Реклама в браузере

9 января, 2015

Здравствуйте! Помогите почистить компьютер. Антивирусник стоит, недавно активирован новый период, до этого был перерыв, видимо нахватали. Проверки не находят проблем.

Реклама на открываемых страницах (мелкая, справа, слева, внизу), через некоторое время урлы на страницах становятся не активными и любое нажатие кнопки мыши открывает дополнительную вкладку в браузере с сайтом рекламы

CollectionLog-2015.01.09-22.14.zip

report1.log

report2.log

9 января, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Admin\AppData\Roaming\Steam\Reversed\steam.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Unity\googleupd.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\25125\Updater.exe','');
 QuarantineFile('C:\Windows\SysWOW64\netupdsrv.exe','');
 DeleteService('ServiceUpdater');
 DeleteFile('C:\Windows\SysWOW64\netupdsrv.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\25125\Updater.exe','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Unity\googleupd.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Steam\Reversed\steam.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи

9 января, 2015

[KLAN-2408636198]

Новые логи

CollectionLog-2015.01.09-23.18.zip

report1.log

report2.log

10 января, 2015

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\torrentexpress\torrentexpress.exe');
 TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe');
 TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe');
 SetServiceStart('APNMCP', 4);
 StopService('APNMCP');
 DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe','32');
 DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32');
 DeleteFile('C:\Program Files (x86)\TorrentExpress\TorrentExpress.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnTBMon');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorrentExpress');
 DeleteService('APNMCP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: TrustMediaViewerV1alpha4400 - {d44a5d6e-e5f2-420f-9a02-3828440c88d9} - (no file)
O4 - HKCU\..\Run: [TorrentExpress] "C:\Program Files (x86)\TorrentExpress\TorrentExpress.exe"

Сделайте новые логи по правилам (только пункт 3).

+ 2 лога

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

11 января, 2015

CollectionLog-2015.01.11-18.50.zip

AdwCleanerR0.txt

mbam.txt

12 января, 2015

отправьте в карантин всё найденное в MBAm (КРОМЕ этих 2-х строк):

Files: 235
RiskWare.Tool.CK, C:\Program Files\TC\Programs\UltraISO\App\UltraISO\reg.zip, , [88100fe5e2a7999d91d83e97738ec040], 
PUP.Optional.Bunndle, C:\Users\Admin\Downloads\warcraft 3 frozen thronerepack tfile ru.zip, , [6a2e569edaaf3bfbb5af6df0ae526d93],

новый лог приложите

удалите всё найденное в AdwCleaner

новый лог приложите.

проверьте на virustotal.com эти 2 файла (вверху).

ссылки на проверки приложите.

17 января, 2015

Ссылки на проверки:
https://www.virustotal.com/ru/file/44568807b611dc015deed78ed3eb94cb1baa0b08ee38a3013643bb60774c11fb/analysis/1421234603/

https://www.virustotal.com/ru/file/6c6176dab2fdd2d928e011ce0fd13484427793c676624fb09dd3b0199d2c0387/analysis/1421234949/

AdwCleanerR2.txt

mbam1.txt

17 января, 2015

warcraft 3 frozen thronerepack tfile ru.zip удаляйте. там адваре.

что с проблемой?

19 января, 2015

все в порядке. Спасибо большое!

19 января, 2015

MBAM деинсталлируйте.

20 января, 2015

ок

Реклама в браузере

Рекомендуемые сообщения

Pravda

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Pravda

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Pravda

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Pravda

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Pravda

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Pravda

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum