Перейти к содержанию
Правила раздела

Поймал blocknsurf

AppleJack

От AppleJack
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

AppleJack Новичок

AppleJack

Опубликовано
Опубликовано

Скачал какую то программу под видом Whatsapp'a, и начали устанавливаться разные программы..

одно время выскакивала домашняя страница webssearches. потом удалил.
Сканировал курейтом, одно время баннеры не появлялись, и спустя пару дней опять появились.
теперь выскакивают баннеры на разных сайтах, пробовал почистить через реестр..не получилось...

Логи прикладываю

CollectionLog-2015.01.03-00.47.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Users\User\AppData\Roaming\webssearches\UninstallManager.exe','');
 DeleteFile('C:\Users\User\AppData\Roaming\webssearches\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{67C5A5BD-A078-41A3-BEB3-A62A98816FFC}','64');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
 
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите в HiJack
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N
O17 - HKLM\System\CCS\Services\Tcpip\..\{C526DD48-6B7D-4ADE-B828-F97C39F371BA}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

Удалите вручную

C:\Users\User\AppData\Roaming\PennyBee

C:\Windows\system32\drivers\webinstrNewH.sys

C:\ProgramData\WindowsMangerProtect

 

 

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
 
move.gif
 
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

 
Сделайте новые логи
Ссылка на комментарий
Поделиться на другие сайты
AppleJack Новичок

AppleJack

Опубликовано
  • Автор
Опубликовано

Файл ClearLNK прикреплен.

Новые логи прикрепил


Ответ от newvirus

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

ClearLNK-03.01.2015_22-03.log

CollectionLog-2015.01.03-22.21.zip

Ссылка на комментарий
Поделиться на другие сайты
AppleJack Новичок

AppleJack

Опубликовано
  • Автор
Опубликовано

номер еще забыл [KLAN-2394643702]


Что с проблемой?

Проблема осталась..
Баннеры выскакивают до сих пор


Вопрос еще такой.
В hijack после фикса эти строки удалить?

post-33261-0-20106600-1420313828_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

В hijack после фикса эти строки удалить?

Не надо.

 

Скачайте Farbar Recovery Scan Tool  FRST_canned.png?dl=1 и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

FRST.png?dl=1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3862437827-3973188118-2453035150-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X]
R2 webinstrNewH; \?\C:\Windows\system32\Drivers\webinstrNewH.sys [X]
Folder: C:\Users\User\AppData\Local\Temp26283
2014-12-16 00:27 - 2014-12-16 00:27 - 00000000 __SHD () C:\Users\User\AppData\Local\EmieBrowserModeList
2014-12-15 23:52 - 2014-12-15 23:52 - 00000000 ____D () C:\Users\User\AppData\Local\globalUpdate
C:\Windows\system32\Drivers\webinstrNewH.sys
Task: {11468F18-4425-4290-A168-7DDB998E839A} - \{67C5A5BD-A078-41A3-BEB3-A62A98816FFC} No Task File <==== ATTENTION
EmptyTemp:
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Прикрепите C:\ComboFix.txt
Ссылка на комментарий
Поделиться на другие сайты
AppleJack Новичок

AppleJack

Опубликовано
  • Автор
Опубликовано

 

 

 

combofix.txt почему то старый остался, за 30.12.2014

Он тоже нужен. Кстати, параллельно вопрос сами Combofix запускали?

 

Да, приходилось.

когда искал решение в интернете, наткнулся на эту программу.

 

файл прикрепил

ComboFix.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Пожалуйста больше самостоятельно не запускайте Combofix т.к. это достаточно мощный инструмент, который при неумелом использовании может привести систему в негодность. 

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
 
671e520b7c2d.jpg
 
Скачайте OTCleanIt, запустите, нажмите Clean up
 
 
  • Скачайте DelFix и сохраните утилиту на Рабочем столе
Запустите DelFix

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
Нажмите на кнопку Run
После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
Прикрепите этот отчет в вашей теме.

 

 

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Запрос на повышение прав для администраторов отключен

 

Обновите:

 


JavaFX 2.0.3 (64-bit) v.2.0.3 Внимание! Скачать обновления

^Скачайте javafx-2_2_21-windows-x64.exe^

JavaFX 2.0.3 SDK (64-bit) v.2.0.3 Внимание! Скачать обновления

^Скачайте javafx_sdk-2_2_21-windows-x64.exe^

Java 7 Update 3 (64-bit) v.7.0.30 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-7u72-windows-x64.exe)^

Java SE Development Kit 7 Update 3 (64-bit) v.1.7.0.30 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-7u72-windows-x64.exe)^

-------------AdobeProduction----------------------

Adobe Flash Player 15 ActiveX v.15.0.0.246 Внимание! Скачать обновления

 


Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • LeoNid2024
      Поймали шифровщика
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • Максим Шахторин
      Тоже Поймали шифровальщика ELPACO-team
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • AndOrNot
      Поймал шифровальщик ooo4ps и Bitlocker
      От AndOrNot
      Сегодня с утра обнаружилось, что файлы документов на системном диске сервера 1С зашифрованы шифровальщиком. В папках содержится файл FILES_ENCRYPTED.txt, файлы имеют расширение .ooo4ps, локальный диск E:, на котором содержались базы 1С, заблокирован Bitlocker. USB диск, подключенный к серверу и содержавший Windows Backup, пустой. Судя по времени создания файлов, вредонос работал утром в субботу. Прошу помощи.
       
      ooo4ps.zip
    • Helixx
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
×
×
  • Создать...