Всплывющие вкладки с рекламой в браузере

[LordKunsaid]

Начали открываться вкладки с адресом mod-blog.com. Потом начал открываться казино вулкан и другие левые сайты. Хотя стоит лицензионный adguard. Из антивирусов стоит Emsisoft. Из фаерволлов родной виндовский с Windows Firewall Control.

CollectionLog-2018.06.25-14.01.zip

Плюс еще в антивирусном сканере унхакме проскользнул биткоин майнер, не успел заскринить.

Изменено 25 июня, 2018 пользователем LordKunsaid

[thyrex]

IObit Uninstaller

Kerish Doctor 2018

SpyHunter4

удалите через Установку программ

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[LordKunsaid]

Programs.rar

[thyrex]

Driver Booster 5 тоже удалите через Установку программ

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Tcpip\..\Interfaces\{66d698f6-ccd0-43a1-b43d-a01bc7a071fe}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
S3 esgiguard; \??\C:\Program Files\SpyHunter\esgiguard.sys [X]
S4 IUFileFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IUFileFilter.sys [X]
2018-06-25 13:27 - 2018-06-25 13:27 - 000002365 _____ C:\spyhunter.fix
2018-06-25 13:27 - 2018-06-25 13:27 - 000000000 ___HD C:\LeKjkKFVbY39BgjH
2018-06-24 11:48 - 2018-06-25 09:19 - 000000350 _____ C:\Windows\Tasks\SpyHunter4.job
2018-06-24 11:48 - 2018-06-24 11:48 - 000003238 _____ C:\Windows\System32\Tasks\SpyHunter4
2016-07-16 14:43 - 2016-07-16 14:43 - 000058368 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\OIIAIIxZUkps.exe
Task: {7022A9D5-A848-48C7-9488-CEBCBDC71AFA} - System32\Tasks\SpyHunter4Startup => C:\Program Files\SpyHunter\SpyHunter4.exe
Task: {7037BF55-6953-4410-921E-3D4D28D2BB5C} - System32\Tasks\Driver Booster SkipUAC (Lordkunsaid) => C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DriverBooster.exe [2018-04-28] (IObit)
Task: {72781F4F-9CC9-45B7-8AA5-CD40365A4914} - System32\Tasks\SpyHunter4 => C:\Program Files\SpyHunter\SpyHunter4.exe
Task: C:\Windows\Tasks\SpyHunter4.job => C:\Program Files\SpyHunter\SpyHunter4.exe
AlternateDataStreams: C:\Windows\system.ini:c10_encryption_d [14]
AlternateDataStreams: C:\Windows\win.ini:c10_encryption_d [14]
AlternateDataStreams: C:\ProgramData\TEMP:6CC69D3C [122]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:6CC69D3C [122]
FirewallRules: [{7E942CA3-8F2A-4357-814C-BA8E13A0F7F4}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DriverBooster.exe
FirewallRules: [{60089047-71C8-454D-A5A5-64F163A4002E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DriverBooster.exe
FirewallRules: [{8BB6E75E-9160-493A-AF8C-F615CD04A2DC}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DBDownloader.exe
FirewallRules: [{B62B3670-D0E5-438F-8593-FB3DBAC7CC4D}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DBDownloader.exe
FirewallRules: [{D412249D-3ACC-4478-8C50-474CA6513095}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\AutoUpdate.exe
FirewallRules: [{EC691F60-077A-4821-B885-80C4C25240C5}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\AutoUpdate.exe
C:\Windows\SysWOW64\yiOoIUkOIKuI.exe
FirewallRules: [{47CC0B46-E9A4-480E-89DA-33D619A3CF06}] => (Allow) C:\Program Files (x86)\Common Files\OIIAIIxZUkps.exe
FirewallRules: [{8868B89F-EBED-4705-B2F2-291D8C6DF635}] => (Allow) C:\Windows\SysWOW64\yiOoIUkOIKuI.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[LordKunsaid]

Fixlog.txt

OIIAIIxZUkps.exe - да, вот это сканер посчитал майнером.

[akoK]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin

DeleteFile(GetAVZDirectory+'FRST_Quarantine.7z');

ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus FRST_Quarantine '+GetSystemDisk+':\FRST\Quarantine\ ', 1, 0, true);

end.

 

Файл FRST_Quarantine.7z из папки с распакованной утилитой AVZ (находится в папке AutoLogger)  отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

[LordKunsaid]

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
DeleteFile(GetAVZDirectory+'FRST_Quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus FRST_Quarantine '+GetSystemDisk+':\FRST\Quarantine\ ', 1, 0, true);
end.

 

Файл FRST_Quarantine.7z из папки с распакованной утилитой AVZ (находится в папке AutoLogger)  отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Ошибка при отправке письма. Письмо не отправлено. @ вставлял.

Изменено 25 июня, 2018 пользователем LordKunsaid

[thyrex]

Что с проблемой? Если актуальна, то укажите, в каком браузере наблюдается

[LordKunsaid]

Вроде нигде больше ни чего не выскакивает.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[LordKunsaid]

лог:

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 25.06.2018 18:13:48

Path starting: C:\Users\Lordkunsaid\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Lordkunsaid

VersionXML: 5.15is-24.06.2018

___________________________________________________________________________

 

Windows 10(6.3.14393) (x64) EnterpriseS Версия: 1607 Lang: Russian(0419)

Дата установки ОС: 05.05.2018 16:08:08

Статус лицензии: Windows®, EnterpriseS edition Срок истечения многопользовательской активации: 245748 мин.

Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 257381 мин.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe

Системный диск: C: ФС: [NTFS] Емкость: [119.2 Гб] Занято: [61.8 Гб] Свободно: [57.4 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.2312.14393.0

Контроль учётных записей пользователя включен

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2016 x86 v.16.0.4266.1001

---------------------------- [ Antivirus_WMI ] ----------------------------

Emsisoft Anti-Malware (включен и обновлен)

Windows Defender (выключен и обновлен)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Emsisoft Anti-Malware (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Windows Firewall Control v.5.3.1.0

Emsisoft Internet Security v.2017.3

-------------------------- [ SecurityUtilities ] --------------------------

HitmanPro 3.8 v.3.8.0.294

Unchecky v1.2 v.1.2

UnHackMe 9.90

Adguard v.6.2.437.2171

Zemana AntiMalware v.2.74.0.150

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

qBittorrent 4.0.4 v.4.0.4 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 30 NPAPI v.30.0.0.113

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 60.0.2 (x64 ru) v.60.0.2

Opera Stable 53.0.2907.99 v.53.0.2907.99 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files\Mozilla Firefox\firefox.exe v.60.0.2.6730

------------------ [ AntivirusFirewallProcessServices ] -------------------

Adguard Service (Adguard Service) - Служба работает

C:\Program Files (x86)\Adguard\AdguardSvc.exe v.6.2.437.2171

C:\Program Files\Emsisoft Internet Security\a2start.exe v.2018.5.0.8686

C:\Program Files\Emsisoft Internet Security\a2guard.exe v.2018.5.0.8686

Emsisoft Protection Service (a2AntiMalware) - Служба работает

C:\Program Files\Emsisoft Internet Security\a2service.exe v.2018.5.0.8686

Unchecky (Unchecky) - Служба работает

C:\Program Files (x86)\Unchecky\bin\unchecky_svc.exe v.1.2.0.0

C:\Program Files (x86)\UnHackMe\hackmon.exe v.9.90.0.690

Служба Защитника Windows (WinDefend) - Служба остановлена

Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена

ZAM Controller Service (ZAMSvc) - Служба работает

C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe v.2.74.0.150

---------------------------- [ UnwantedApps ] -----------------------------

Wise Registry Cleaner 9.63 v.9.63 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------

 

 

[thyrex]

Выполните рекомендованное, и на этом закончим

[LordKunsaid]

Кериш доктор мне больше не устанавливать?