Unoword 0 Опубликовано 21 августа, 2016 Share Опубликовано 21 августа, 2016 Добрый день! В любом из браузеров самопроизвольно открываются вкладки с рекламой, либо осуществляется самостоятельный переход на страницу с рекламой на действующей вкладке. Полная проверка не принесла результатов. Нужна помощь в устранение данной не контролируемой активности посторонних программ. Спасибо! CollectionLog-2016.08.21-20.39.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 21 августа, 2016 Share Опубликовано 21 августа, 2016 Здравствуйте,HiJackThis профиксить (HiJackThis из каталога AutoLogger) O4 - HKLM\..\Policies\Explorer\Run: [2767701F07124EAB26E284EDE276D036SB] "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --safebrowser O17 - HKLM\System\CSS\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.142.174 O17 - HKLM\System\CSS\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.143.172 O17 - HKLM\System\CSS\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.142.174 O17 - HKLM\System\CSS\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.143.172 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.142.174 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.143.172 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.142.174 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.143.172 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.142.174 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.143.172 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.142.174 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.143.172 O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036 - \Microsoft - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --setresetup O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036 - \Microsoft\Windows - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --setresetup O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036SB - \Microsoft - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --safebrowser O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036SB - \Microsoft\Windows - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --safebrowser O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files\Kinoroom Browser\krbrowser.exe" (file missing) O22 - ScheduledTask: (Ready) ReimageUpdater - {root} - C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe run_task (file missing) Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов: 8.8.8.8 8.8.4.4 AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe',''); QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe',''); QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2767701F07124EAB26E284EDE276D036SB'); DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe','32'); DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{1044C617-ECDF-DDC8-8DE2-2B29925D5512}','32'); DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\2767701F07124EAB26E284EDE276D036SB','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\2767701F07124EAB26E284EDE276D036','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\2767701F07124EAB26E284EDE276D036SB','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\2767701F07124EAB26E284EDE276D036','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. - Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Unoword 0 Опубликовано 22 августа, 2016 Автор Share Опубликовано 22 августа, 2016 отчет о работе ClearLNK и лог ADWCleaner прикреплен quarantine.zip по адресу newvirus@kaspersky.com отправлен Проблема осталась. ClearLNK-22.08.2016_20-34.log AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 23 августа, 2016 Share Опубликовано 23 августа, 2016 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
Unoword 0 Опубликовано 23 августа, 2016 Автор Share Опубликовано 23 августа, 2016 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Файлы, которые были созданы после перезагрузки прикрепил. После перезагрузки запустил ADWCleaner снова. Отчеты также прикрепил. Действие повторил, отчеты прикрепил. Проблема осталась AdwCleanerC0.txt AdwCleanerS1.txt AdwCleanerS2.txt AdwCleanerC2.txt AdwCleanerS2.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 23 августа, 2016 Share Опубликовано 23 августа, 2016 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Unoword 0 Опубликовано 23 августа, 2016 Автор Share Опубликовано 23 августа, 2016 Отчеты прикрепил Перестала запускаться Мозила, выдает такое сообщение: "Не удалось загрузить ваш профиль "Firefox". Возможно, он отсутствует или не доступен" Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 23 августа, 2016 Share Опубликовано 23 августа, 2016 Какие из следующих расширений Вам известны? CHR Extension: (News Tab) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-08-11] CHR Extension: (Google Search) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-28] CHR Extension: (Дополнительные возможности) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfebapdicibciambalncgipoibiopnno [2016-07-19] CHR Extension: (HoneyTab) - C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12} [2016-08-21] OPR Extension: (proplay) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-08-21] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Toolbar: HKU\S-1-5-21-560421024-292296030-378943775-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF HKLM\...\Firefox\Extensions: [{026C16AD-D1E4-4C41-7714-4EEEB639E80A}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found FF HKLM\...\Firefox\Extensions: [{C022C7C0-A4AF-4D98-B15D-2DDF14456FAD}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found FF HKLM\...\Firefox\Extensions: [{09C81EE6-CB33-BDDF-BBD4-7EF2A9904EC6}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found FF HKLM\...\Firefox\Extensions: [{177B6F42-F2B7-2A6A-69E4-AB5C9990F515}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found Folder: C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12} 2016-08-10 21:40 - 2016-08-10 21:40 - 00000124 ___SH C:\Program Files\Common Files\SBEXTS Folder: C:\Users\Admin\AppData\Local\srss Task: {05143008-C070-41F7-A996-DF64555904EE} - \{1044C617-ECDF-DDC8-8DE2-2B29925D5512} -> No File <==== ATTENTION Task: {5797D8EA-F4EB-4D00-A700-C39D4A299931} - \Microsoft\Windows\A9A3E067C-F960-47F3-AE68-6F78557BF2D8 -> No File <==== ATTENTION Task: {8D156966-5C36-498D-8BCC-6673277C8AE3} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION Task: {A04BFB0F-C52C-42CD-8D52-C91CC71199A0} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION Task: {A2A080F8-C6FF-4BCB-A044-113259323BEE} - \srss -> No File <==== ATTENTION Task: {E2A2933B-0755-417A-AC93-F78E24F2505E} - \{79050547-057D-0979-7811-0B7A7E0B117A} -> No File <==== ATTENTION Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Обратите внимание на системное событие: Error: (08/23/2016 08:38:45 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Структура файловой системы на диске повреждена и непригодна к использованию. Запустите программу CHKDSK на томе C:. Выполните проверку файловой системы диска C: в командной строке (cmd.exe) : chkdsk c: /f Цитата Ссылка на сообщение Поделиться на другие сайты
Unoword 0 Опубликовано 24 августа, 2016 Автор Share Опубликовано 24 августа, 2016 Неизвестны, но в реестре и на диске С их удалил. Что теперь с этим системным событием делать? CHKDSK выполнил. Файл прикрепил. Проблема с Мозилой осталась и после переустановки. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 24 августа, 2016 Share Опубликовано 24 августа, 2016 Знакома ли Вам? ========================= Folder: C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12} ======================== 2016-08-21 16:42 - 2016-08-21 16:42 - 0003478 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\128.png 2016-08-21 16:42 - 2016-08-21 16:42 - 0001330 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bg.js 2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgok.js 2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgvk.js 2016-08-21 16:42 - 2016-08-21 16:42 - 0003792 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\hash.js 2016-08-21 16:42 - 2016-08-21 16:42 - 0000616 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\manifest.json 2016-08-21 16:43 - 2016-08-21 16:43 - 0068332 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\Uninstall.exe 2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales 2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en 2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en\messages.json 2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru 2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru\messages.json 2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css 2016-08-21 16:42 - 2016-08-21 16:42 - 0000481 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgok.css 2016-08-21 16:42 - 2016-08-21 16:42 - 0000256 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgvk.css ====== End of Folder: ====== Цитата Ссылка на сообщение Поделиться на другие сайты
Unoword 0 Опубликовано 24 августа, 2016 Автор Share Опубликовано 24 августа, 2016 Знакома ли Вам? ========================= Folder: C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12} ======================== 2016-08-21 16:42 - 2016-08-21 16:42 - 0003478 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\128.png 2016-08-21 16:42 - 2016-08-21 16:42 - 0001330 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bg.js 2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgok.js 2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgvk.js 2016-08-21 16:42 - 2016-08-21 16:42 - 0003792 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\hash.js 2016-08-21 16:42 - 2016-08-21 16:42 - 0000616 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\manifest.json 2016-08-21 16:43 - 2016-08-21 16:43 - 0068332 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\Uninstall.exe 2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales 2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en 2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en\messages.json 2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru 2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru\messages.json 2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css 2016-08-21 16:42 - 2016-08-21 16:42 - 0000481 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgok.css 2016-08-21 16:42 - 2016-08-21 16:42 - 0000256 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgvk.css ====== End of Folder: ====== Нет! Удалять? Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 24 августа, 2016 Share Опубликовано 24 августа, 2016 Нет! Удалять?Нет, выполните следующий фикс, чтобы была возможность откатиться: Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12} Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.