Вирус показывает рекламу в браузерах и произвольно открывает страницы

[kantr]

Здравствуйте.

 

Приобрел новый ноутбук с Windows 8. Во процессе установки привычного софта (Хром, К-лайт кодек пак) поймал вирусов. Предустановленный на системе McAfee сообщил, что называются эти вирусы artemis, block-and-surf или как-то так.

 

Во всех браузерах появились навязчивые нездешние баннеры с рекламой, плюс раз в несколько минут произвольно вылезает окно интернет-эксплорера с предложением посмотреть каких-то очень смешных картинок про тюленей и женщин, балансирующих с фаллосом на лбу.

 

Воспользовался советом с сайта саппорта Касперского - установил Virus Removal Tool, запустил систему в безопасном режиме, прогнал полную проверку. Тул нашел несколько угроз и обезвредил их, но проблема не исчезла. Полная проверка силами Kaspersky Internet Security тоже не помогла.

 

Заранее спасибо за помощь.

CollectionLog-2014.10.15-13.14.zip

[Roman_Five]

Деинсталлируйте:

ConvertAd-->"C:\Users\Вадим\AppData\Local\ConvertAd\uninstall.exe"

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('C:\Users\Вадим\AppData\Local\Pokki\Engine\HostAppServiceUpdater.exe');
TerminateProcessByName('c:\users\Вадим\appdata\local\pokki\engine\hostappservice.exe');
TerminateProcessByName('c:\users\Вадим\appdata\local\convertad\convertad.exe');
QuarantineFile('C:\Users\Вадим\AppData\Local\Pokki\Engine\libPokki.dll','');
QuarantineFile('C:\Users\Вадим\AppData\Local\Pokki\Engine\HostAppServiceUpdater.exe','');
QuarantineFile('c:\users\Вадим\appdata\local\pokki\engine\hostappservice.exe','');
QuarantineFile('c:\users\Вадим\appdata\local\convertad\convertad.exe','');
DeleteFile('c:\users\Вадим\appdata\local\convertad\convertad.exe','32');
DeleteFile('c:\users\Вадим\appdata\local\pokki\engine\hostappservice.exe','32');
DeleteFile('C:\Users\Вадим\AppData\Local\Pokki\Engine\HostAppServiceUpdater.exe','32');
DeleteFile('C:\Users\Вадим\AppData\Local\Pokki\Engine\libPokki.dll','32');
DeleteFileMask('C:\Users\Вадим\AppData\Local\Pokki\ ','* ',true ,' ');
DeleteDirectory('C:\Users\Вадим\AppData\Local\Pokki\ ',' ');
DeleteFileMask('c:\users\Вадим\appdata\local\convertad\ ','* ',true ,' ');
DeleteDirectory('c:\users\Вадим\appdata\local\convertad\ ',' ');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pokki');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Сделайте новые логи по правилам.

+

приложите лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

+

у Вас остались следы от 360 Internet Security Cloud Security

удалять будем?

[kantr]

Сделал все по пунктам. При попытке отправить файл на проверку форма отправки сообщила, что размер отправляемого файла не может быть больше 1,5 мб, в то время как AVZ создал файл Quarantine.zip объемом 29 мб. Что я сделал не так?

>>у Вас остались следы от 360 Internet Security Cloud Security

удалять будем?

 

Да, хотелось бы, спасибо!

[Roman_Five]

 

 

Что я сделал не так?

с карантином потом разберёмся.

прикладывайте свежие логи автологгера и adwcleaner'a

 

 

Да, хотелось бы

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetServiceStart('BAPIDRV', 4);
DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
DeleteFileMask('C:\Program Files (x86)\360\ ','* ',true ,' ');
DeleteDirectory('C:\Program Files (x86)\360 ',' ');
DeleteFileMask('C:\$360Section\ ','* ',true ,' ');
DeleteDirectory('C:\$360Section',' ');
DeleteFileMask('C:\ProgramData\360Quarant\ ','* ',true ,' ');
DeleteDirectory('C:\ProgramData\360Quarant ',' ');
DeleteService('BAPIDRV');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

[kantr]

Готово.

AdwCleanerR0.txt

CollectionLog-2014.10.15-14.13.zip

[Roman_Five]

удалите всё найденное в AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

новый лог после перезагрузки приложите.

+

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

 >>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса

[kantr]

Сделал.

AdwCleanerS0.txt

[Roman_Five]

что с проблемой?

[kantr]

Ни баннеров, ни гребаных тюленей пока не наблюдается. Спасибо! Поражен оперативностью.

[Roman_Five]

Для устранения уязвимостей выполните в AVZ скрипт из файла ScanVuln.txt
Откройте файл avz_log.txt из подпапки LOG (AVZ4\LOG\avz_log.txt) или из корня диска С (С:\avz_log.txt).
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Важно: обратите внимание, при установке сервис-паков и обновлении ОС может потребоваться повторная активация Windows.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

 

на этом всё.

[kantr]

Все сделал. Еще раз большое спасибо!