Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] not-a-virus:HEUR:AdWare.Scripy.Generic

Реклама Майнер Троян

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 15

#1 OFF   BioHaker

BioHaker

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 07 Июнь 2019 - 13:57

Здравствуйте.

Пытался своими силами, но не справился.

 

В поле зрения переходов по вредоносным линкам успеваю зафиксировать xml.seavibes.club, после которого происходит редирект на рандомные рекламные сайты.

 

После устновки Касперского, были обнаружены: 

 

1. HEUR:Trojan.Win32.Generic - удален

2. MEM:Trojan.Win32.SPEH.hen - вылечен

3. HEUR:Rootkit.Boot.Agent.gen - вылечен

4. HEUR:RiskTool.Win32.ButMiner.gen - удалён

 

5. HEUR:AdWare.Script.Generic - невозможно вылечить.

 

 

А так же, регулярно возникает ситуаця, что ниже. Чуть ли не каждую минуту деятельности в браузере, если не чаще...

 

1. 07.06.2019 13.41.26; Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;https://m98.prod2016...ityCheck/x.txt;https://m98.prod2016...ityCheck/x.txt; Веб-адрес; Google Chrome;06/07/2019 13:41:26
 
2. 07.06.2019 13.41.24;Загрузка запрещена; https://www.googleta...ache=r20110914;not-a-virus:HEUR:AdWare.Script.Generic; https://www.googleta...ache=r20110914;Google Chrome; Рекламная программа;06/07/2019 13:41:24
 

 

Прикрепленные файлы


Сообщение отредактировал BioHaker: 07 Июнь 2019 - 13:57

  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 546

Отправлено 07 Июнь 2019 - 14:05

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('rcdll');
 QuarantineFile('C:\ProgramData\WindowsMenu\westat.exe', '');
 QuarantineFile('C:\Users\Sirius\AppData\Local\Temp\rcdll.exe', '');
 DeleteSchedulerTask('Microsoft\QuickLaunch');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('Microsoft\Windows\Starter');
 DeleteFile('C:\ProgramData\WindowsMenu\westat.exe', '64');
 DeleteFile('C:\Users\Sirius\AppData\Local\Temp\rcdll.exe', '64');
 DeleteService('rcdll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#3 OFF   BioHaker

BioHaker

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 07 Июнь 2019 - 16:04

Скрипт выполнен. Письмо отправлено - KLAN-10347099686
Лог сделан, прикрепил.

Прикрепленные файлы


Сообщение отредактировал BioHaker: 07 Июнь 2019 - 16:14

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 546

Отправлено 07 Июнь 2019 - 17:10

"Пофиксите" в HijackThis:
O17 - HKLM\System\CCS\Services\Tcpip\..\{10e924a8-9ec5-447f-94e3-8b4f2a0c7301}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{10e924a8-9ec5-447f-94e3-8b4f2a0c7301}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{7aae3fe9-c8fe-4960-8238-207b1f321086}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{7aae3fe9-c8fe-4960-8238-207b1f321086}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{d85b41f5-a7e7-4ae7-9cc7-db23e812d108}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{d85b41f5-a7e7-4ae7-9cc7-db23e812d108}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{ec389bfb-99c8-466b-85ee-35638f9f519e}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{ec389bfb-99c8-466b-85ee-35638f9f519e}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 95.211.158.137
Затем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#5 OFF   BioHaker

BioHaker

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 07 Июнь 2019 - 17:39

"Пофиксите" в HijackThis: — выполнено.

 

Отчёт AdwCleaner прикрепил.

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 546

Отправлено 07 Июнь 2019 - 17:41

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#7 OFF   BioHaker

BioHaker

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 10 Июнь 2019 - 10:01

Добрый день.

Выполнено.

От AdwCleaner почему-то два отчёта. Видимо до и после перезагрузки. Прикрепил крайний по дате создания файла.

 

А так же прикрепил два файла отчёта FRST.
 

Прикрепленные файлы


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 546

Отправлено 10 Июнь 2019 - 10:06

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#9 OFF   BioHaker

BioHaker

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 10 Июнь 2019 - 10:42

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Выполнено с выгруженым антивирусом до перезакгрузки.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   1,34К   скачиваний 1

  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 546

Отправлено 10 Июнь 2019 - 10:45

Проблема решена?
  • 0
  • Спасибо x 1
  • Показать
Изображение

#11 OFF   BioHaker

BioHaker

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 10 Июнь 2019 - 11:04

Проблема решена?

Да.
Каспер больше не наблюдает несанкцианированые переходы по вредоносным адресам.

В ДЗ перестали появляться майнеры.

Подозреваю, что работоспособность системы восстановлена.

СПАСИБО за помощь. Впечатлён. )

P.S. Неужели только такими методами реально избавиться от этой заразы?
 


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 546

Отправлено 10 Июнь 2019 - 11:06

Проделайте завершающие шаги и получите некоторые ответы на вопросы:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
  • Спасибо x 1
  • Показать
Изображение

#13 OFF   BioHaker

BioHaker

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 10 Июнь 2019 - 11:28

Проделайте завершающие шаги и получите некоторые ответы на вопросы:
1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Прикрепленные файлы


  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 546

Отправлено 10 Июнь 2019 - 11:31

--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.4 v.4.14.9788 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.73.0.3683.86 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^


Читайте Рекомендации после удаления вредоносного ПО
  • 0
  • Спасибо x 1
  • Показать
Изображение

#15 OFF   BioHaker

BioHaker

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 10 Июнь 2019 - 12:10

--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.4 v.4.14.9788 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.73.0.3683.86 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^


Читайте Рекомендации после удаления вредоносного ПО

Хром пришлось переустановить, вылетал еррор при попытке обновиться. Последовал согласно инструкции Google Chrome - переустановка.

OpenOffice постигнет такая же участь.


  • 0
  • Согласен x 1
  • Показать





Темы с аналогичными тегами: Реклама, Майнер, Троян

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных