Вирус открывает браузер на странице dipladoks.org

[HukaTuH 0]

Здравствуйте. Стал донимать вирус добавляющий в авто запуск строку  cmd.exe /c start www.dipladoks.org. Браузер по умолчанию Mozila. Не могу сказать после каких действий или установки какой программы появился вирус. Сканирование Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt! результатов не дало. Файл логов прикрепляю.

Логи

CollectionLog-2018.12.15-13.53.zip

[mike 1 1 044]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('C:\Users\Никика\AppData\Local\Mozilla\Realtek HD\rthdcpl.exe','');

 DeleteService('ccnfd_1_10_0_5');

 DeleteFile('C:\Windows\system32\drivers\ccnfd_1_10_0_5.sys','64');

 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect','x64');

 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Flash Player SU','x64');

 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','x64');

 DeleteSchedulerTask('WinThruster_DEFAULT.job');

 DeleteSchedulerTask('WinThruster_UPDATES.job');

 DeleteFile('C:\Users\Никика\AppData\Local\Mozilla\Realtek HD\rthdcpl.exe','64');

 DeleteSchedulerTask('Realtek HD Audio');

 DeleteSchedulerTask('WinThruster');

 DeleteSchedulerTask('WinThruster_DEFAULT');

 DeleteSchedulerTask('WinThruster_UPDATES');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (Используйте версию HiJackThis из папки Автологгера).

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://isearch.omiga-plus.com/web/?type=ds&ts=1420978091&from=cor&uid=HitachiXHDP725050GLA360_GEA534RV1EWJ7A1EWJ7AX&q={searchTerms}

R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://isearch.omiga-plus.com/web/?type=ds&ts=1420978091&from=cor&uid=HitachiXHDP725050GLA360_GEA534RV1EWJ7A1EWJ7AX&q={searchTerms}

R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://isearch.omiga-plus.com/web/?type=ds&ts=1420978091&from=cor&uid=HitachiXHDP725050GLA360_GEA534RV1EWJ7A1EWJ7AX&q={searchTerms}

R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://isearch.omiga-plus.com/web/?type=ds&ts=1420978091&from=cor&uid=HitachiXHDP725050GLA360_GEA534RV1EWJ7A1EWJ7AX&q={searchTerms}

O4 - HKCU\..\Run: [Никика] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org

O4 - MSConfig\startupreg: Adobe Flash Player SU [command] = C:\Windows\system32\cmd.exe /c start http://tainagame.org && exit (HKLM) (2015/02/01)

O4 - MSConfig\startupreg: CMD [command] = C:\Windows\system32\cmd.exe /c start http://tainagame.org && exit (HKCU) (2015/02/01)

O4 - MSConfig\startupreg: Никика [command] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org (HKCU) (2018/12/15)

 

Сделайте новые логи Автологгером. 

 

[HukaTuH 0]

После перезагрузки реклама не появилась. Спасибо.

CollectionLog-2018.12.15-15.32.zip

[mike 1 1 044]

•  
  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  

• Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  

• Прикрепите отчет к своему следующему сообщению.
  

 

Подробнее читайте в этом руководстве.