Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Произвольно открываются сайты разных казино. (http://forum.oszone.net/showthread.php?t=324616)

trueseeshka 09-03-2017 21:01 2717993
Произвольно открываются сайты разных казино.
 
Вложений: 1
При этом сворачивается любое другое запущенное приложение.

shestale 10-03-2017 06:50 2718058
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\ultimate-discounter browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\ultimate-discounter browser\udservice.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 DeleteFile('c:\program files (x86)\ultimate-discounter browser\udservice.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files (x86)\ultimate-discounter browser', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\ultimate-discounter browser');
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
 DeleteService('Coupons Browser Update Service');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner.

trueseeshka 10-03-2017 11:36 2718139
Вложений: 2
Логи

shestale 10-03-2017 11:40 2718140
Хорошо. Теперь зачистим остатки:Подготовьте логи FRST

Карантин не вижу. Отправляли?

trueseeshka 10-03-2017 13:50 2718170
Отправил все файлы на e-mail

shestale 10-03-2017 17:51 2718232
Цитата:
Цитата trueseeshka
Отправил все файлы на e-mail »
Туда только карантин. Все логи сюда.

Выполните скрипт в Farbar Recovery Scan Tool
Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (SearchWay) - C:\Users\Oxygenium\AppData\Local\Google\Chrome\User Data\Default\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-03-08]
OPR Extension: (SearchWay) - C:\Users\Oxygenium\AppData\Roaming\Opera Software\Opera Stable\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-03-08]
2017-03-07 20:37 - 2017-03-07 20:37 - 00000000 ____D C:\Users\Oxygenium\AppData\Local\Tempzxpsign1337f921142c7cc7
2017-03-07 20:36 - 2017-03-07 20:36 - 00000000 ____D C:\Users\Oxygenium\AppData\Local\Tempzxpsign2e63c3e6dd736edd
2017-03-07 20:36 - 2017-03-07 20:36 - 00000000 ____D C:\Users\Oxygenium\AppData\Local\Tempzxpsign263adf0df3b6d96b
2017-03-07 20:36 - 2017-03-07 20:36 - 00000000 ____D C:\Users\Oxygenium\AppData\Local\Tempzxpsign2176a755f69dafd5
EmptyTemp:
Reboot:
end
+
Почистите кэш и куки в браузерах.

trueseeshka 10-03-2017 19:50 2718265
Вложений: 1
Куки и кэш почистил.

shestale 11-03-2017 06:31 2718349
Что с проблемой?

trueseeshka 11-03-2017 12:34 2718413
Цитата:
Цитата shestale
Что с проблемой? »
Ничего не изменилось.

shestale 11-03-2017 12:51 2718420
Проблема в каком то одном браузере? Каком? Или в разных?

trueseeshka 11-03-2017 16:14 2718508
Цитата:
Цитата shestale
Проблема в каком то одном браузере? Каком? Или в разных? »
Эти страницы откываются только в браузере, выбранном по-умолчанию - Water Fox.

shestale 11-03-2017 16:43 2718519
Это не стандартный браузер, поэтому могу вам посоветовать только удалить его и установить заново, если он вам так необходим.
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

trueseeshka 12-03-2017 00:10 2718637
Переустановил браузер, но проблема осталась.
Скрытый текст
SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 12.03.2017 00:11:41
Path starting: C:\Users\Oxygenium\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Oxygenium
VersionXML: 4.01is-11.03.2017
___________________________________________________________________________

Windows 10(6.3.10586) (x64) Professional Lang: Russian(0419)
Дата установки ОС: 24.06.2016 14:37:07
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 178011 мин.
Статус лицензии: Office 15, OfficeProjectProVL_KMS_Client edition Windows находится в режиме уведомления
Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Windows находится в режиме уведомления
Статус лицензии: Office 15, OfficeSPDFreeR_PrepidBypass edition Постоянная активация прошла успешно.
Статус лицензии: Office 15, OfficeVisioProVL_KMS_Client edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Waterfox\waterfox.exe
Системный диск: C: ФС: [NTFS] Емкость: [118.8 Гб] Занято: [76.9 Гб] Свободно: [41.9 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.713.10586.0
Контроль учётных записей пользователя включен

Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x86 v.15.0.4569.1506
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (отключен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (отключен)
-------------------------- [ SecurityUtilities ] --------------------------
Adguard v.6.1.312.1629
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.01 (64-разрядная) v.4.01.0 Внимание! Скачать обновления
Foxit Reader v.8.0.6.909 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Picasa 3 v.3.9.141.255 Данная программа больше не поддерживается разработчиком.
VLC media player 2.1.0-git v.2.1.0-git Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.43293 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 101 v.8.0.1010.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 NPAPI v.24.0.0.221
------------------------------- [ Browser ] -------------------------------
Waterfox 51.0.1 (x64 en-US) v.51.0.1
Google Chrome v.56.0.2924.87 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 43.0.2442.1144 v.43.0.2442.1144
Tor Browser 5.5.8 v.5.5.8 Внимание! Скачать обновления
------------------ [ AntivirusFirewallProcessServices ] -------------------
Adguard Service (Adguard Service) - Служба работает
C:\Program Files (x86)\Adguard\AdguardSvc.exe v.6.1.312.1629
Служба Защитника Windows (WinDefend) - Служба остановлена
Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Intel Security True Key v.4.4.135.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Ultimate-Discounter Browser v.2.25 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

shestale 12-03-2017 06:03 2718655
По ссылкам из лога закрывайте уязвимости.
Цитата:
Цитата trueseeshka
Переустановил браузер, но проблема осталась. »
Тут либо проблема в том, что в других браузерах проблема тоже есть, но пока не проявилась, либо вы его удалили не чисто и остались следы, в которых и кроется проблема этого браузера, например прописанный прокси или дописка в его ярлыке и т.п.
Попробуйте его удалить совсем и желательно с полной зачисткой следов в реестре на день-два и потестировать работу в других браузерах.


Время: 01:23.

Время: 01:23.
© OSzone.net 2001-