Переходы по вредоносным ссылкам

[Kortel]

Доброго времени.

Сканирование антивирусом не дает результата, поэтому обращусь сюда. Большая благодарность тем, кто поможет.

Часто стали вылетать окна, в которых высвечивается запрет от антивируса на переход по вредоносным ссылкам или скачивание вредоносных программ. Обычно это происходит в браузере Опера, сам пользователь ничего не открывает и даже не видит никаких открытых окон, в диспетчере задач тоже ничего нет.

Скриншот:

 

CollectionLog-2020.01.27-02.17.zip

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Kortel]

@thyrex, спасибо за инструкции!

Все прикреплено.

arhiv.rar

ClearLNK-2020.01.29_22.48.29.log

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-557324647-2977437852-1735087126-1000\...\Run: [amigo] => C:\Users\AMC\AppData\Local\Amigo\Application\amigo.exe [962024 2017-11-15] (LLC Mail.Ru -> Mail.Ru) <==== ATTENTION
HKU\S-1-5-18\...\RunOnce: [panda] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda" /f <==== ATTENTION
HKU\S-1-5-18\...\RunOnce: [panda_XP] => reg.exe delete "HKCU\Software\panda" /f <==== ATTENTION
Task: {06C2B7B6-5734-451E-A47D-EC8825719EE1} - \{537CBE65-8055-4A19-828F-5793B2CDE763} -> No File <==== ATTENTION
Task: {0A747C8A-B590-4431-BAC4-3E81F7A49B5C} - \{FF33F84F-F982-4438-8AD1-4FA53370E18C} -> No File <==== ATTENTION
Task: {157D4D78-E068-43B4-9EBD-1B5A01AEF6DD} - System32\Tasks\Eventer utilityS-1-5-21-557324647-2977437852-1735087126-1000 => C:\Users\AMC\AppData\Local\Mail.Ru\Atom\Application\eventer.exe [6492856 2019-12-18] (LLC Mail.Ru -> The Atom Authors) <==== ATTENTION
Task: {157FE896-AC1E-4BE5-B870-0870B3CA0F36} - \{DA75BACE-4E2D-4D98-9FBB-E22FE03A527C} -> No File <==== ATTENTION
Task: {3309A531-BEE9-40E1-B41B-2C3A7D4E42DD} - \Phoenix Browser Updater -> No File <==== ATTENTION
Task: {3E821C9D-D899-443C-886D-ED913D1FED2F} - \InternetSC -> No File <==== ATTENTION
Task: {68685CFF-8BC3-48DA-BC5A-0B09699CF7A4} - \{D03B9C02-9140-4D23-9D3A-CF9CA30732C1} -> No File <==== ATTENTION
Task: {6EBBDC00-2E6A-40A6-863F-2711BDAD8E5F} - \{F7947EC9-9693-48CB-B6A3-1324168F2C69} -> No File <==== ATTENTION
Task: {73A1EDE9-0C71-49B1-9A3B-0CC889D47AED} - \syslog -> No File <==== ATTENTION
Task: {94E7204F-1CC6-40D8-88F4-95F8308B73AA} - \fupdate -> No File <==== ATTENTION
Task: {B430D1C5-7313-4CEE-BFE8-22D2CA90410E} - \{9643D313-6312-40D4-BA95-F87493E52269} -> No File <==== ATTENTION
Task: {BBCB3447-7742-4380-B341-DFAE59D95D14} - \{73DE9505-A506-412A-B67E-5BDFE5FAEC63} -> No File <==== ATTENTION
SearchScopes: HKU\S-1-5-21-557324647-2977437852-1735087126-1000 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = hxxp://pandasecurity.mystart.com/results.php?pr=vmn&gen=ms&id=pandasecuritytb&v=4_3&idate=2017-02-13&ent=ch_675&q={searchTerms}
OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=34EB195BBD52EEF92A9A1E3172D322AB&utm_d=20170114","hxxps://www.yandex.ru/?win=263&clid=2256844"
S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
AlternateDataStreams: C:\Users\AMC\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\AMC\AppData\Roaming:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [152]
FirewallRules: [TCP Query User{597D28BE-4EC8-4E95-B897-412058CC1368}C:\users\amc\desktop\skype.exe] => (Allow) C:\users\amc\desktop\skype.exe No File
FirewallRules: [UDP Query User{596D80DD-89D8-4BA8-9B75-D2BDC440A561}C:\users\amc\desktop\skype.exe] => (Allow) C:\users\amc\desktop\skype.exe No File
FirewallRules: [TCP Query User{BB70062C-E245-41B8-9908-2A24B5D9D066}C:\program files\coop-land\counter-strike global offensive\csgo.exe] => (Block) C:\program files\coop-land\counter-strike global offensive\csgo.exe No File
FirewallRules: [UDP Query User{5D31086B-6D8C-4CCA-92C5-30B917A1F76A}C:\program files\coop-land\counter-strike global offensive\csgo.exe] => (Block) C:\program files\coop-land\counter-strike global offensive\csgo.exe No File
FirewallRules: [TCP Query User{0ADD1FAD-DFB0-43AD-AEF8-AAEE7C26A34E}C:\program files\java\jre7\bin\java.exe] => (Block) C:\program files\java\jre7\bin\java.exe No File
FirewallRules: [UDP Query User{E1E32410-22E1-4FD1-9196-763CB80F17AE}C:\program files\java\jre7\bin\java.exe] => (Block) C:\program files\java\jre7\bin\java.exe No File
FirewallRules: [{11974FC7-A61E-403D-BB24-201A0EA47C54}] => (Allow) C:\Program Files\UBar\ubar.exe No File
FirewallRules: [{76149B2F-491F-45A2-B4EC-8CA13FA39C86}] => (Allow) C:\Program Files\Steam\Steam.exe No File
FirewallRules: [{E1B3855A-B6F1-4BF8-90C6-3B4A95C927DF}] => (Allow) C:\Program Files\Steam\Steam.exe No File
FirewallRules: [{EAC8CEFA-45B5-4041-BFC4-4684B8927F04}] => (Allow) C:\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{086BBA78-26AE-4A05-B334-9124681A2349}] => (Allow) C:\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [TCP Query User{6037228A-4517-4AB5-A50C-21F2378DBC71}C:\games\witch it v0.6.1\witchit\binaries\win32\propwitchhuntmodule-win32-shipping.exe] => (Allow) C:\games\witch it v0.6.1\witchit\binaries\win32\propwitchhuntmodule-win32-shipping.exe No File
FirewallRules: [UDP Query User{012A60F8-0082-425F-B451-47178AA4EACD}C:\games\witch it v0.6.1\witchit\binaries\win32\propwitchhuntmodule-win32-shipping.exe] => (Allow) C:\games\witch it v0.6.1\witchit\binaries\win32\propwitchhuntmodule-win32-shipping.exe No File
FirewallRules: [TCP Query User{2CCF4A32-8FBB-4D30-89B5-B3969D08E847}C:\users\amc\desktop\si\арт\skype.exe] => (Block) C:\users\amc\desktop\si\арт\skype.exe No File
FirewallRules: [UDP Query User{9CE003BC-2FAD-4213-A30E-5B03E9B4706D}C:\users\amc\desktop\si\арт\skype.exe] => (Block) C:\users\amc\desktop\si\арт\skype.exe No File
FirewallRules: [{01D2B4EB-0C05-4149-AE12-5223AC05EA54}] => (Allow) C:\Program Files\pandasecuritytb\cleanupie.exe No File
FirewallRules: [{AB3F2F5B-E7A1-432F-AA20-44EAB28A2C28}] => (Allow) C:\Program Files\pandasecuritytb\cleanupie.exe No File
FirewallRules: [{83A168BF-1631-463D-907D-54BFA2153BDC}] => (Allow) C:\Program Files\pandasecuritytb\ToolbarCleaner.exe No File
FirewallRules: [{DD61E704-6934-4427-AAEB-F451349DA84B}] => (Allow) C:\Program Files\pandasecuritytb\ToolbarCleaner.exe No File
FirewallRules: [{0D4A71BA-8797-4A47-97BE-6C43004CC282}] => (Allow) c:\program files\txgameassistant\appmarket\AppMarket.exe No File
FirewallRules: [{C1B2CB33-6126-4668-9A39-C3D12C2EB01E}] => (Allow) c:\program files\txgameassistant\appmarket\TInst.exe No File
FirewallRules: [{F32E5EEB-C66B-4FAA-A76F-EB756586B6BC}] => (Allow) c:\program files\txgameassistant\appmarket\bugreport.exe No File
FirewallRules: [{440DA325-37CC-471A-96B5-7023BB40FABB}] => (Allow) c:\program files\txgameassistant\appmarket\QQExternal.exe No File
FirewallRules: [{A0E99A67-771C-4651-9538-4EADD9256C0C}] => (Allow) c:\program files\txgameassistant\appmarket\GameDownload.exe No File
FirewallRules: [{5E1E22B6-2F38-41CD-952E-53842CCC2035}] => (Allow) c:\program files\txgameassistant\appmarket\GF186\TUpdate.exe No File
FirewallRules: [{16328D1F-BB0B-4CC1-8533-92549AC9C829}] => (Allow) c:\program files\txgameassistant\ui\AndroidEmulator.exe No File
FirewallRules: [{E55531D8-B981-4C4C-B96A-83740D0234D9}] => (Allow) c:\program files\txgameassistant\ui\adb.exe No File
FirewallRules: [{37D90FC9-7AA7-4B67-B78A-EBB7E1EEED14}] => (Allow) c:\program files\txgameassistant\ui\TInst.exe No File
FirewallRules: [{91A90B7C-64DC-4533-BD91-E1662132F4C9}] => (Allow) c:\program files\txgameassistant\ui\bugreport.exe No File
FirewallRules: [{9ED9EB19-ADF5-4031-AADB-E0D3F7273702}] => (Allow) c:\program files\txgameassistant\ui\TxGaDcc.exe No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Kortel]

@thyrex, готово, спасибо за помощь.

Fixlog.txt

[thyrex]

Что сейчас с проблемой?

[Kortel]

@thyrex, к сожалению, сообщения до сих пор появляются.  

[thyrex]

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему.