Internet Explorer запускается сам по себе и автоматически направляет на опасные веб-адреса

[Алексей Корякин]

Мужики помогите решить проблему, первый раз с таким сталкиваюсь

подхватил вирусы...  стоял антивирусник COMODO!  после чего начал автоматически открываться сам по себе Explorer браузер, и направляет специально на опасные веб адреса, удалил COMODO так как он не смог удалить вирусы, установил Касперского, основные вирусы он  вылечил/ удалил. их я перечислю ниже:  

 

 

1. Обнаруженный объект  (системная память) вылечен. Название объекта:  Trojan.Multi.WMIRun.a

2. Обнаруженный объект ( память процесса ) удален. Название объекта:  PDM:Trojan.Win32.Bazon.a

3. Обнаруженный объект ( память процесса ) удален. Название объекта: not-a-virus:PDM:RiskTool.Win32.BitCoinMiner.g.1

 

но проблема осталась, собственно говоря при перезагрузке или просто после включения компьютера когда только загрузился рабочий стол, снова автоматом открывается Explorer, и  Касперский выдает оповещение бывает по 2-3 подряд оповещения, что заблокирован опасный веб-адрес, мой основной браузер - Chrome.

 

Жду комментариев, заранее Спасибо всем кто поможет!!! с уважением Алексей.

Изменено 6 июля, 2017 пользователем Алексей Корякин

[thyrex]

Порядок оформления запроса о помощи

[Алексей Корякин]

 Thyrex добрый день спасибо что откликнулись, выполнил всё по инструкции

1. Провел проверку ПК, воспользовавшись Kaspersky Virus Removal Tool 2015;

2. Провел проверку с помощью AutoLogger.exe

 

 zip-архив с собранными логами прикрепляю ниже

 

С чего все началось: 

подхватил вирусы...  стоял антивирусник COMODO,  после чего начал автоматически открываться сам по себе Explorer браузер, и направляет специально на опасные веб адреса, удалил COMODO так как он не смог удалить вирусы, установил Касперского, основные вирусы он  вылечил/ удалил. их я перечислю ниже:  

 

1. Обнаруженный объект  (системная память) вылечен. Название объекта:  Trojan.Multi.WMIRun.a

2. Обнаруженный объект ( память процесса ) удален. Название объекта:  PDM:Trojan.Win32.Bazon.a

3. Обнаруженный объект ( память процесса ) удален. Название объекта: not-a-virus:PDM:RiskTool.Win32.BitCoinMiner.g.1

 

P.S: Проблема осталась, при перезагрузке или просто после включения компьютера когда только загрузился рабочий стол, снова автоматом открывается Explorer, и  Касперский выдает оповещение бывает по 2-3 подряд оповещения, что заблокирован опасный веб-адрес, так же уже после запуска Windows периодически Касперский снова выдает оповещения что заблокирован снова опасный веб адрес.  Мой основной браузер - Chrome.

 

С уважением Алексей.

CollectionLog-2017.07.06-12.36.zip

Изменено 6 июля, 2017 пользователем Алексей Корякин

[Алексей Корякин]

Порядок оформления запроса о помощи

Сейчас все оформлю как надо, спасибо

Кстати adwcleaner_6.047 НЕ ПОМОГ.

[regist]

C:\Users\Леша\AppData\Roaming\curl\

curl - как понимаю вам не знаком?

[Алексей Корякин]

C:\Users\Леша\AppData\Roaming\curl\

curl - как понимаю вам не знаком?

 

нет... извиняюсь... я в этих делах не специалист.... что-то серьезное?

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Леша\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (2).lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (3).lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (2).lnk', '');
 QuarantineFileF('C:\Users\Леша\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Леша\AppData\Roaming\curl\', '*', true);
 DeleteDirectory('C:\Users\Леша\AppData\Roaming\curl\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jioyhnwxyk');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Удалите остатки Comodo  Чистка системы после некорректного удаления антивируса
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Алексей Корякин]

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Леша\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (2).lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (3).lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (2).lnk', '');
 QuarantineFileF('C:\Users\Леша\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Леша\AppData\Roaming\curl\', '*', true);
 DeleteDirectory('C:\Users\Леша\AppData\Roaming\curl\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jioyhnwxyk');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Удалите остатки Comodo  Чистка системы после некорректного удаления антивируса

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Regist спасибо, вроде все сделал: 

1. ссылка на анализ карантина: https://virusinfo.info/virusdetector/report.php?md5=BB8B80108354ABEFA1A8D0A98CB872AB

2. файл quarantine.zip из папки AVZ отправьил по адресу newvirus@kaspersky.com , ответ пока не пришел 

 

3. Cейчас выполню еще это:  Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Вот отчет ClearLNK: 

Пришел ответ от newvirus@kaspersky.com

 

номер клана: [KLAN-6490916182]

 

так же пришел ответ от cyberhelper@virusinfo.info

 

цитирую: 

Уважаемый пользователь! Благодарим Вас за использование сервиса VirusDetector! 

Антивирусная онлайн-проверка вашей системы завершена. Архив с карантином (MD5: BB8B80108354ABEFA1A8D0A98CB872AB) был успешно обработан системой CyberHelper.

Ознакомиться с подробными результатами анализа можно по следующим ссылкам:

 

Результаты проверки онлайн-сервисом VirusDetector » 

Обсуждение результатов проверки » 

 

Жду дальнейших указаний. Алексей

 

ClearLNK-06.07.2017_13-46.log

Изменено 6 июля, 2017 пользователем Алексей Корякин

[Sandor]

Не цитируйте полностью сообщение. Используйте форму быстрого ответа.

 

Удалите остатки Comodo

Удалили?

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Ждем.

[Алексей Корякин]

делаю чистку сейчас с помощью AVG_Remover (после перезагрузки) повторно запущу Autologger

повторно Диагностику делаю через Autologger, отчет в ближайшее время прикреплю.

вот последний отчет после повторной диагностики. буду ожидать дальнейших указаний, спасибо

CollectionLog-2017.07.06-14.16.zip

[Sandor]

делаю чистку сейчас с помощью AVG_Remover

Для очистки следов Comodo нужна другая утилита.

 

Пройдитесь ей, затем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Алексей Корякин]

окей сейчас все сделаю, спасибо Sandor, отпишусь как закончу

[regist]

Перед выполнением скрипта AVZ антивирус отключали? AVZ запускали от имени админа?

 

В общем удалите остатки Comodo, потом повторно выполните скрипт и свежие логи Автологера.

[Алексей Корякин]

Перед выполнением скрипта AVZ антивирус отключали? AVZ запускали от имени админа?

 

В общем удалите остатки Comodo, потом повторно выполните скрипт и свежие логи Автологера.

скачал Uninstaller Tool v0.3b для Comodo. 

Не совсем понимаю как работать в этой программе, нажимаю uninstal comodo internet security, открывается черный экран слева ( скрин прикрпеляю) 

Перед выполнением скрипта AVZ антивирус отключали? AVZ запускали от имени админа?

 

В общем удалите остатки Comodo, потом повторно выполните скрипт и свежие логи Автологера.

Антивирус отключал... программа сама задает вопрос  - вы отключили антивирус? в этот момент я его отключил на 30 минут. Блин а вот запускал программу просто двойным щелчком, надо было правой кнопкой мыши нажать и запустить от имени Админа именно?

 

делаю чистку сейчас с помощью AVG_Remover

Для очистки следов Comodo нужна другая утилита.

 

Пройдитесь ей, затем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Sandor вот отчеты от FRST, прикрепляю 

FRST.txt

Addition.txt

Shortcut.txt

[regist]

 

 

скачал Uninstaller Tool v0.3b для Comodo. Не совсем понимаю как работать в этой программе, нажимаю uninstal comodo internet security, открывается черный экран слева ( скрин прикрпеляю)

я же дал вам ссылку на инструкцию по удалению https://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

там и ссылка и описание

 

Официальные инструкции по удалению продуктов Comodo размещены в этой статье базы знаний.

Для автоматизации этих действий сообществом пользователей была разработана утилита Comodo Products Uninstaller Tool


Удалите Comodo через апплет Панели управления. После удаления перезагрузите компьютер и переходите к следующему пункту. Если Comodo нет в списке установленных программ, удаление Comodo не запускается или появляется ошибка при удалении Comodo, переходите к следующему пункту.
Отключите Sandbox (Песочница) / Defense+ (Щелкните правой кнопкой мыши по иконке CIS > Sandbox/Defense+ Security Level > Disable). Это позволит беспрепятственно отключить и удалить CIS и другие защищённые приложения
Загрузите утилиту для удаления Comodo
Распакуйте скаченный архив и запустите файл "Uninstaller Tool.exe" (в Windows Vista/7 запустите от имени администратора).
Выберите программу, которую вы хотите удалить и нажмите "Uninstall ***"
После завершения удаления перезагрузите компьютер.

 

 

 

Антивирус отключал... программа сама задает вопрос - вы отключили антивирус?

Задаёт Автологера, а я про выполнение скрипта лечения в AVZ. Пост №7

 

 

Блин а вот запускал программу просто двойным щелчком, надо было правой кнопкой мыши нажать и запустить от имени Админа именно?

Да.

 

 

в этот момент я его отключил на 30 минут.

Надо не на 30 минут, а Приостановить (чтобы включилась она только по вашему требованию).

Так что отключайте антивирус полностью и переделывайте.