Браузер самостоятельно открывает вкладки с рекламой

[wanted3866]

Здравствуйте. Chrome и Edge сами открывают вкладки с различной рекламой. Пожалуйста помогите.

CollectionLog-2017.01.29-21.49.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

ScreenUp

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\alex\appdata\roaming\pbot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\alex\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Alex\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\Alex\AppData\Roaming\PBot\python\pythonw.exe', '');
 QuarantineFile('C:\Users\Alex\AppData\Roaming\PBot\launchall.py', '');
 QuarantineFile('C:\Users\Alex\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\Alex\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\Alex\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\Alex\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\Alex\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFile('C:\Users\Alex\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\Alex\AppData\Local\rightchose\regCheck.vbs', '');
 QuarantineFile('C:\Users\Alex\AppData\Local\FilterStart\FilterStart.exe', '');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Account Command Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Current Additional Manager" /F', 0, 15000, true);
 DeleteFile('C:\Users\Alex\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\Alex\AppData\Roaming\PBot\python\pythonw.exe', '32');
 DeleteFile('C:\Users\Alex\AppData\Roaming\PBot\launchall.py', '32');
 DeleteFile('C:\Users\Alex\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\Alex\AppData\Local\TestMenu\regCheck.vbs', '32');
 DeleteFile('C:\Users\Alex\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\Alex\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\Alex\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\Alex\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\Alex\AppData\Local\rightchose\regCheck.vbs', '32');
 DeleteFile('C:\Users\Alex\AppData\Local\FilterStart\FilterStart.exe', '32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '32');
 DeleteFileMask('c:\users\alex\appdata\roaming\pbot', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\users\alex\appdata\local\filterstart', '*', true);
 DeleteFileMask('c:\program files (x86)\screenup', '*', true);
 DeleteDirectory('c:\users\alex\appdata\roaming\pbot');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\users\alex\appdata\local\filterstart');
 DeleteDirectory('c:\program files (x86)\screenup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[wanted3866]

[KLAN-5721932363]
Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
regCheck.vbs

ClearLNK-30.01.2017_13-49.log

AdwCleanerS23.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[wanted3866]

.

FRST.txt

Shortcut.txt

Addition.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2716684100-1244473662-1938264788-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2716684100-1244473662-1938264788-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://nqaqeba.ru/?utm_source=startpage03&utm_content=c08d131bc9bf107f5cf4658225c11c43
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\.DEFAULT -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} -  No File
Toolbar: HKU\S-1-5-21-2716684100-1244473662-1938264788-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} -  No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811040
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B1059D9DF-4EF1-401B-9AB1-F6AD0DE293DA%7D&gp=811041
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-01-28]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-01-28]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-28]
OPR Extension: (SearchWay) - C:\Users\Alex\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgldnknlljnfcfgchdijbjmmkdkmnabn [2017-01-28]
OPR Extension: (No Name) - C:\Users\Alex\AppData\Roaming\Opera Software\Opera Stable\Extensions\iffdplkiijdjejhgkcfnopnfdnlnhhlp [2015-03-19]
OPR Extension: (No Name) - C:\Users\Alex\AppData\Roaming\Opera Software\Opera Stable\Extensions\nnablabjebldnjlelboobpjegkehklon [2015-06-17]
Task: {42ECEAAA-A739-4723-AA26-2418D2F69ABF} - \PBot -> No File <==== ATTENTION
Task: {180D93A1-6FD4-4F81-A11C-A260E21EA431} - \Solution Additional Manager -> No File <==== ATTENTION
Task: {7CB39012-737D-478F-AD49-CDF180565FD4} - \InstallShield Update Service -> No File <==== ATTENTION
HKLM\...\StartupApproved\Run32: => "FilterOptions"
HKU\S-1-5-21-2716684100-1244473662-1938264788-1000\...\StartupApproved\StartupFolder: => "regCheck.lnk"
HKU\S-1-5-21-2716684100-1244473662-1938264788-1000\...\StartupApproved\Run: => "PBot"
HKU\S-1-5-21-2716684100-1244473662-1938264788-1000\...\StartupApproved\Run: => "Zaxar"
FirewallRules: [{B54215A1-B93C-437A-8453-4522C54EF2FE}] => C:\Users\Alex\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[wanted3866]

.

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[wanted3866]

без изменений

[Sandor]

В каком браузере проявляется?

Повторите CollectionLog с помощью Автологера.

[wanted3866]

Edge вроде бы перестал открывать. По крайней мере последние 2 дня. Только в Chrome.

CollectionLog-2017.01.31-11.15.zip

[Sandor]

Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

(Предположительно это "friGate Light - разблокировка сайтов")

[wanted3866]

Не помогло. Я до обращения к вам удалял хром. Вкладки в Edge возникали только при отсутствии Хрома.

[Sandor]

То есть при отключенных всех расширениях реклама в Хроме все равно появляется?

[wanted3866]

Именно. Я уверен, что это не расширения. До заражения вирусом я работал с этим же набором расширений. Никаких проблем не было.