Поймал blocknsurf

2 января, 2015

Скачал какую то программу под видом Whatsapp'a, и начали устанавливаться разные программы..

одно время выскакивала домашняя страница webssearches. потом удалил.
Сканировал курейтом, одно время баннеры не появлялись, и спустя пару дней опять появились.
теперь выскакивают баннеры на разных сайтах, пробовал почистить через реестр..не получилось...

Логи прикладываю

CollectionLog-2015.01.03-00.47.zip

3 января, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Users\User\AppData\Roaming\webssearches\UninstallManager.exe','');
 DeleteFile('C:\Users\User\AppData\Roaming\webssearches\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{67C5A5BD-A078-41A3-BEB3-A62A98816FFC}','64');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пофиксите в HiJack

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N
O17 - HKLM\System\CCS\Services\Tcpip\..\{C526DD48-6B7D-4ADE-B828-F97C39F371BA}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

Удалите вручную

C:\Users\User\AppData\Roaming\PennyBee

C:\Windows\system32\drivers\webinstrNewH.sys

C:\ProgramData\WindowsMangerProtect

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи

3 января, 2015

Файл ClearLNK прикреплен.

Новые логи прикрепил

Ответ от newvirus

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

ClearLNK-03.01.2015_22-03.log

CollectionLog-2015.01.03-22.21.zip

3 января, 2015

Что с проблемой?

3 января, 2015

номер еще забыл [KLAN-2394643702]

Что с проблемой?

Проблема осталась..
Баннеры выскакивают до сих пор

Вопрос еще такой.
В hijack после фикса эти строки удалить?

3 января, 2015

В hijack после фикса эти строки удалить?

Не надо.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3 января, 2015

Сделано

Addition.txt

FRST.txt

3 января, 2015

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3862437827-3973188118-2453035150-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X]
R2 webinstrNewH; \?\C:\Windows\system32\Drivers\webinstrNewH.sys [X]
Folder: C:\Users\User\AppData\Local\Temp26283
2014-12-16 00:27 - 2014-12-16 00:27 - 00000000 __SHD () C:\Users\User\AppData\Local\EmieBrowserModeList
2014-12-15 23:52 - 2014-12-15 23:52 - 00000000 ____D () C:\Users\User\AppData\Local\globalUpdate
C:\Windows\system32\Drivers\webinstrNewH.sys
Task: {11468F18-4425-4290-A168-7DDB998E839A} - \{67C5A5BD-A078-41A3-BEB3-A62A98816FFC} No Task File <==== ATTENTION
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Прикрепите C:\ComboFix.txt

4 января, 2015

Сделано.

Заметил что баннеры больше не появляются.

combofix.txt почему то старый остался, за 30.12.2014

Fixlog.txt

4 января, 2015

combofix.txt почему то старый остался, за 30.12.2014

Он тоже нужен. Кстати, параллельно вопрос сами Combofix запускали?

4 января, 2015

combofix.txt почему то старый остался, за 30.12.2014

Он тоже нужен. Кстати, параллельно вопрос сами Combofix запускали?

Да, приходилось.

когда искал решение в интернете, наткнулся на эту программу.

файл прикрепил

ComboFix.txt

4 января, 2015

Пожалуйста больше самостоятельно не запускайте Combofix т.к. это достаточно мощный инструмент, который при неумелом использовании может привести систему в негодность.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

Скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

Прикрепите этот отчет в вашей теме.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

4 января, 2015

Все сделал.
Вот файлы.

DelFix.txt

SecurityCheck.txt

4 января, 2015

Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Запрос на повышение прав для администраторов отключен

Обновите:

JavaFX 2.0.3 (64-bit) v.2.0.3 Внимание! Скачать обновления

^Скачайте javafx-2_2_21-windows-x64.exe^

JavaFX 2.0.3 SDK (64-bit) v.2.0.3 Внимание! Скачать обновления

^Скачайте javafx_sdk-2_2_21-windows-x64.exe^

Java 7 Update 3 (64-bit) v.7.0.30 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-7u72-windows-x64.exe)^

Java SE Development Kit 7 Update 3 (64-bit) v.1.7.0.30 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-7u72-windows-x64.exe)^

-------------AdobeProduction----------------------

Adobe Flash Player 15 ActiveX v.15.0.0.246 Внимание! Скачать обновления

Советы и рекомендации после лечения компьютера

6 января, 2015

Готово.

Спасибо вам большое)

Поймал blocknsurf

Рекомендуемые сообщения

AppleJack

thyrex

AppleJack

thyrex

AppleJack

mike 1

AppleJack

mike 1

AppleJack

mike 1

AppleJack

mike 1

AppleJack

mike 1

AppleJack

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum