в браузерах вылазит counterflix, редирект или попап piet2exi3l.com/click

[code-by]

Приветствую!
на комп с вин7 влезла какая-то фигня которая встраивает рекламу  counterflix и производит открытие окон или редирект на сайты типа piet2exi3l.com/click....

прогонял KVRT, Total Security пробную много чего нашли, но это так и осталось. CureIt что-то одно нашло, но не помогло.

также прогонял adwcleaner и hitman

установил Firefox - в него тоже влезла

комп не мой, сказали, что дети где-то полазили, поскачивали и поустанавливали ) вот и результат...

прикрепляю скриншот одного из антивирусов и лог.

спасибо за помощь.

п.с. может лучше винду переустановить? )

CollectionLog-2017.11.25-02.56.zip

Изменено 25 ноября, 2017 пользователем code-by

[regist]

Скачайте актуальную версию Автологера и переделайте логи.

[code-by]

Скачайте актуальную версию Автологера и переделайте логи.

CollectionLog-2017.11.25-12.05.zip

Изменено 25 ноября, 2017 пользователем code-by

[regist]

1) "Пофиксите" в HijackThis:

O17 - HKLM\System\CSS\Services\Tcpip\..\{0E3CB064-1512-4D7C-BC0B-736F8B06343F}: NameServer = 82.163.142.178
O17 - HKLM\System\CSS\Services\Tcpip\..\{0E3CB064-1512-4D7C-BC0B-736F8B06343F}: NameServer = 82.163.143.176
O17 - HKLM\System\CSS\Services\Tcpip\..\{8DCB2432-7C76-4DC7-BE6D-AF66D6E75441}: NameServer = 8.8.4.4
O17 - HKLM\System\CSS\Services\Tcpip\..\{8DCB2432-7C76-4DC7-BE6D-AF66D6E75441}: NameServer = 8.8.8.8
O17 - HKLM\System\CSS\Services\Tcpip\..\{C619AEA5-60A3-4290-BAF9-66BC61915649}: NameServer = 82.163.142.178
O17 - HKLM\System\CSS\Services\Tcpip\..\{C619AEA5-60A3-4290-BAF9-66BC61915649}: NameServer = 82.163.143.176
O17 - HKLM\System\CSS\Services\Tcpip\..\{CB0FBA55-DE8E-4875-8BE0-BF20AFB532B0}: NameServer = 82.163.142.178
O17 - HKLM\System\CSS\Services\Tcpip\..\{CB0FBA55-DE8E-4875-8BE0-BF20AFB532B0}: NameServer = 82.163.143.176
O17 - HKLM\System\CSS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0E3CB064-1512-4D7C-BC0B-736F8B06343F}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0E3CB064-1512-4D7C-BC0B-736F8B06343F}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{8DCB2432-7C76-4DC7-BE6D-AF66D6E75441}: NameServer = 8.8.4.4
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{8DCB2432-7C76-4DC7-BE6D-AF66D6E75441}: NameServer = 8.8.8.8
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C619AEA5-60A3-4290-BAF9-66BC61915649}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C619AEA5-60A3-4290-BAF9-66BC61915649}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{CB0FBA55-DE8E-4875-8BE0-BF20AFB532B0}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{CB0FBA55-DE8E-4875-8BE0-BF20AFB532B0}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{0E3CB064-1512-4D7C-BC0B-736F8B06343F}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{0E3CB064-1512-4D7C-BC0B-736F8B06343F}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{8DCB2432-7C76-4DC7-BE6D-AF66D6E75441}: NameServer = 8.8.4.4
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{8DCB2432-7C76-4DC7-BE6D-AF66D6E75441}: NameServer = 8.8.8.8
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{C619AEA5-60A3-4290-BAF9-66BC61915649}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{C619AEA5-60A3-4290-BAF9-66BC61915649}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{CB0FBA55-DE8E-4875-8BE0-BF20AFB532B0}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{CB0FBA55-DE8E-4875-8BE0-BF20AFB532B0}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet003\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178

если, вдруг, после фикса пропадёт интернет пропишите DNS рекомендованные провайдером.

 

2) HitmanPro 3.7 - деинсталируйте.

Google Update Helper - также советую деинсталировать.

Kaspersky Total Security - советую обновить до 2018 версии.

 

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

4) Сделайте и прикрепите свежие логи.

 

5) Программы/расширения от Mail.ru используете?
 

[code-by]

как удалить Google Update Helper  ?

Kaspersky Total Security вроде самый последний 18.0.0.405 (d)

virusinfo на данный момент не работает

программы от mail.ru есть, но комп не мой. я бы удалил )

Изменено 25 ноября, 2017 пользователем code-by

[regist]

1)

как удалить Google Update Helper ?

в списке установленных программ его не видно?
2)

 

 

программы от mail.ru есть, но комп не мой. я бы удалил )

программ в явном виде не увидел, а вот рассширения, в том числе и от яндекса видно

Extension bhjhnafpiilpffhglajcaepjbnbjemci 2 Поиск Mail.Ru 12.0.23
Extension enafhpjmlnpmbdnbpjkihmadnkfnpiim 2 Визуальные Закладки Mail.Ru 12.0.38
Extension necfmkplpminfjagblfabggomdpaakan 2 Поиск  Яндексa 2.0.3.15
Extension odijcgafkhpobjlnfdgiacpdenpmbgme 2 Домашняя страница Mail.Ru 11.0.4

 

предполагаю, что они бонусом при установке каких-то программ установились.

Можете удалить их вручную из управления рассширениями Google Chrome, либо

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

заодно и на другую адварь проверим.

+ жду всё остальное.

[code-by]

логи, в т.ч. адвар с сегодняшним и предыдущими логами
иногда в каспере вылазит такое + другие сертификаты на сайты где в название присутствует google
+ скрин рекламы и попапа

из лога скрипта 8. запускался с правами админа.
такого каталог вообще нет C:\Program Files\FireStream Voyage Clock\


"лог скрипта №8":

 

Выполняется автокарантин
Файл успешно помещен в карантин (C:\Program Files\Lenovo\Bluetooth Software\SysWOW64\BtMmHook.dll)
Файл успешно помещен в карантин (C:\Program Files\Broadcom\Broadcom 802.11\BCMWLTRY.EXE)
Файл успешно помещен в карантин (c:\program files\lenovo\bluetooth software\bluetooth headset helper.exe)
Файл успешно помещен в карантин (C:\Program Files\Lenovo\Bluetooth Software\BTStackServer.exe)
Файл успешно помещен в карантин (C:\Program Files\Lenovo\Bluetooth Software\BTTray.exe)
Файл успешно помещен в карантин (C:\Program Files\Lenovo\Bluetooth Software\btwdins.exe)
Файл успешно помещен в карантин (C:\Program Files\Microsoft Office\Office14\GROOVEMN.EXE)
Файл успешно помещен в карантин (c:\program files (x86)\intel\intel(r) usb 3.0 extensible host controller driver\application\iusb3mon.exe)
Файл успешно помещен в карантин (C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.dll)
Файл успешно помещен в карантин (C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web\dd96efbab789dc6da733169c6ddd1209\System.Web.ni.dll)
Файл успешно помещен в карантин (C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web.Abstract#\e39dc8e948d4c15bd566d0992cd8824c\System.Web.Abstractions.ni.dll)
Файл успешно помещен в карантин (C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web.Extensio#\70fe80a57c56dc7c3090b525d0dd0ddd\System.Web.Extensions.ni.dll)
Файл успешно помещен в карантин (C:\Program Files\Broadcom\Broadcom 802.11\WLTRAY.EXE)
Файл успешно помещен в карантин (C:\Program Files\Broadcom\Broadcom 802.11\WLTRYSVC.EXE)
Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\drivers\BCM42RLY.sys)
 Карантин с использованием прямого чтения - ошибка
Файл успешно помещен в карантин (C:\Windows\system32\drivers\BCM42RLY.sys)
Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_dumpata.sys)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_dumpata.sys)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_dumpfve.sys)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_dumpfve.sys)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_msahci.sys)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\Drivers\dump_msahci.sys)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\drivers\BCM42RLY.sys)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\SystemRoot\System32\Drivers\sptd.sys)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\SystemRoot\System32\Drivers\sptd.sys)
 Карантин с использованием прямого чтения - ошибка
Файл успешно помещен в карантин (C:\Program Files\Lenovo\Bluetooth Software\BtwProximityCP.dll)
Ошибка карантина файла, попытка прямого чтения (HP1100LM.DLL)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (HP1100LM.DLL)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (localspl.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (localspl.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (FXSMON.DLL)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (FXSMON.DLL)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (tcpmon.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (tcpmon.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (usbmon.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (usbmon.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (WSDMon.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (WSDMon.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (inetpp.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (inetpp.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Program Files\FireStream Voyage Clock\FireStream Voyage Clock.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Program Files\FireStream Voyage Clock\FireStream Voyage Clock.dll)
 Карантин с использованием прямого чтения - ошибка
Файл успешно помещен в карантин (C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_27_0_0_187_pepper.exe)
Ошибка карантина файла, попытка прямого чтения ( aitagent )
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения ( aitagent )
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\ehome\mcupdate)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\ehome\mcupdate)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\ehome\ehrec)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\ehome\ehrec)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\ehome\ehrec)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\ehome\ehrec)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\InputPersonalization.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\InputPersonalization.exe)
 Карантин с использованием прямого чтения - ошибка
Файл успешно помещен в карантин (C:\Program Files (x86)\Opera\launcher.exe)
Ошибка карантина файла, попытка прямого чтения ("c:\program files (x86)\opera\launcher.exe"  https://www.skype.com/go/downloading?source=lightinstaller&ver=7.30.66.105&LastError=2)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения ("c:\program files (x86)\opera\launcher.exe"  https://www.skype.com/go/downloading?source=lightinstaller&ver=7.30.66.105&LastError=2)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения ("c:\program files (x86)\google\chrome\application\chrome.exe"  http://ui.skype.com/ui/0/7.22.0.109/ru/abandoninstall?page=tsProgressBar)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения ("c:\program files (x86)\google\chrome\application\chrome.exe"  http://ui.skype.com/ui/0/7.22.0.109/ru/abandoninstall?page=tsProgressBar)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (lsass.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (lsass.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (services.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (services.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (firefox.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (wmpnetwk.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (chrome.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Program Files (x86)\Google\Chrome\Application\51.0.2704.103\Installer\chrmstp.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Program Files (x86)\Google\Chrome\Application\51.0.2704.103\Installer\chrmstp.exe)
 Карантин с использованием прямого чтения - ошибка
Автокарантин завершен

 

https://virusinfo.info/virusdetector/report.php?md5=8CE699236528CE559C1BE8F67A3B286F

Нашел исходник откуда берется counteflix

https://m59.prod2016.com/QualityCheck/ga.js

теперь бы понять почему браузер встраивает этот скрипт

вот еще

https://protectsurf-a.akamaihd.net/loaders/2593/l.js?pid=2593&ext=Counterflix&subid=9560-1011&zoneid=88822283&rvz_subid=59002
https://protectsurf-a.akamaihd.net/loaders/2600/l.js?pid=2600&ext=Counterflix&subid=9560-1019&zoneid=88842129&rvz_subid=59002https://asrvvv-a.akamaihd.net/get?addonname=Counterflix&clientuid=721414AC9CEA175A6ECE4D5C0280DB09&subID=59002&affid=9560&subaffid=1019
https://cdncache-a.akamaihd.net/sub/b156ae9/59002/l.js?pid=2204&ext=Counterflix
https://cjs.linkbolic.com/scjs/lcjs/ctxjs.js?aff_id=2032&subaff_id=59002&sbrand=Counterflix
https://googleads.g.doubleclick.net/pagead/html/r20171113/r20170110/zrt_lookup.html#
https://istatic.davebestdeals.com/fo/ec/nova0830.js?subid=59002&bname=Counterflix&blink=http%3A%2F%2Fwww.counterflix.com
https://k4n8g7z4.map2.ssl.hwcdn.net/s/50fefe0c-5595-4413-b964-a02a58aebaa8.js?cb=18895
https://n170adserv.com/js/show_ads_supp.js?pubId=23
https://pagead2.googlesyndication.com/pagead/js/r20171113/r20170110/osd.js
https://pagead2.googlesyndication.com/pagead/js/r20171113/r20170110/show_ads_impl.js
https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js
https://pstatic.davebestdeals.com/nwp/v0_0_1188/release/Shared/App/SharedApp.js?t=0
https://pstatic.davebestdeals.com/nwp/v0_0_1188/release/Shared/Extra/IFrameStoreReciever.js

https://px.media-serving.com/pops/gprtb.php?&publisher_id=1785&tk=c734296c9cf7bcce4bacd6be52247f26&subid=JMC2032_59002&cjspid=2032&m=f&ref=https%3A%2F%2Fwww.tut.by%2F%3Fcrnd%3D84135&t=1511626445730&kw=false

https://qdatasales.com/scripts/Pt8cY8Qvgbs5.js
https://s.pmddby.com/cpv?type=rjs&key=0BOFY15NM5M7&pt=t&zoneid=88822283&adult=no&subid=9560-1011&url=https%3A%2F%2Fwww.tut.by%2F%3Fcrnd%3D84135&context=Белорусский%20портал%20TUTBY%20Новости%20Беларуси%20и%20мира&callback=m6Tv8Ug4oQO&referer=&_cb=1511626932904

https://s.pmddby.com/pops?c=aHR0cHMlM0EvL3d3dy50dXQuYnkvP2NybmQ9ODQxMzU6OnotMjIwNC04NzczMzg2MDo60LHQtdC70L7RgNGD0YHRgdC60LjQuSzQv9C%2B0YDRgtCw0LssdHV0LGJ5LNC90L7QstC%2B0YHRgtC4LNCx0LXQu9Cw0YDRg9GB0Lgs0Lgs0LzQuNGA0LA%3D&a=1&ch=&subid=g-87733860-8e53074189b94671ae40469a5186c40f-&cb=JhqKfOhXsMz5hMtK6Hl4&data_fr=true&data_proto=https%3A&ed=1&bf=1&fo=1&data_bf=1&data_fo=1&pt=p&pt=r&pt=t&pt=w&ms=43956&r=1511626452

https://utop.it/pp/d.jsp?v=11#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

https://v207.info/mos?said=59002&pid=75041&san=Counterflix&met=1|0

https://v24s.net/fox?m=tp&t=00182&ge=BY

CollectionLog-2017.11.25-14.31.zip

AdwCleaner.zip

Изменено 25 ноября, 2017 пользователем regist
спойлер

[regist]

1) Вы из Минска?

 

2) скачайте отсюда Оперу и проверьте проблему в ней.
 

3)

 

из лога скрипта 8. запускался с правами админа. такого каталог вообще нет C:\Program Files\FireStream Voyage Clock\

Это из-за файла задания

C:\Windows\Tasks\FireStream Voyage Clock.job

смело можете его удалить (всё равно такие задания на 7-ке не работают).

Либо для удаления выполнить скрипт AVZ

begin
 DeleteFile('C:\Windows\Tasks\FireStream Voyage Clock.job','32');
end.

[code-by]

да, из Минска

 

после удаления в appdata каталогов mozila profiles всё (counterflix) исчезло. в хроме сделал сброс. тоже не вылазит.

 

оперу проверю. тут на компе еще есть стационарная.

 

вроде avz забросила некоторые файлы, думаю, их нужно вернуть обратно

adwclean постоянно находит

PUP.Optional.Legacy, C:\Windows\System32\config\systemprofile\appdata\local\installationconfiguration.xml

но такого файла нет (включено отображение системных и скрытых файлов)

теперь во всех браузерах (ИЕ не проверял) на контрольном сайте скрипты загружаются такие же как и на компе с убунтой

Изменено 25 ноября, 2017 пользователем code-by

[regist]

 

 

оперу проверю. тут на компе еще есть стационарная.

нужно в чистой, а в той что у вас стоит неизвестно что установлено. Так что лучше скачайте по моей ссылке и проверяете там.

 

 

на контрольном сайте скрипты загружаются такие же как и на компе с убунтой

 

 

на контрольном сайте скрипты загружаются такие же как и на компе с убунтой

Немного не понял, проблема осталась только на определённом сайте, а так решена? Тогда может это реклама самого сайта?

Или проблема в том числе и на убунте?

[code-by]

 

оперу проверю. тут на компе еще есть стационарная.

нужно в чистой, а в той что у вас стоит неизвестно что установлено. Так что лучше скачайте по моей ссылке и проверяете там.

 

 

на контрольном сайте скрипты загружаются такие же как и на компе с убунтой

 

 

на контрольном сайте скрипты загружаются такие же как и на компе с убунтой

Немного не понял, проблема осталась только на определённом сайте, а так решена? Тогда может это реклама самого сайта?

Или проблема в том числе и на убунте?

 

 

на одном из сайтов, на котором в скриптах было много левых, теперь загружаются только те скрипты, как на том же сайте, что и на компе где убунту и нет вирусов. на других сайтах на зараженном компе тоже уже ничего не лезет как раньше. так что считаю что проблема решена.

и очень странно что касперский не распознавал эти скрипты как вирусные.

оперу обновил до новой, тоже все ок.

единственное было бы неплохо вернуть обратно файлы, которые avz поместил в карантин, например C:\Program Files\FireStream Voyage Clock

[regist]

 

 

единственное было бы неплохо вернуть обратно файлы, которые avz поместил в карантин

Вы же сами пишите поместил в карантин, а не удалил. Так что вы собираетесь возвращать, если что где было там и осталось?

 

 

например C:\Program Files\FireStream Voyage Clock

Которой у вас и не было, поэтому AVZ и не нашёл, что и следует из скопированной вами текстовки.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

+

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

[code-by]

Поиск критических уязвимостей

UAC (контроль учётных записей) отключён.

http://windows.microsoft.com/ru-ru/windows/turn-user-account-control-on-off

 

Обнаружено уязвимостей: 1