Перейти к содержанию
Правила раздела

Поймал blocknsurf

AppleJack

Автор AppleJack,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

AppleJack

AppleJack 0

Опубликовано
Опубликовано

Скачал какую то программу под видом Whatsapp'a, и начали устанавливаться разные программы..

одно время выскакивала домашняя страница webssearches. потом удалил.
Сканировал курейтом, одно время баннеры не появлялись, и спустя пару дней опять появились.
теперь выскакивают баннеры на разных сайтах, пробовал почистить через реестр..не получилось...

Логи прикладываю

CollectionLog-2015.01.03-00.47.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 473

Опубликовано
Опубликовано
Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Users\User\AppData\Roaming\webssearches\UninstallManager.exe','');
 DeleteFile('C:\Users\User\AppData\Roaming\webssearches\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{67C5A5BD-A078-41A3-BEB3-A62A98816FFC}','64');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
 
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите в HiJack
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N
O17 - HKLM\System\CCS\Services\Tcpip\..\{C526DD48-6B7D-4ADE-B828-F97C39F371BA}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

Удалите вручную

C:\Users\User\AppData\Roaming\PennyBee

C:\Windows\system32\drivers\webinstrNewH.sys

C:\ProgramData\WindowsMangerProtect

 

 

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
 
move.gif
 
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

 
Сделайте новые логи
Ссылка на сообщение
Поделиться на другие сайты
AppleJack

AppleJack 0

Опубликовано
  • Автор
Опубликовано

Файл ClearLNK прикреплен.

Новые логи прикрепил


Ответ от newvirus

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

ClearLNK-03.01.2015_22-03.log

CollectionLog-2015.01.03-22.21.zip

Ссылка на сообщение
Поделиться на другие сайты
AppleJack

AppleJack 0

Опубликовано
  • Автор
Опубликовано

номер еще забыл [KLAN-2394643702]


Что с проблемой?

Проблема осталась..
Баннеры выскакивают до сих пор


Вопрос еще такой.
В hijack после фикса эти строки удалить?

post-33261-0-20106600-1420313828_thumb.png

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

 

 

В hijack после фикса эти строки удалить?

Не надо.

 

Скачайте Farbar Recovery Scan Tool  FRST_canned.png?dl=1 и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

FRST.png?dl=1
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418676660&from=slbnew&uid=SamsungXSSDX840XPROXSeries_S1ANNSADC30714N&q={searchTerms}
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3862437827-3973188118-2453035150-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X]
R2 webinstrNewH; \?\C:\Windows\system32\Drivers\webinstrNewH.sys [X]
Folder: C:\Users\User\AppData\Local\Temp26283
2014-12-16 00:27 - 2014-12-16 00:27 - 00000000 __SHD () C:\Users\User\AppData\Local\EmieBrowserModeList
2014-12-15 23:52 - 2014-12-15 23:52 - 00000000 ____D () C:\Users\User\AppData\Local\globalUpdate
C:\Windows\system32\Drivers\webinstrNewH.sys
Task: {11468F18-4425-4290-A168-7DDB998E839A} - \{67C5A5BD-A078-41A3-BEB3-A62A98816FFC} No Task File <==== ATTENTION
EmptyTemp:
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Прикрепите C:\ComboFix.txt
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

 

 

combofix.txt почему то старый остался, за 30.12.2014

Он тоже нужен. Кстати, параллельно вопрос сами Combofix запускали?

Ссылка на сообщение
Поделиться на другие сайты
AppleJack

AppleJack 0

Опубликовано
  • Автор
Опубликовано

 

 

 

combofix.txt почему то старый остался, за 30.12.2014

Он тоже нужен. Кстати, параллельно вопрос сами Combofix запускали?

 

Да, приходилось.

когда искал решение в интернете, наткнулся на эту программу.

 

файл прикрепил

ComboFix.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Пожалуйста больше самостоятельно не запускайте Combofix т.к. это достаточно мощный инструмент, который при неумелом использовании может привести систему в негодность. 

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
 
671e520b7c2d.jpg
 
Скачайте OTCleanIt, запустите, нажмите Clean up
 
 
  • Скачайте DelFix и сохраните утилиту на Рабочем столе
Запустите DelFix

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
Нажмите на кнопку Run
После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
Прикрепите этот отчет в вашей теме.

 

 

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано
Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Запрос на повышение прав для администраторов отключен

 

Обновите:

 


JavaFX 2.0.3 (64-bit) v.2.0.3 Внимание! Скачать обновления

^Скачайте javafx-2_2_21-windows-x64.exe^

JavaFX 2.0.3 SDK (64-bit) v.2.0.3 Внимание! Скачать обновления

^Скачайте javafx_sdk-2_2_21-windows-x64.exe^

Java 7 Update 3 (64-bit) v.7.0.30 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-7u72-windows-x64.exe)^

Java SE Development Kit 7 Update 3 (64-bit) v.1.7.0.30 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-7u72-windows-x64.exe)^

-------------AdobeProduction----------------------

Adobe Flash Player 15 ActiveX v.15.0.0.246 Внимание! Скачать обновления

 


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • DanM
      Не удается удалить троян Trojan:MSIL/Wemaeye.A
      От DanM
      Здравствуйте, обнаружил на своем компьютере Trojan:MSIL/Wemaeye.A.
      Ниже прикрепляю логи из приложения Farbar Recovery Scan Tool, помогите, пожалуйста, избавиться от этого трояна.
      logs.zip
    • Andrew11111
      [РЕШЕНО] Пользователь Klogi - вирус?
      От Andrew11111
      Доброго времени, уважаемые форумчане!
       
      На рабочем ноутбуке - Huawei при его запуске (включение) в самом начале появляется некий пользователь Klogi, который больше нигде не фигурирует. При этом сменить меня (я пользователь) на этого Klogi через виндовс невозможно, зайти за этого пользователя также не возможно (фото прикладываю).
       
      Прошу Вашей помощи в разборе этого кейса
       
       
      CollectionLog-2024.04.30-00.17.zip
    • siemensok
      [РЕШЕНО] Поймал вирусы
      От siemensok
      Приветствую. Поймал какие то вирусы. При включении ПК запускалось какое то приложение через командную строку. Проверил с помощью касперского, он что то нашел и вылечил. Воспользовался AV block remover, он нашел "левого" пользователя John и удалил его вроде как. После этого ошибка при включении ПК вроде как пропала, но боюсь что в дальнейшем может появится снова. Подскажите пожалуйста что можно ещё сделать?
      AV_block_remove_2024.04.28-12.24.log CollectionLog-2024.04.28-12.29.zip
    • Viachek
      Несанкционированная загрузка с/на сайт adtonus.com
      От Viachek
      На сайте есть уже аналогичный вопрос, помеченный гордым тегом "РЕШЕНО", но я повторить все действия, изложенные в той теме не смог. Написано уж больно замудрёно. Можете подсказать какой-то более понятный текст с набором действий, для людей от сохи и желательно с картинками?
    • aronone
      [РЕШЕНО] NET.MALWARE.URL не удаляется, просьба помочь удалить
      От aronone
      Здравствуйте, заметил нагрузку на процессор, проверил куррейтом нашел NET:MALWARE.URL и Trojan.PWS.Banker. , вылечить не получилось, но после перезагрузки куррейт перестал находить вирусы, хотел бы почистить комп полностью
      CollectionLog-2024.04.23-09.35.zip cureit.rar
×
×
  • Создать...