Самопроизвольные запуск браузера и открытие рекламных страниц

[zyablik 12]

Здрасьте.
Очередная подсадка заразы. Утром нечаянно что-то качнули. Браузер теперь запускается при включении и когда хочет. Посещает разнообразные сайты, куда скажет зараза.
Помогите. Спасибо.
Adwcleaner не вычистил, хотя много чего находил.

AdwCleanerS0.txt AdwCleanerC0.txt 
Adwcleaner удалю через 5 минут.

Логи: CollectionLog-2017.09.11-10.08.zip

GSI: GSI6_PC155_UserPC155_09_11_2017_09_55_44.zip
З.Ы.
В то время, пока я пишу это сообщение, идут доп.окошки Chrome (мол, Chrome не отвечает, перезапустить его сейчас?) Не трогал: уже их 5 таких окошек (на панели задач мигает во всю)...

Изменено 11 сентября, 2017 пользователем zyablik

[regist 617]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\lsid45229.exe');
 TerminateProcessByName('C:\Users\UserPC155\AppData\Local\Temp\00-05024-0fd-61187-5ce85260e90c8\SVVCDQHMDW.exe');
 QuarantineFile('c:\programdata\lsid45229.exe', '');
 QuarantineFile('C:\Users\UserPC155\AppData\Local\Temp\00-05024-0fd-61187-5ce85260e90c8\SVVCDQHMDW.exe', '');
 QuarantineFile('C:\Windows\c7044f5d5a7c51ddf57dff5e40d708fa.ps1', '');
 QuarantineFile('C:\Windows\system32\Tasks\urlopener', '');
 DeleteFile('c:\programdata\lsid45229.exe', '32');
 DeleteFile('C:\Users\UserPC155\AppData\Local\Temp\00-05024-0fd-61187-5ce85260e90c8\SVVCDQHMDW.exe', '32');
 DeleteFile('C:\Windows\c7044f5d5a7c51ddf57dff5e40d708fa.ps1', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "c7044f5d5a7c51ddf57dff5e40d708fa" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "urlopener" /F', 0, 15000, true);
 DeleteService('lsid45229');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CoreTempApp');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SVVCDQHMDW.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

PS. в следующий раз просьба самолечением не заниматься. И в этом разделе лог GSI обычно не нужен.

[zyablik 12]

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Процедуру провели. Архив получился почти 300 Мб-ный. Может из-за этого, но отправить по той форме не получается. Соединение сбрасывается.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
.......................................
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Сделали. Перезагрузка. Проблема исчезла. Спасибо, @regist!

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Отправили. Ответ такой:

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

Malicious code detected by Kaspersky Lab products with KSN technology enabled has been found in the following files:

lsid45229.exe - UDS:DangerousObject.Multi.Generic

No information about the specified files can be found in the antivirus databases:

SVVCDQHMDW.exe

c7044f5d5a7c51ddf57dff5e40d708fa.ps1

Malicious code has been detected in the following files:

urlopener - HEUR:Trojan.Multi.StartPageTask.a

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

CollectionLog-2017.09.11-11.32.zip

PS. в следующий раз просьба самолечением не заниматься. И в этом разделе лог GSI обычно не нужен.

Слушаемся.

Изменено 11 сентября, 2017 пользователем zyablik

[regist 617]

Архив получился почти 300 Мб-ный. Может из-за этого, но отправить по той форме не получается. Соединение сбрасывается.

да, из-за этого. Закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ссылку на скачивание пришлите в ЛС.

1) "Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FhE5NZBFScam04pw8fh9iS47Zsymru4l5yOneSsyoGAROXEQDSvGe_XddJIh3SrWOGQBZILAfdIQ49-xavWJFt9w5kH8-0JnwiK_cpaRMDtERJC3igvIIuNum6fgkT-WQtml41OVkGFALSB0txd
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FhE5NZBFScam04pw8fh9iS47Zsymru4l5yOneSsyoGAROXEQDSvGe_XddJIh3SrWOGQBZILAfdIQ49-xavWJFt9w5kH8-0JnwiK_cpaRMDtERJC3igvIIuNum6fgkT-WQtml41OVkGFALSB0txd
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FhE5NZBFScam04pw8fh9iS47Zsymru4l5yOneSsyoGAROXEQDSvGe_XddJIh3SrWOGQBZILAfdIQ49-xavWJFt9w5kH8-0JnwiK_cpaRMDtERJC3igvIIuNum6fgkT-WQtml41OVkGFALSB0txd
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FhE5NZBFScam04pw8fh9iS47Zsymru4l5yOneSsyoGAROXEQDSvGe_XddJIh3SrWOGQBZILAfdIQ49-xavWJFt9w5kH8-0JnwiK_cpaRMDtERJC3igvIIuNum6fgkT-WQtml41OVkGFALSB0txdvtYIgx63q&q={searchTerms}
O4-32 - HKLM\..\Run: [Aimersoft Helper Compact.exe] C:\Program Files (x86)\Common Files\Aimersoft\Aimersoft Helper Compact\ASHelper.exe (file missing)

2) Проверьте эти файлы на virustotal

C:\Windows\system32\sc.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

И если там рядом найдёте файл

C:\Windows\system32\c8c2503fafef966f049f153da5523774
C:\ProgramData\Hayzumflex\ZumNamlam.dll

или посмотрите поиском на диске по "c8c2503fafef966f049f153da5523774" может найдётся, его тоже проверьте на вирустотал.

 

3) Сделайте свежий лог AdwCleaner-ом.

Изменено 11 сентября, 2017 пользователем regist

[zyablik 12]

Извините, из-за объективных причин не смог ответить. Готовлю ответ.
----------
Пофиксили в HJT.
Результат проверки sc.exe на virustotal: https://www.virustotal.com/#/file/b20bbd7b8b5707acc00d7c51ef79771f22f2e201d4844252b675058ebea9e416/detection 
Файла C:\Windows\system32\c8c2503fafef966f049f153da5523774 нет даже среди скрытых
Папка C:\ProgramData\Hayzumflex пуста

AdwCleanerS0.txt

Изменено 15 сентября, 2017 пользователем zyablik

[regist 617]

 

 

Файла C:\Windows\system32\c8c2503fafef966f049f153da5523774 нет даже среди скрытых

Надо было поиском по имени файла поискать. Но он уже нашёлся, засветился в логе AdwCleaner-а.

 

1) Проверьте на https://www.virustotal.com/ru/

C:\Program Files\c8c2503fafef966f049f153da5523774
C:\Program Files\04130fc055cb3b706f6b7fa8d0ffc800
C:\Program Files\dc12d206760be45cbe73ddc5bc6a635b
C:\Program Files\f181fa7aad16d67b09282cf32ea599c8

2)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

3) "Пофиксите" в HijackThis:

O22 - Task (Ready): c8c2503fafef966f049f153da5523774 - C:\Windows\system32\sc.exe start c8c2503fafef966f049f153da5523774

[zyablik 12]

 C:\AdwCleaner\AdwCleaner[C0].txt случайно удалили. Но эти C:\Program Files\c8c2503fafef966f049f153da5523774... и прочая братия все были удалены.

----------
Сделали по-новой и почистили.
AdwCleanerC1.txt

O22 - Task (Ready): c8c2503fa... пофиксили.

В принципе,   обозначенной в теме проблемы нет давно.

Изменено 15 сентября, 2017 пользователем zyablik

[regist 617]

 

 

Но эти C:\Program Files\c8c2503fafef966f049f153da5523774... и прочая братия все были удалены.

на вирустотал перед этим не проверили? Интересно было посмотреть было на них.

 

Что с проблемой? И для контроля

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

[zyablik 12]

 

Но эти C:\Program Files\c8c2503fafef966f049f153da5523774... и прочая братия все были удалены.

на Вирустотал перед этим не проверили? Интересно было посмотреть было на них.

Увы...

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

....

Нажмите кнопку Scan.

...

Прикрепите отчеты к своему следующему сообщению.

Сделаем.

Изменено 19 сентября, 2017 пользователем zyablik

[zyablik 12]

FRST.txt Addition.txt Shortcut.txt

[regist 617]

1) Эти папки вам знакомы?

C:\ProgramData\spg
C:\ProgramData\s34s
C:\ProgramData\s2ds

2)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  AppInit_DLLs: C:\ProgramData\Hayzumflex\ZumNamlam.dll => No File
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  SearchScopes: HKU\S-1-5-21-2633579703-1755105232-1665030018-1002 -> {902090A4-E9C5-4A29-A0C0-6BF2E90387CC} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H9Bzamobl20544AU,b0065409-7430-4f0a-9b54-17af5449bb9b,
  SearchScopes: HKU\S-1-5-21-2633579703-1755105232-1665030018-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B9D4D122E-6B37-42A6-A859-D7ABB1F744FE%7D&gp=811022
  CHR StartupUrls: Default -> "hxxp://www-searching.com/?pid=s&s=H9Bzamobl20544AU,b0065409-7430-4f0a-9b54-17af5449bb9b,&vp=ch&prd=set_ch"
  CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
  2017-03-02 09:48 - 2017-03-02 09:48 - 000001456 _____ () C:\Users\UserPC155\AppData\Local\Adobe Сохранить для Web 12.0 Prefs
  2017-09-11 09:36 - 2017-09-11 09:36 - 007327744 _____ () C:\Users\UserPC155\AppData\Local\agent.dat
  2017-09-11 09:36 - 2017-09-11 09:36 - 000070800 _____ () C:\Users\UserPC155\AppData\Local\Config.xml
  2017-09-11 09:36 - 2017-09-11 09:36 - 001899002 _____ () C:\Users\UserPC155\AppData\Local\DoubleRannix.tst
  2017-09-11 09:36 - 2017-09-11 09:36 - 000278508 _____ () C:\Users\UserPC155\AppData\Local\Geo-Bam.tst
  2017-09-11 09:35 - 2017-09-11 09:35 - 000140800 _____ () C:\Users\UserPC155\AppData\Local\installer.dat
  2017-09-11 09:36 - 2017-09-11 09:36 - 000005568 _____ () C:\Users\UserPC155\AppData\Local\md.xml
  2017-09-11 09:36 - 2017-09-11 09:36 - 000126464 _____ () C:\Users\UserPC155\AppData\Local\noah.dat
  2017-09-11 09:36 - 2017-09-11 09:36 - 000032038 _____ () C:\Users\UserPC155\AppData\Local\uninstall_temp.ico
  2015-12-18 10:56 - 2015-12-18 10:56 - 000000000 ____H () C:\ProgramData\DP45977C.lfl
  Folder: C:\ProgramData\spg
  Folder: C:\ProgramData\s34s
  Folder:C:\ProgramData\s2ds
  
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[zyablik 12]

Эти папки вам знакомы?

C:\ProgramData\spg
C:\ProgramData\s34s
C:\ProgramData\s2ds

Нет.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
  ............
  Folder:C:\ProgramData\s2ds
  
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Fixlog.txt

Изменено 20 сентября, 2017 пользователем zyablik

[regist 617]

 

 

Нет.

удалите вручную.

 

Проблема решена?

[zyablik 12]

C:\ProgramData\spg

C:\ProgramData\s34s

C:\ProgramData\s2ds

Нет.

удалите вручную.

 

Проблема решена?

Удалил. И еще штук 8 подобных в этой папке (s1co, s1fo, s1tk, s1vo и т.п., все созданы или 11.09, или 15.03.2017; и все пустые).

Проблема давно решена (см. пост#7). Спасибо!

Изменено 20 сентября, 2017 пользователем zyablik

[regist 617]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.