Вирус Redirect

[Va.all]

Добрый день.

 

В последнее время поймал вирус Redirect. Сидя в любом браузере, нажимая на ссылку перехода открываются рекламные сайты ( не всегда бывает и десять минуть сидишь ничего не вылезет, а бывает и каждую минуту переадресовывает)

Провел проверку CureIt, KVRT. Они ничего не обнаружили.

Прилагаю логи.

Изменено 2 ноября, 2017 пользователем Va.all

[Sandor]

Здравствуйте!

 

Прилагаю логи

Возможно не нажали кнопку "Загрузить"

[Va.all]

Не заметил, что надо отдельно их загружать.

Вот логи.

CollectionLog-2017.11.02-15.25.zip

report1.log

report2.log

[regist]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

+ это расширение знакомо?

Click-to-Play staged rollout - extension - clicktoplay-rollout@mozilla.org - 

[Va.all]

Расширение не знакомо, в фаирфоксе у меня его нет. Сижу в основном в нем. Где он есть и как его удалить?

Проверку выполнил. Лог прикреплен

AdwCleanerS0.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

 

 

Расширение не знакомо, в фаирфоксе у меня его нет. Сижу в основном в нем. Где он есть и как его удалить?

из этих, что ещё не знакомо?

AdBlock for Firefox - extension - jid1-NIfFY2CA8fy1tg@jetpack
Помощник - extension - jid1-n5ARdBzHkUEdAA@jetpack
Speed Dial [FVD] New Tab Page, 3D Start Page, Sync - extension - pavel.sherbakov@gmail.com
uBlock Origin - extension - uBlock0@raymondhill.net

C:\Users\ADM\AppData\Roaming\Mozilla\Firefox\Profiles\23skivh6.default-1509481652796\extensions.json
Activity Stream - extension - activity-stream@mozilla.org - 
Application Update Service Helper - extension - aushelper@mozilla.org - 
Click-to-Play staged rollout - extension - clicktoplay-rollout@mozilla.org - 
Multi-process staged rollout - extension - e10srollout@mozilla.org - 
Pocket - extension - firefox@getpocket.com - 
Follow-on Search Telemetry - extension - followonsearch@mozilla.com - 
Form Autofill - extension - formautofill@mozilla.org - 
Photon onboarding - extension - onboarding@mozilla.org - 
Firefox Screenshots - extension - screenshots@mozilla.org - 
Shield Recipe Client - extension - shield-recipe-client@mozilla.org - 
Web Compat - extension - webcompat@mozilla.org - 
Youtube AdBlock - extension - {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} - 
supermegabest - extension - jid1-n5ARdBzHkUEdAA@jetpack - 
Default - theme - {972ce4c6-7e08-4474-a285-3208198ce6fd} - 
SmartPrintButton - extension - quickprint@hp.com - 
Kaspersky Protection - webextension - light_plugin_F6F079488B53499DB99380A7E11A93F6@kaspersky.com - 
Shield Recipe Client - extension - shield-recipe-client@mozilla.org - 
Adblock for Youtube™ - webextension - {0ac04bdb-d698-452f-8048-bcef1a3f4b0d} - 
AdBlock - webextension - jid1-NIfFY2CA8fy1tg@jetpack - 
Speed Dial [FVD] New Tab Page, 3D Start Page, Sync - extension - pavel.sherbakov@gmail.com - 
uBlock Origin - webextension - uBlock0@raymondhill.net - 

и для чего столько Адблоков? Вы уверены, что они все настоящие, а не фейковые?

 

[Va.all]

Чето реально слишком много adblock'ов. я ставил только для Youtuba и Origin. А также пользуюсь SpeedDial.

Насчет остальных плагинов непонятно. Я три раза запускал очистку фаирфокса от всего, и заново ставил эти плагины.

Логи прикрепляю.

AdwCleanerS1.txt

AdwCleanerC1.txt

FRST.txt

Addition.txt

Shortcut.txt

[regist]

 

 

Чето реально слишком много adblock'ов. я ставил только для Youtuba и Origin. А также пользуюсь SpeedDial.

Adblocker for Youtube™ - также без цифровой подписи расширения, так что возможно он тоже левый. Давайте удалю его скриптом и остальные без подсписи. А потом если что поставите из магазина огнелиса.

 

+

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

OPR Extension: (AdBlock) - C:\Users\ADM\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2016-11-13]
OPR Extension: (Adblock Plus) - C:\Users\ADM\AppData\Roaming\Opera Software\Opera Stable\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp [2017-09-28]

Эти как понимаю тоже не знакомы?

____________________

С учётом написанного выше.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-4284018138-1223389373-552892185-1002\...\MountPoints2: M - "M:\BELOFF.exe"
  HKU\S-1-5-21-4284018138-1223389373-552892185-1002\...\MountPoints2: {ce67f91a-7cbd-11e6-90d0-806e6f6e6963} - "J:\Launcher.exe" -a
  SearchScopes: HKU\S-1-5-21-4284018138-1223389373-552892185-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B5AEBD097-0FBF-4119-99F2-C4C1DB92053B%7D&gp=811006
  Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF Extension: (supermegabest) - C:\Users\ADM\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-21]
  FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} [2016-11-16] [not signed]
  FF Extension: (Adblocker for Youtube™) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} [2016-10-20] [not signed]
  FF Extension: (SmartPrintButton) - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension [2011-01-26] [not signed]
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\400590125.js [2017-10-30] <==== ATTENTION (Points to *.cfg file)
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2017-01-03]
  FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\400590015.js [2017-10-30] <==== ATTENTION (Points to *.cfg file)
  FF ExtraCheck: C:\Program Files\mozilla firefox\400590125.cfg [2017-10-30] <==== ATTENTION
  FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\400590015.cfg [2017-10-30] <==== ATTENTION
  CHR StartupUrls: ChromeDefaultData -> "hxxp://www.trotux.com/?z=a132c2a38bbb3d32a37d142g6zem9m7cdb8q0gbe8g&from=ftp&uid=SPCCXSolidXStateXDisk_DB0A074713EE00654276&type=hp"
  OPR Extension: (AdBlock) - C:\Users\ADM\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2016-11-13]
  OPR Extension: (Adblock Plus) - C:\Users\ADM\AppData\Roaming\Opera Software\Opera Stable\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp [2017-09-28]
  2016-10-20 13:56 - 2016-10-20 13:56 - 000000336 _____ () C:\Users\ADM\AppData\Local\expand.ini
  2017-06-29 14:06 - 2017-09-14 09:02 - 000007597 _____ () C:\Users\ADM\AppData\Local\Resmon.ResmonCfg
  2016-11-22 14:24 - 2016-11-22 14:24 - 000004096 _____ () C:\ProgramData\czchsjpj.srw
  2016-10-20 13:16 - 2016-10-20 13:16 - 000000016 _____ () C:\ProgramData\mntemp
  HKU\S-1-5-21-4284018138-1223389373-552892185-1002\...\StartupApproved\Run: => "Browser Manager"
  FirewallRules: [{29BCA18E-EED1-45C8-9776-C0148454D379}] => (Allow) C:\Users\ADM\AppData\Local\MediaGet2\mediaget.exe
  FirewallRules: [{765FEFFF-7FCB-4A87-8A08-C646651620A2}] => (Allow) C:\Users\ADM\AppData\Local\MediaGet2\mediaget.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.
 

[Va.all]

скрипт выполнил.

Лог прилагаю.

[regist]

 

 

Лог прилагаю.

похоже опять забыли прикрепить.

[Va.all]

Прикрепил

Fixlog.txt

[regist]

Что с проблемой?
 

[Va.all]

Добрый день.

 

Вроде проблема исчезла. спасибо за помощь.

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.