрозы.

Прикрепляю лог.

Кнопку "Очистить" не нажимаю. Жду вашей команды

AdwCleanerS2.txt

23 января, 2017

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

23 января, 2017

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).

Нажмите кнопку "Scan" ("Сканировать").

По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:

Политики IE

Политики Chrome
и нажмите Ok.

Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Сделано.

В Яндекс Браузере открылась ссылка http://vulkansuper.ru/1027/?utm_medium=2&utm_campaign=17&vcode=j0evrtbuvo1tcp2i&lid=29&out_ids=&tr=d2ludnVsa2FuLnJ1но страница не загрузилась - "500 Internal Server Error"

23 января, 2017

Пожалуйста, закройте все программы, упакуйте эту папку

C:\Users\User-2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default

и выложите на файлообменник. Ссылку на скачивание - мне в личку.

Далее:

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\User-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ForceUpdateVOF.lnk [2017-01-09]
ShortcutTarget: ForceUpdateVOF.lnk -> C:\Users\User-2\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe ()
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B9809D2D0-E19D-48E1-BFB6-396F58134E2C%7D&gp=811022
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\User-2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-12-27]
FF Extension: (Поиск@Mail.Ru) - C:\Users\User-2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-12-28]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\User-2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-28]
2016-12-27 13:59 - 2017-01-23 13:23 - 00000000 ____D C:\Users\User-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

23 января, 2017

Пожалуйста, закройте все программы, упакуйте эту папку

C:\Users\User-2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default
и выложите на файлообменник. Ссылку на скачивание - мне в личку.

Далее:

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
start
CreateRestorePoint:
Startup: C:\Users\User-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ForceUpdateVOF.lnk [2017-01-09]
ShortcutTarget: ForceUpdateVOF.lnk -> C:\Users\User-2\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe ()
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B9809D2D0-E19D-48E1-BFB6-396F58134E2C%7D&gp=811022
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\User-2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-12-27]
FF Extension: (Поиск@Mail.Ru) - C:\Users\User-2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-12-28]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\User-2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-28]
2016-12-27 13:59 - 2017-01-23 13:23 - 00000000 ____D C:\Users\User-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Прикрепляю лог и отправляю в ЛС ссылку с файлообменника.

В Яндекс Браузере открылась ссылка http://pobedaloto.red/landings/find_peach_pbd

Fixlog.txt

23 января, 2017

выложите на файлообменник. Ссылку на скачивание - мне в личку.

Сделали?

Отключите в Яндексе все дополнения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Архив скачал, спасибо!

23 января, 2017

выложите на файлообменник. Ссылку на скачивание - мне в личку.
Сделали?

Отключите в Яндексе все дополнения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Архив скачал, спасибо!

Сделал, отправил вам ЛС.

Дополнения пока не выявил. Кроме стандартных установлены: SafeWeb; Track24.ru; Teddy Protection Lite; Советник - какие-то покупки похоже.

Отключил все дополнения, удалил дополнения, которые смог удалить, но реклама все еще выскакивает.

23 января, 2017

Сохраните нужные закладки, удалите браузер. Скачайте и установите заново.

23 января, 2017

Сохраните нужные закладки, удалите браузер. Скачайте и установите заново.

Благодарю за помощь. Не стал заморачиваться. Удалил Яндекс Браузер и вместо его поставил Мазилу.

23 января, 2017

Проделайте завершающие шаги:

1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

24 января, 2017

Проделайте завершающие шаги:

1.

Пожалуйста, запустите adwcleaner.exe

В меню File (Файл) - выберите Uninstall (Деинсталлировать).

Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)

Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу

Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt

Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Прикрепите этот файл к своему следующему сообщению.

Сделано. Прикрепляю лог

SecurityCheck.txt

Открывается сам браузер IE с сайтом mmorpgfree.ru

Рекомендуемые сообщения

iiwanc

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

iiwanc

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

iiwanc

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

iiwanc

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

iiwanc

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

iiwanc

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

iiwanc

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

iiwanc

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum