Бесконечная реклама в браузерах

[zyablik]

В последнее время мне "везет" на всякого рода Интернет-зловреды. Вот на одном из многострадальных ПК (никак его не выкинем, вы мне по нему часто помогали), по словам,  "какие-то драйвера" ставили с Интернета. Но, кроме противного, но удаляемого  Амиго, случилось еще.

Началось с того, что у Хрома и Оперы подменилась начальная страница на рекламную Make Money Online www.tiger-profits.org (путем подмены ярлыка на Раб.Столе). Создал чистый ярлык, но эта страница всё равно нет-нет да появляется. Более того, в Хроме внезапно появляется новая вкладка с каким-то адресом, где может быть что-то типа hujyfruvx, ggoloubtrssoitd или прочей абракадабры, но неизменно при этом открывается некое подобие ВК:

Жмешь Ok — сыпет мнимыми угрозами. Вкладку закрыть нельзя, как и сам Хром. Можно закрыть только, выдергивая задачу из памяти.

А внизу и наверху постоянно висит реклама "Клуб распродаж для мам..."/плюс вариации. Незакрываемая.

Еще заметил. При попытке перейти по любой ссылке может открыться вкладка с какой-либо рекламой. Вот жму "Расширенная форма" тут. Начинаю редактировать только со второй попытки.

След один от tiger-profits'а в реестре находил, он касался Оперы. И всё.

ADW-Cleaner ничего не находит. Лог Autologger'а сделал.
Рабочий комп. Доберусь до него только завтра.
Заранее благодарю.

CollectionLog-2015.03.03-17.46.zip

Изменено 3 марта, 2015 пользователем zyablik

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Browsers\exe.arepo.bat','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Browsers\exe.arepo.bat','32');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Amigo\Application\amigo.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

   

  

   

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

[zyablik]

Выполните скрипт в AVZ

...........................................................................................

c:\quarantine.zip отправьте через данную форму.

...........................................................................................

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

  ...............................................................................

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи по правилам

 

Всё выполнил. Правда, ничего не изменилось. В Хроме работать невозможно. Как только запускаю, сразу жму на закладку вашего форума, но уже на ссылке, например, "Уничтожение вирусов" "ладошка" наличия гиперссылки не появляется. Внизу или справа в углу рекламный блок с большим черным крестиком, типа закрыть, жмешь — и появляется это злосчастная вкладка, нарисованная здесь в первом посте.

Все ярлыки Оперы убрал, сделал ярлык с папки установки. В Опере сейчас и работаю, хотя и tiger-profits появляется, но этот хоть закрывается.

От MyKaspersky ответ есть:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

exe.arepo.bat

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

CollectionLog-2015.03.04-09.16.zip

ClearLNK-04.03.2015_08-41.log  — только это, второе вложение верное, извините.

Check_Browsers_LNK.log

Изменено 4 марта, 2015 пользователем zyablik

[thyrex]

Еще раз запустите ClearLNK 

[zyablik]

Еще раз запустите ClearLNK 

 

Что-то он пищал, что всё уж давно вылечено (файл Check_Browsers_LNK.log брал со старой папки, т.к. оного в новой не было; а без файла программа предлагает ярлыки по-одному тащить в окно). С Панели ярлыки я и сам убирал. Надо учиться работать без ярлыков 

 

ClearLNK-05.03.2015_12-54.log

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[zyablik]

Addition.txt
FRST.txt

[thyrex]

Так на Рабочем столе вроде есть ярлык запуска Хрома. Он разве не работает? И ярлык для Опера есть

[zyablik]

Так на Рабочем столе вроде есть ярлык запуска Хрома. Он разве не работает? И ярлык для Опера есть

Ярлык Оперы рабочий, сам вытаскивал из папки установки C:\Program Files\Opera. Браузер работает, вот я с него и пишу ответ.

А Хромовский ярлык есть. Но он (Хром) рекламу гонит по краям, не дает нажимать ссылки, открывает непонятные вкладки, сам по имеющимся вкладкам (на панели) хожу как-то, пока всё не заблокирует (см. рис. в первом посте). Запускал Хром напрямую из папки C:\Program Files\Google\Chrome\Application — та же картина.

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:



GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

CHR HKU\S-1-5-21-725345543-113007714-682003330-500\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

Toolbar: HKU\S-1-5-21-725345543-113007714-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File

Toolbar: HKU\S-1-5-21-725345543-113007714-682003330-500 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File

ShellExecuteHooks:  - {AEB6717E-7E19-11d0-97EE-00C04FD91972} -  No File [ ]

CHR HKLM\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - https://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh [Not Found]

CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-02-18]

CustomCLSID: HKU\S-1-5-21-725345543-113007714-682003330-500_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> No File Path

AlternateDataStreams: C:\Documents and Settings\Администратор\Local Settings\Application Data:wa

Reboot:

[zyablik]

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-725345543-113007714-682003330-500\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-725345543-113007714-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-725345543-113007714-682003330-500 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
ShellExecuteHooks:  - {AEB6717E-7E19-11d0-97EE-00C04FD91972} -  No File [ ]
CHR HKLM\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - https://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh [Not Found]
CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-02-18]
CustomCLSID: HKU\S-1-5-21-725345543-113007714-682003330-500_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> No File Path
AlternateDataStreams: C:\Documents and Settings\Администратор\Local Settings\Application Data:wa
Reboot:

 

Fixlog.txt

При этом, правда, замечу: отчаявшись избавиться от зловреда, пытался поставить MBAM, но он уже у меня не ставится, ибо в бесплатной версии я отработал все сроки (как выясняется). Поставил Emsisoft. Но он в основном копается в файлах, результата не дал. Но пока я его не удалял, т.к. можно вполне терпеть его часто разумные предупреждения.

Второе. Если всё-таки нажимать на рекламу (как вариант, т.к., например, на этом форуме не мог перейти по ссылкам) и в следующей вкладке получить удовольствие от рекламы (по большей части вполне пристойной), закрыть эту вкладку, то следующая попытка нажать по ранее ненажимаемой ссылке — но ссылка открывается (так я зашел в раздел "Уничтожение вирусов" сейчас, причем всё это в Хроме). На других сайтах первое нажатие по ссылке так же вызывает рекламную страницу в соседней вкладке. Закрываешь ее — ссылка срабатывает. Я понимаю, что я так, возможно, усугубляю ситуацию, но ради изучения анатомии явления могу пойти на это. Тем более, система запланирована под снос. Просто времени нет, и комп работает как папа Карло.

Вы уже поняли, что я это пишу после отработки fixlist'а. И смотрю рекламу, слежу за стремительным трафиком. Пока блокирующей вкладки нет.

Изменено 6 марта, 2015 пользователем zyablik

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CHR Extension: (Быстрый поиск) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2015-03-03]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bgomnbpelpcdicbnicimghcecemjpbef [2015-03-03]
CHR Extension: (YouTube) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2013-11-14]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\cegdomhocaeoedbdpfolmgjkjaijfomo [2015-03-03]
CHR Extension: (Google Search) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2013-11-14]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2015-02-17]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai [2015-02-17]
CHR Extension: (Google RU) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kbjopffcocgcnkigpnnmpcoimhjbjmba [2015-02-17]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kppacdmmddediahklmcgkgdhhoojemmd [2015-03-03]
CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-02-18]
CHR Extension: (Google Wallet) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-11-14]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pganlglbhgfjfgopijbhemcpbehjnpia [2015-02-17]
CHR Extension: (Gmail) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2013-11-14]
CHR HKLM\...\Chrome\Extension: [bgomnbpelpcdicbnicimghcecemjpbef] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hhjmihalfdochhinhfogciaafppfgpjj] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [kppacdmmddediahklmcgkgdhhoojemmd] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mofcklffffgbdgnoipdokcclbhomkpie] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

+
приложите новые логи FRST

[zyablik]

Fixlog.txt

Addition.txt

FRST.txt

Работаю в Хроме, и, что уже почти забылось, всё Ok!  
Браво,

Roman_Five

[Roman_Five]

1) Включите детект потенциально нежелательного ПО (настройки - дополнительно - параметры угроз и исключений - обнаруживать другие программы (как на скрине))

2) Запустите обновление баз и по его окончании перезагрузите компьютер

 

3) Запустите полную проверку на вирусы

 

всё. 

 

[zyablik]

 

1) Включите детект потенциально нежелательного ПО (настройки - дополнительно - параметры угроз и исключений - обнаруживать другие программы (как на скрине))

adware.png

2) Запустите обновление баз и по его окончании перезагрузите компьютер

 

3) Запустите полную проверку на вирусы

 

всё. 

 

Сделаем, sir!