Автоматически запускается браузер

[Konst7599]

Здравствуйте. Искал в интернете книгу, нечаянно запустил скачанный exe-файл, после чего установились какие-то непрошенные программы, ярлыки на рабочем столе, и каждые несколько минут стал запускаться Internet Explorer с какой-то рекламной страницей (http://bestoffertoday.com/redirect/57a764d042bf8). Можно ли разрешить эту проблему? Спасибо.

CollectionLog-2017.03.17-07.03.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('d:\docume~1\alluse~1.0\applic~1\browse~1\23796~1.11\{16cdf~1\browse~1.dll','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\is-PH2H7.tmp\installer.exe','');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\is-PH2H7.tmp\installer.exe','32');
 DeleteFile('d:\docume~1\alluse~1.0\applic~1\browse~1\23796~1.11\{16cdf~1\browse~1.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3517');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Konst7599]

Сообщаю ответ от newvirus@kaspersky.com:

 

Re: Вам отправили файлыc DropMeFiles [KLAN-5971726461]

Благодарим за обращение в Антивирусную Лабораторию
Присланные вами ссылки были проверены с помощью облачной технологии Kaspersky Security Network.
В антивирусных базах информация по присланным вами ссылкам отсутствует:
dropmefiles.com/LziwS
Cсылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

И прикрепляю новые логи Autologger.

CollectionLog-2017.03.17-17.17.zip

[Konst7599]

В браузере периодически самопроизвольно меняется домашняя страница на mail.ru. Значит это заражение ещё не полностью удалилось с компьютера?

[thyrex]

Хм, а что помешало отправить просто архив карантина в письме? Не проходил по доступным вложениям для отправки по почте?

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Konst7599]

По поводу архива карантина в письме - отправлял два раза через почту на mail.ru, второй раз с паролем, но приходило такое сообщение:

 

Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем "infected" (без кавычек). Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер.

FRST.txt Addition.txt.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - D:\Documents and Settings\All Users.WINDOWS.0\Application Data\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.crx <not found>
2017-03-17 01:32 - 2017-03-17 01:33 - 17628560 _____ (IObit                                                       ) D:\Documents and Settings\Admin\Local Settings\Temp\20A.tmp.exe
2017-03-17 01:32 - 2017-03-17 01:32 - 0399336 _____ (Mail.Ru) D:\Documents and Settings\Admin\Local Settings\Temp\AmigoDistrib.exe
2017-03-17 01:33 - 2017-03-17 01:33 - 3039448 _____ () D:\Documents and Settings\Admin\Local Settings\Temp\hcv_mailruhomesearch (1).exe
2017-03-17 01:33 - 2017-03-17 01:33 - 3039448 _____ () D:\Documents and Settings\Admin\Local Settings\Temp\hcv_mailruhomesearch (2).exe
2017-03-17 01:32 - 2017-03-17 01:32 - 3039448 _____ () D:\Documents and Settings\Admin\Local Settings\Temp\hcv_mailruhomesearch.exe
2017-03-17 01:33 - 2017-03-17 01:33 - 3039448 _____ () D:\Documents and Settings\Admin\Local Settings\Temp\mailruhomesearch.exe
AlternateDataStreams: D:\Documents and Settings\All Users.WINDOWS.0\Application Data\TEMP:05EE1EEF [353]
AlternateDataStreams: D:\Documents and Settings\All Users.WINDOWS.0\Application Data\TEMP:05EE1EEF [353]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Konst7599]

Прилагаю

Fixlog.txt

[thyrex]

Проблема решена?

[Konst7599]

Запускаю основной браузер Mozilla Firefox, открывает мою домашнюю страницу www.google.ru. Следом захожу в настройки, где домашней страницей почему-то прописан сайт https://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=820321. Значит проблема не решена?

[thyrex]

Вручную в настройках удалить разве не можете? Тем более я спрашивал про ту страницу, о которой Вы упоминали в первом сообщении

[Konst7599]

Да, проблема из первого сообщения решена. Большое спасибо, Вы здорово помогли. А насчет последнего, я неоднократно прописывал домашней страницей опять гугл, но там снова возникает mail.ru. Можно ли от него как-то избавиться?

[thyrex]

Сделайте лог AdwCleaner

[Konst7599]

Ссылка на скачку не открывается, попытаюсь сам поискать программу в интернете

Прилагаю лог AdwCleaner

 

Ничего, что я сохранил AdwCleaner не на рабочем столе, а в папке Загрузки?

AdwCleanerS0.txt

Изменено 17 марта, 2017 пользователем Konst7599

[thyrex]

Отметьте и удалите в AdwCleaner все найденное