Опера открывает вкладки с рекламой

[Dynastes]

Доброго времени суток прошу помощи в решении проблемы.

 

Опера 56.0.... на сайтах интернет-магазинов, торговых площадок и т.п. начала показывать всплывающие окна с рекламой, включая порно, на основе bwplayer. Также при попытках перехода на внутренние ссылки на указанных выше сайтах в новом окне открываются "левые" сайты, очень часто пытается открыть nerohut, а также различные русские казино, букмекерские конторы типа париматча, сайты знакомств, ворлд оф танкс и т.п.  Проблема отмечена только в опере, в остальных имеющихся на ПК браузерах - Firefox. Chrome, IE - такого не наблюдается. АдБлок в Опере включен, списки обновлены на самые последние.

 

На момент появления проблемы стоял КИС 2015, но была просрочена лицензия. Скачал и провел проверку KVRT. Нашла она трояна и 2 потенциально опасных файла, но не вирусы. Названия трояна естественно никто не запоминал, т..к думал, что на этом мое знакомство с ним закончится. Удалил его прогой. Ничего не поменялось.  Затем провел сканирование Malwarebytes. Нашло около 70 "хвостов" от трояна. Удалил их. Опять ничего не поменялось.  Обновил лицензию на КИС 2015, провел полное сканирование. Нашло только в папке C:\Documents and Settings\....\AppData\Locaд \Temp  - HEUR:RiskTool.Win32.BitMiner.gen и :AdWare.Win32.TopApps.a. Были удалены. Но опять ничего не поменялось. Переустановил Оперу - проблему решило, уже обрадовался. Но спустя менее чем сутки проблема вновь вернулась.

 

Провел еще раз сканирование KVRT. Ничего криминального не нашло. Скрин отчета проверки прилагаю.

 

Самое простое решение конечно перейти на пользование другим браузером, но хотелось бы все таки вылечить.

CollectionLog-2018.11.05-08.59.zip

Изменено 5 ноября, 2018 пользователем Dynastes

[mike 1]

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O22 - Task: DE913230-5421-7864-502F-50FB5A34C53A - C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/28efb2c04018ec74 /q" "C:\Users\A4F7~1\AppData\Local\DE0C8C~1\{164ED~1."
O22 - Task: {18662DF9-8D50-300F-F995-7C4A3F7DE04E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\16195c46\164edf06.dll"

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[Dynastes]

Пофиксил.

 

Просканировал.

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [] => [X]

HKU\S-1-5-21-583308013-906823401-505836596-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\DREAMA~1.SCR [141312 2014-06-17] ()

CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION

2018-11-04 08:08 - 2018-11-04 20:20 - 000000000 ____D C:\Users\Все пользователи\16195c46

2018-11-04 08:08 - 2018-11-04 20:20 - 000000000 ____D C:\ProgramData\16195c46

2018-11-04 08:08 - 2018-11-04 08:09 - 000000000 ____D C:\Users\Андрей\AppData\Local\DE0C8C2C-53A1-785B-26DC-0D337963B8C2

Task: {7C1B74BE-60F5-4579-A6D6-C0FF0983BDE9} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION

Task: {948B2F71-87B7-4344-9166-5BC1DE7EA36C} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION

AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [138]

AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [127]

AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [155]

AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [138]

AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [127]

AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [155]

FirewallRules: [{2575371E-ACAC-47A7-A403-E6F667A57055}] => (Allow) C:\Program Files (x86)\Zaxar\zaxarloader.exe

FirewallRules: [{CD2F987F-DA24-4613-96FD-2FE7009FFF8F}] => (Allow) C:\Users\Андрей\AppData\Roaming\SchedTaskSetup\sched.exe

Folder: C:\Users\Андрей\Desktop\AutoLogger-test

EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

[Dynastes]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-583308013-906823401-505836596-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\DREAMA~1.SCR [141312 2014-06-17] ()
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2018-11-04 08:08 - 2018-11-04 20:20 - 000000000 ____D C:\Users\Все пользователи\16195c46
2018-11-04 08:08 - 2018-11-04 20:20 - 000000000 ____D C:\ProgramData\16195c46
2018-11-04 08:08 - 2018-11-04 08:09 - 000000000 ____D C:\Users\Андрей\AppData\Local\DE0C8C2C-53A1-785B-26DC-0D337963B8C2
Task: {7C1B74BE-60F5-4579-A6D6-C0FF0983BDE9} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {948B2F71-87B7-4344-9166-5BC1DE7EA36C} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [138]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [127]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [155]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [138]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [127]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [155]
FirewallRules: [{2575371E-ACAC-47A7-A403-E6F667A57055}] => (Allow) C:\Program Files (x86)\Zaxar\zaxarloader.exe
FirewallRules: [{CD2F987F-DA24-4613-96FD-2FE7009FFF8F}] => (Allow) C:\Users\Андрей\AppData\Roaming\SchedTaskSetup\sched.exe
Folder: C:\Users\Андрей\Desktop\AutoLogger-test
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Сделал.

 

В логе почему-то написано C:\.......\Desktop\AutoLogger-test   --- not found.

 

Хотя папка на рабочем столе имеется, название совпадает.

 

архив Дата_время.zip  на рабочем столе не был создан.

Fixlog.txt

Изменено 5 ноября, 2018 пользователем Dynastes

[mike 1]

Не совпадает, потому что текстовой документ сохранили не в кодировке Юникод

[Dynastes]

@mike 1, переделал

 

 

Fixlog.txt

[mike 1]

Эх, а текст скрипта целиком нужно скопировать, а не одну команду из скрипта.  

[Dynastes]

та что ж такое. что за заговоренный какой-то. Проверил скопировал весь текст. переделаю сейчас.

Попытка номер 3 ? 

Fixlog.txt

[mike 1]

Что с проблемой?

[Dynastes]

Пока что, со вчерашнего вечера проблема мною не была отмечена. Специально просто лазил по ряду сайтов, при работе с которыми она у меня отмечалась.  Надеюсь не появится.

 

Огромное спасибо за помощь.

[mike 1]

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  
• Прикрепите отчет в вашей теме