Форум esetnod32.ru [тема: Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу)] http://forum.esetnod32.ru Новое в теме Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 06:56:58 +0300 Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
посмотрите так же содержимое файла task.bat


====quote====
Полное имя                  C:\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS
Имя файла                   TASK.VBS
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      175 байт
Создан                      21.05.2017 в 02:17:44
Изменен                     21.05.2017 в 02:17:44
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
CmdLine                     //B //NOLOGO "C:\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS"
SHA1                        9B4C08036116A2E6666AD0E603F02A9CFBB52050
MD5                         3F7550A13CA402923655771967CEEC0D
                           
#FILE#                      Set objShell = CreateObject("WScript.Shell")
objShell.Run("C:\Windows\system32\cmd.exe /c ""C:\Program Files\Intel\SUR\QUEENCREEK\task.bat"""), 0
Set objShell = Nothing

                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\USER_ESRV_SVC_QUEENCREEK
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E84D324D-5B37-40F6-A1C9-F88A6F8BFBDD}\Actions
Actions                     "C:\Windows\System32\Wscript.exe" //B //NoLogo "C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E84D324D-5B37-40F6-A1C9-F88A6F8BFBDD}\
=============

возможно, через него выполнялись деструктивные действия.
в образе автозапуска он не виден
                           
+

выполните наши рекомендации по безопасной работе в сети.
https://forum.esetnod32.ru/forum9/topic13764//
15.12.2017 04:12:30, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101327/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101327/ Fri, 15 Dec 2017 04:12:30 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ну тогда может на этот раз я вам чем-то помог)))

В любом случае, думаю все наши с вами процедуры были не лишними. Пока вроде все норм, за такой промежуток времени обычно уже вылетало несколько раз что-то, а сейчас все ок.

Спасибо)
14.12.2017 20:46:46, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101324/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101324/ Thu, 14 Dec 2017 20:46:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Посмотрел логи.
Судя по всему это косяк\недоработка в программе uVS
так, как задача не отображается, как самостоятельная.
------------
А в uVS это прописано как часть данных для хрома.
CmdLine                   GEEKTO.NET/E5A
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5785CBF7-80A3-4251-9A37-A660ED4DF63D}\Actions
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GEEKTONETE5A
Actions                     "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" geekto.net/e5a
-------------
А в FRST она есть.
Task: {5785CBF7-80A3-4251-9A37-A660ED4DF63D} - System32\Tasks\geektonete5a => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" geekto.net/e5a
2017-12-13 18:15 - 2017-12-13 18:15 - 000003666 _____ C:\Windows\System32\Tasks\geektonete5a
14.12.2017 19:36:37, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101321/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101321/ Thu, 14 Dec 2017 19:36:37 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
С расширениями я сразу разобрался. Еще до того как сюда писал, действительно были и я их удалил. На данный момент оставил только те, которыми уже давно пользуюсь, лишние удалил.

Но нашел вот какой интересный способ. Суть описана тут: https://www.youtube.com/watch?v=fiYwW_oMH0E

И что вы думаете, я таки нашел у себя подозрительную задачу в планировщике, с другим названием и аргументом, но суть та же, если скопировать его и вставить в адресную строку, то запускаются те самые сайты.

В общем я удалил эту задачу из планировщика и жду теперь, смотрю появится ли проблема снова, ибо не ясно как эта задача туда установилась, и не сможет ли вернуться туда снова.

Прикладываю скрины этой заразы:


14.12.2017 18:58:26, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101320/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101320/ Thu, 14 Dec 2017 18:58:26 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Браузер расширения.

В адресной строке браузера пропишите:
для
Яндекс браузер:
browser://extensions/

ХРОМ:
chrome://extensions/

Опера:  
opera://extensions

Firefox:
about:addons

nternet Explorer:
Зайти в раздел настроек браузера, выбрать меню "Настроить надстройки":
В открывшемся окне кликните на расширение.

Откроется список расширений браузера.


Отключите все расширения кроме: Flash  ( Adobe Systems )
* Если возникнет необходимость потом их можно включить.
Оцените результат.
---------
+
Получение списока расширений с помощью программы ccleaner.
http://pchelpforum.ru/f26/t24207/2/#post1171371
>
Сервис > Автозагрузка.
там
Вкладки: Windows и Запланированные задачи.
>
Сервис > Автозагрузка.

Там есть вкладки браузеров - можно Выключить/удалить все расширения кроме Flash плеера.
И посмотреть как это повлияет на работу браузеров.
14.12.2017 18:43:53, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101319/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101319/ Thu, 14 Dec 2017 18:43:53 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Роман Танасиенко написал:
Скажите
=============

Проблема связана либо с левыми расширениями браузера, либо с работой роутера.
Если реклама _только в одном браузере - то дело в расширениях браузера.
Если реклама во всех браузерах - то дело в роутере.
-----
14.12.2017 18:40:26, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101318/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101318/ Thu, 14 Dec 2017 18:40:26 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Как бы то ни было, настройки роутера я сбросил, затем восстановил (аппаратно, с помощью мелкой кнопки в углублении корпуса).

И почти тут же загрузилась левая страница. В общем на этот раз проблема никуда не делась. Вирус засел глубоко :cry:

Что посоветуете? Кроме переустановки ОС разумеется, это самый последний и не очень желательный вариант понятное дело.
14.12.2017 18:40:05, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101317/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101317/ Thu, 14 Dec 2017 18:40:05 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
сбросить настройки роутера, и заново настроить роутер для работы в сети, + установить надежный пароль к настройкам роутера.
=============
Скажите, а как это может быть связанно с роутером? У меня мощные пароли стоят везде, и на самом роутере тоже.

После того как сброшу и восстановлю настройки проблема должна исчезнуть или мне нужно будет заново процедуры выполнять выше перечисленные в этой беседе?  
14.12.2017 17:06:18, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101315/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101315/ Thu, 14 Dec 2017 17:06:18 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
У меня стоит роутер, да. А пользуюсь я только Хромом.

Ок, попробую сбросить, только позже.

После отпишусь
14.12.2017 15:48:28, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101312/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101312/ Thu, 14 Dec 2017 15:48:28 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
во всех браузерах запускаются эти страницы?
если у вас доступ в сеть через роутер, пробуйте аппаратно сбросить настройки роутера, и заново настроить роутер для работы в сети, + установить надежный пароль к настройкам роутера.
14.12.2017 15:38:59, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101310/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101310/ Thu, 14 Dec 2017 15:38:59 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Только что опять запустился левый сайт какой-то.
14.12.2017 14:05:51, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101308/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101308/ Thu, 14 Dec 2017 14:05:51 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделал, прилагаю
Fixlog.txt
14.12.2017 13:39:26, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101307/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101307/ Thu, 14 Dec 2017 13:39:26 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

====code==== 
GroupPolicy: Restriction <==== ATTENTION
CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1431066552&z=c9f9d52223edcac3b4ca11bgcz0ccg8e5qdq7qfb7g&from=cmi&uid=3219913727_198339_38E3BDF9
CHR StartupUrls: Default -> "hxxps://mail.google.com/mail/ca/u/0/#inbox","hxxp://www.youtube.com/","hxxp://vk.com/feed","hxxp://www.oursurfing.com/?type=hp&ts=1431066552&z=c9f9d52223edcac3b4ca11bgcz0ccg8e5qdq7qfb7g&from=cmi&uid=3219913727_198339_38E3BDF9","hxxp://www.oursurfing.com/?type=hppp&ts=1431066570&z=c5e0fa0417feec8eb14072bg1z6c0g6ecq1q5q5tab&from=cmi&uid=3219913727_198339_38E3BDF9","hxxp://mail.ru/cnt/10445?gp=811138","hxxps://www.google.com/"
OPR Extension: (ScriptGate) - C:\Users\idext\AppData\Roaming\Opera Software\Opera Stable\Extensions\eeocknbjpmfgaclencnfjfkklmmfmiie [2017-12-13]
CHR Extension: (Browsec VPN - Free and Unlimited VPN) - C:\Users\idext\AppData\Local\Google\Chrome\User Data\Default\Extensions\omghfjlpggmjjaagoclmmobgdodcjboh [2017-12-13]
EmptyTemp:
Reboot:
=============
14.12.2017 13:30:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101306/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101306/ Thu, 14 Dec 2017 13:30:14 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Роман Танасиенко написал:

3. Сделал (вложение)


=============
забыл вложить, вот:
AdwCleaner[S8].txt
14.12.2017 13:12:29, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101303/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101303/ Thu, 14 Dec 2017 13:12:29 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
2. Удалил
3. Сделал (вложение)
4. Ничего не обнаружено.
5. http://rgho.st/private/6BYgd8tzz/82eef1e56390e891f7ea973a17eb4357 - Addition.txt
http://rgho.st/private/8fYWd7w4w/18f5d6ad7dbca2a9c3cb0b851dcd8a8f - FRST.txt
14.12.2017 13:12:00, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101302/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101302/ Thu, 14 Dec 2017 13:12:00 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
14.12.2017 12:49:52, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101299/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101299/ Thu, 14 Dec 2017 12:49:52 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот только что опять запустилась страница да еще и со звуком (quantumsystemm.org)  :(  
14.12.2017 12:24:07, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101297/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101297/ Thu, 14 Dec 2017 12:24:07 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скрипт выполнил.
Деинсталяции программ не было.
Перезагрузил.
Сделал дополнительно быструю проверку системы в малваребайт:
сохранил отчет, нажал поместить в карантин, после чего софт попросил перезагрузиться, что я опять и сделал.

Отчет прикладываю
малваребайт.txt
14.12.2017 12:12:40, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101296/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101296/ Thu, 14 Dec 2017 12:12:40 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1431066552&Z=C9F9D52223EDCAC3B4CA11BGCZ0CCG8E5QDQ7QFB7G&FROM=CMI&UID=3219913727_198339_38E3BDF9
delref HTTP://WWW.OURSURFING.COM/?TYPE=HPPP&TS=1431066570&Z=C5E0FA0417FEEC8EB14072BG1Z6C0G6ECQ1Q5Q5TAB&FROM=CMI&UID=3219913727_198339_38E3BDF9
delall %SystemDrive%\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS
apply

deltmp
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
14.12.2017 04:42:40, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101288/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101288/ Thu, 14 Dec 2017 04:42:40 +0300 Обнаружение вредоносного кода и ложные срабатывания Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте. Прошу помочь мне еще раз. Какой скрипт стоит выполнить с учетом вложенных мной отчетов:

1. Malwarebytes report - 2 угрозы поместил в карантин, затем удалил от туда
2. образ автозапуска в uVS
3. AdwCleaner[S7].txt - тут угроз не обнаружено

Заранее очень сильно благодарю за помощь, и за ту, что оказывали ранее!
Malwarebytes report.txt
AdwCleaner[S7].txt
PC-MSI_2017-12-13_22-41-31.7z
13.12.2017 22:47:33, Роман Танасиенко.]]> http://forum.esetnod32.ru/messages/forum6/topic14339/message101278/ http://forum.esetnod32.ru/messages/forum6/topic14339/message101278/ Wed, 13 Dec 2017 22:47:33 +0300 Обнаружение вредоносного кода и ложные срабатывания