[решено] Вирус самопроизвольно открывает рекламу в браузере

Sandor · Отправлено: **16:33, 13-04-2017** | #2

Здравствуйте!

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

inyourspace · CollectionLog-2017.04.13-19.39.zip

Сделал!

Sandor · Отправлено: **09:30, 14-04-2017** | #4

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

Ultimate-Discounter Browser

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 QuarantineFile('C:\Windows\system32\tasks\bossnewsbizhugosm', '');
 ExecuteFile('schtasks.exe', '/delete /TN "bossnewsbizhugosm" /F', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zaxar','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

inyourspace · Отправлено: **10:29, 15-04-2017** | #5

Готово! После удаления найденных объектов, появился еще один отчет. Высылаю оба.

shestale · Отправлено: **10:35, 15-04-2017** | #6

Подготовьте логи FRST

inyourspace · Отправлено: **15:41, 25-04-2017** | #7

Прошу прощения за столь долгий ответ, не было возможности пересечься с данным компьютером. Высылаю запрошенные выше логи. Так же, высылаю свежие логи из adwcleaner, так как при проверке сегодня он нашел еще 49 угроз.

Sandor · Отправлено: **15:59, 25-04-2017** | #8

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (TestTrue mini) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\hjjgjobepeoneoaemimcdkefocoedblg [2017-04-19]
OPR Extension: (TestTrue mini) - C:\Users\Andrey\AppData\Roaming\Opera Software\Opera Stable\Extensions\hjjgjobepeoneoaemimcdkefocoedblg [2017-04-19]
Task: {56DF4C5C-5420-49AF-ADC1-7B70F2A50DB9} - System32\Tasks\notbadnewsnetnexasm => Chrome.exe notbadnews.net/nexasm <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

inyourspace · Отправлено: **16:13, 25-04-2017** | #9

Готово

Sandor · Отправлено: **16:21, 25-04-2017** | #10

Что с проблемой?