Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу)

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 13.12.2017 22:47:33

Здравствуйте. Прошу помочь мне еще раз. Какой скрипт стоит выполнить с учетом вложенных мной отчетов:

1. Malwarebytes report - 2 угрозы поместил в карантин, затем удалил от туда
2. образ автозапуска в uVS
3. AdwCleaner[S7].txt - тут угроз не обнаружено

Заранее очень сильно благодарю за помощь, и за ту, что оказывали ранее!

Прикрепленные файлы

Malwarebytes report.txt (2.54 КБ)
AdwCleaner[S7].txt (1.66 КБ)
PC-MSI_2017-12-13_22-41-31.7z (863.99 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.12.2017 04:42:40

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1431066552&Z=C9F9D52223EDCAC3B4CA11BGCZ0CCG8E5QDQ7QFB7G&FROM=CMI&UID=3219913727_198339_38E3BDF9 delref HTTP://WWW.OURSURFING.COM/?TYPE=HPPP&TS=1431066570&Z=C5E0FA0417FEEC8EB14072BG1Z6C0G6ECQ1Q5Q5TAB&FROM=CMI&UID=3219913727_198339_38E3BDF9 delall %SystemDrive%\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS apply deltmp delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\BLANK.HTM ;------------------------------------------------------------- restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1431066552&Z=C9F9D52223EDCAC3B4CA11BGCZ0CCG8E5QDQ7QFB7G&FROM=CMI&UID=3219913727_198339_38E3BDF9
delref HTTP://WWW.OURSURFING.COM/?TYPE=HPPP&TS=1431066570&Z=C5E0FA0417FEEC8EB14072BG1Z6C0G6ECQ1Q5Q5TAB&FROM=CMI&UID=3219913727_198339_38E3BDF9
delall %SystemDrive%\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS
apply

deltmp
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 14.12.2017 12:12:40

Скрипт выполнил.
Деинсталяции программ не было.
Перезагрузил.
Сделал дополнительно быструю проверку системы в малваребайт:
сохранил отчет, нажал поместить в карантин, после чего софт попросил перезагрузиться, что я опять и сделал.

Отчет прикладываю

Прикрепленные файлы

малваребайт.txt (2.67 КБ)

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 14.12.2017 12:24:07

Вот только что опять запустилась страница да еще и со звуком (quantumsystemm.org)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.12.2017 12:49:52

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 14.12.2017 13:12:00

2. Удалил
3. Сделал (вложение)
4. Ничего не обнаружено.
5. http://rgho.st/private/6BYgd8tzz/82eef1e56390e891f7ea973a17eb4357 - Addition.txt
http://rgho.st/private/8fYWd7w4w/18f5d6ad7dbca2a9c3cb0b851dcd8a8f - FRST.txt

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 14.12.2017 13:12:29

Цитата
Роман Танасиенко написал: 3. Сделал (вложение)

забыл вложить, вот:

Прикрепленные файлы

AdwCleaner[S8].txt (1.72 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.12.2017 13:30:14

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
GroupPolicy: Restriction <==== ATTENTION CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1431066552&z=c9f9d52223edcac3b4ca11bgcz0ccg8e5qdq7qfb7g&from=cmi&uid=3219913727_198339_38E3BDF9 CHR StartupUrls: Default -> "hxxps://mail.google.com/mail/ca/u/0/#inbox","hxxp://www.youtube.com/","hxxp://vk.com/feed","hxxp://www.oursurfing.com/?type=hp&ts=1431066552&z=c9f9d52223edcac3b4ca11bgcz0ccg8e5qdq7qfb7g&from=cmi&uid=3219913727_198339_38E3BDF9","hxxp://www.oursurfing.com/?type=hppp&ts=1431066570&z=c5e0fa0417feec8eb14072bg1z6c0g6ecq1q5q5tab&from=cmi&uid=3219913727_198339_38E3BDF9","hxxp://mail.ru/cnt/10445?gp=811138","hxxps://www.google.com/" OPR Extension: (ScriptGate) - C:\Users\idext\AppData\Roaming\Opera Software\Opera Stable\Extensions\eeocknbjpmfgaclencnfjfkklmmfmiie [2017-12-13] CHR Extension: (Browsec VPN - Free and Unlimited VPN) - C:\Users\idext\AppData\Local\Google\Chrome\User Data\Default\Extensions\omghfjlpggmjjaagoclmmobgdodcjboh [2017-12-13] EmptyTemp: Reboot:

Код

GroupPolicy: Restriction <==== ATTENTION
CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1431066552&z=c9f9d52223edcac3b4ca11bgcz0ccg8e5qdq7qfb7g&from=cmi&uid=3219913727_198339_38E3BDF9
CHR StartupUrls: Default -> "hxxps://mail.google.com/mail/ca/u/0/#inbox","hxxp://www.youtube.com/","hxxp://vk.com/feed","hxxp://www.oursurfing.com/?type=hp&ts=1431066552&z=c9f9d52223edcac3b4ca11bgcz0ccg8e5qdq7qfb7g&from=cmi&uid=3219913727_198339_38E3BDF9","hxxp://www.oursurfing.com/?type=hppp&ts=1431066570&z=c5e0fa0417feec8eb14072bg1z6c0g6ecq1q5q5tab&from=cmi&uid=3219913727_198339_38E3BDF9","hxxp://mail.ru/cnt/10445?gp=811138","hxxps://www.google.com/"
OPR Extension: (ScriptGate) - C:\Users\idext\AppData\Roaming\Opera Software\Opera Stable\Extensions\eeocknbjpmfgaclencnfjfkklmmfmiie [2017-12-13]
CHR Extension: (Browsec VPN - Free and Unlimited VPN) - C:\Users\idext\AppData\Local\Google\Chrome\User Data\Default\Extensions\omghfjlpggmjjaagoclmmobgdodcjboh [2017-12-13]
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 14.12.2017 13:39:26

Сделал, прилагаю

Прикрепленные файлы

Fixlog.txt (2.56 КБ)

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 14.12.2017 14:05:51

Только что опять запустился левый сайт какой-то.