Открываются рекламные вкладки. WinRST

[uburuntu]

Добрый вечер!

Частенько в браузерах открываются вкладки с рекламой.

 

Пытался исправить ситуацию с AdwCleaner, но список в AdwCleaner[R5].txt остается даже после удаления и перезагрузки.

И реклама не исчезает.

CollectionLog-2014.10.16-20.09.zip

AdwCleanerR0.txt

AdwCleanerS0.txt

AdwCleanerR5.txt

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('DaemonMBRPerl', 4);
DeleteService('DaemonMBRPerl');
SetServiceStart('DefaultFormatPath', 4);
DeleteService('DefaultFormatPath');
SetServiceStart('DriverMacroProcess.exe', 4);
DeleteService('DriverMacroProcess.exe');
DeleteService('gupdatem');
DeleteService('gupdate');
TerminateProcessByName('c:\program files (x86)\edealpop\edealpop.exe');
QuarantineFile('c:\program files (x86)\edealpop\edealpop.exe','');
TerminateProcessByName('c:\users\lomali\appdata\local\drivermacroprocess\drivermacroprocess.exe');
QuarantineFile('c:\users\lomali\appdata\local\drivermacroprocess\drivermacroprocess.exe','');
TerminateProcessByName('c:\windows\syswow64\defaultformatpath\defaultformatpath.exe');
QuarantineFile('c:\windows\syswow64\defaultformatpath\defaultformatpath.exe','');
TerminateProcessByName('c:\windows\syswow64\daemonmbrperl\daemonmbrperl.exe');
QuarantineFile('c:\windows\syswow64\daemonmbrperl\daemonmbrperl.exe','');
TerminateProcessByName('c:\users\lomali\appdata\local\drivermacroprocess\cgifreewarememory.exe');
QuarantineFile('c:\users\lomali\appdata\local\drivermacroprocess\cgifreewarememory.exe','');
DeleteFile('c:\users\lomali\appdata\local\drivermacroprocess\cgifreewarememory.exe','32');
DeleteFile('c:\windows\syswow64\daemonmbrperl\daemonmbrperl.exe','32');
DeleteFile('c:\windows\syswow64\defaultformatpath\defaultformatpath.exe','32');
DeleteFile('c:\users\lomali\appdata\local\drivermacroprocess\drivermacroprocess.exe','32');
DeleteFile('c:\program files (x86)\edealpop\edealpop.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eDealPop');
DeleteFileMask('c:\program files (x86)\edealpop', '*', true);
DeleteDirectory('c:\program files (x86)\edealpop');
DeleteFileMask('c:\users\lomali\appdata\local\drivermacroprocess', '*', true);
DeleteDirectory('c:\users\lomali\appdata\local\drivermacroprocess');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:28055

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

[uburuntu]

Спасибо, что откликнулись.

 

Ответ на письмо:

Запрос [KLAN-2063561146]
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

daemonmbrperl.exe,
defaultformatpath.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

edealpop.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

 

 

CollectionLog-2014.10.16-23.24.zip

[thyrex]

Сделайте лог ComboFix

[uburuntu]

Почему-то за первый запуск лог не сохранился.

Прикрепил результат второго запуска.

ComboFix.txt

[Roman_Five]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::

 

File::

 

Driver::

 

NetSvc::

 

Folder::

c:\windows\SysWow64\DaemonMBRPerl

 

Registry::

 

FileLook::

 

DirLook::



c:\users\Lomali\AppData\Local\DriverMacroProcess

c:\windows\SysWow64\DefaultFormatPath



 

RegLock::



[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0009\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0010\AllUserSettings]

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[uburuntu]

Добрый вечер!
Прикрепил новые логи.

ComboFix.txt

CollectionLog-2014.10.17-19.33.zip

[Roman_Five]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::
 
File::
c:\users\Lomali\AppData\Local\DriverMacroProcess\DriverMacroProcess.exe
 
Driver::
DriverMacroProcess
DriverMacroProcess.exe
 
NetSvc::
 
Folder::
c:\users\Lomali\AppData\Local\DriverMacroProcess
c:\windows\SysWow64\DefaultFormatPath
 
Registry::
 
FileLook::
 
DirLook::
 
RegLock::
 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

прокси Ваш?

127.0.0.1:23935

[thyrex]

 

 

прокси Ваш?

Это от удаляемого Pirrit. Под снос

[uburuntu]

Вот скрипт выполнил.

Прокся не моя.

 

Реклама уже перестала вылезать, может уже кончено?)

А почему такой крепкий вирус?

ComboFix.txt

[Roman_Five]

пофиксите в Hijackthis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:23935

Деинсталлируйте ComboFix:

- нажмите Win+R 

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

 

Для устранения уязвимостей выполните в AVZ скрипт из файла ScanVuln.txt

Откройте файл avz_log.txt из подпапки LOG (AVZ4\LOG\avz_log.txt) или из корня диска С (С:\avz_log.txt).

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.

Важно: обратите внимание, при установке сервис-паков и обновлении ОС может потребоваться повторная активация Windows.

Перезагрузите компьютер.

Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

[uburuntu]

@Roman_Five,@thyrex, спасибо, ребята!