Реклама

[Underground]

При переходе по ссылкам в браузерах открываются окна с рекламой, также рекламные баннеры "висят" на страницах сайтов. 

Файл протоколов (логов) прилагаю.

CollectionLog-2015.03.10-11.59.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\deal keeper\bin\utildealkeeper.exe');
 TerminateProcessByName('c:\program files (x86)\deal keeper\updatedealkeeper.exe');
 TerminateProcessByName('c:\users\Олеся\appdata\locallow\yandex\toolbar\packages\{b7d4b777-24e9-49f6-b018-db4387563032}\esynchelper.exe');
 TerminateProcessByName('c:\program files (x86)\deal keeper\bin\dealkeeper.expext.exe');
 TerminateProcessByName('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.BrowserAdapter64.exe');
 TerminateProcessByName('c:\program files (x86)\deal keeper\bin\dealkeeper.browseradapter.exe');
 TerminateProcessByName('c:\program files (x86)\deal keeper\bin\dealkeeper.boashelper.exe');
 SetServiceStart('Util Deal Keeper', 4);
 SetServiceStart('Update Deal Keeper', 4);
 StopService('Util Deal Keeper');
 StopService('Update Deal Keeper');
 QuarantineFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrsetup.exe','');
 QuarantineFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrlte.exe','');
 QuarantineFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.12.4\dsrsetup.exe','');
 QuarantineFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.12.4\dsrlte.exe','');
 QuarantineFile('C:\Users\Олеся\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe','');
 QuarantineFile('C:\Users\Олеся\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe','');
 QuarantineFile('C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe','');
 QuarantineFile('C:\Windows\MSetup\BA46-12225A02\EPM.exe','');
 QuarantineFile('C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe','');
 QuarantineFile('C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe','');
 QuarantineFile('C:\windows\system32\drivers\{eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64.sys','');
 QuarantineFile('C:\Program Files (x86)\Deal Keeper\bin\eb8709c552a249ef93412b49aaf413b8.dll','');
 QuarantineFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.expextdll.dll','');
 QuarantineFile('c:\program files (x86)\deal keeper\bin\utildealkeeper.exe','');
 QuarantineFile('c:\program files (x86)\deal keeper\updatedealkeeper.exe','');
 QuarantineFile('c:\users\Олеся\appdata\locallow\yandex\toolbar\packages\{b7d4b777-24e9-49f6-b018-db4387563032}\esynchelper.exe','');
 QuarantineFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.PurBrowse64.exe','');
 QuarantineFile('c:\program files (x86)\deal keeper\bin\dealkeeper.expext.exe','');
 QuarantineFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.BrowserAdapter64.exe','');
 QuarantineFile('c:\program files (x86)\deal keeper\bin\dealkeeper.browseradapter.exe','');
 QuarantineFile('c:\program files (x86)\deal keeper\bin\dealkeeper.boashelper.exe','');
 DeleteFile('c:\program files (x86)\deal keeper\bin\dealkeeper.boashelper.exe','32');
 DeleteFile('c:\program files (x86)\deal keeper\bin\dealkeeper.browseradapter.exe','32');
 DeleteFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.BrowserAdapter64.exe','32');
 DeleteFile('c:\program files (x86)\deal keeper\bin\dealkeeper.expext.exe','32');
 DeleteFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.PurBrowse64.exe','32');
 DeleteFile('c:\users\Олеся\appdata\locallow\yandex\toolbar\packages\{b7d4b777-24e9-49f6-b018-db4387563032}\esynchelper.exe','32');
 DeleteFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.expextdll.dll','32');
 DeleteFile('C:\Program Files (x86)\Deal Keeper\bin\eb8709c552a249ef93412b49aaf413b8.dll','32');
 DeleteFile('C:\windows\system32\drivers\{eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64.sys','32');
 DeleteFile('C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe','32');
 DeleteFile('C:\Program Files (x86)\Deal Keeper\bin\utilDealKeeper.exe','32');
 DeleteFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.12.4\dsrlte.exe','32');
 DeleteFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.12.4\dsrsetup.exe','32');
 DeleteFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrlte.exe','32');
 DeleteFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrsetup.exe','32');
 DeleteService('Util Deal Keeper');
 DeleteService('Update Deal Keeper');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 3).

 

+

приложите лог Farbar Recovery Scan Tool

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[Underground]

Выполнила первый скрипт. Второй, для создания архива с карантином, так же выполнила, но после его выполнения, в папке AVZ архива Quarantine.zip не обнаружила. Есть просто папка Quarantine, в ней же другая папка с названием 2015-03-10. Поясните, пожалуйста, после выполнения скрипта архива формируется сам, или следует самостоятельно произвести архивацию папки? 

[Roman_Five]

 

 

после выполнения скрипта архива формируется сам

да.

Сделайте новые логи по правилам (только пункт 3).   + приложите лог Farbar Recovery Scan Tool http://forum.kaspers...611?do=findComment&comment=647696

[Underground]

Выполнила.

CollectionLog-2015.03.11-11.00.zip

FixerBro_20150311.txt

[Roman_Five]

 FixerBro_20150311.txt   10,68К   скачиваний 0

не тот лог, что просил.

http://forum.kasperskyclub.ru/index.php?showtopic=45653&do=findComment&comment=647696

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe','');
QuarantineFile('C:\Windows\MSetup\BA46-12225A02\EPM.exe','');
QuarantineFile('C:\Users\Олеся\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe','');
QuarantineFile('C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe','');
QuarantineFile('C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe','');
QuarantineFile('C:\windows\system32\drivers\{eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64.sys','');
DeleteFile('C:\windows\system32\drivers\{eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64.sys','32');
DeleteFile('C:\windows\system32\Tasks\Yahoo! Search Updater','64');
DeleteFile('C:\Users\Олеся\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe','32');
DeleteFile('C:\windows\system32\Tasks\EasyPartitionManager','64');
DeleteFile('C:\Windows\MSetup\BA46-12225A02\EPM.exe','32');
DeleteFile('C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

 

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

 

Порядок действий на портале Kaspersky Virus Desk::

 

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

 

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 3).

[Underground]

Вот нужные отчеты, кроме архива Quarantine.zip. После выполнения скрипта сформировалась просто папка с названием сегодняшней даты, вы же написали, что после выполнения скрипта архив должен сформироваться сам (под архивом я понимаю файл, с расширением ZIP).

CollectionLog-2015.03.11-16.48.zip

Addition.txt

FRST.txt

[thyrex]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
   

  CreateRestorePoint:
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} ->  No File
  Toolbar: HKU\S-1-5-21-3102738836-3127478194-571303593-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
  Toolbar: HKU\S-1-5-21-3102738836-3127478194-571303593-1001 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab64host.dll No File
  FF Extension: shopndrop - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\0R@h.net [2014-12-12]
  FF Extension: surfkeepit - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\7CrFz@MzjzMB.com [2014-12-12]
  FF Extension: CoupScanner - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\8Qx5@9PKWJiU.edu [2014-12-18]
  FF Extension: rrealdeal - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\b9@p1U.org [2015-01-23]
  FF Extension: wEBBsaaveer - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\def2fxo@t-y.com [2014-10-01]
  FF Extension: savinGtoyyou - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\gfltobp@zuvftu.edu [2014-12-12]
  FF Extension: saavingtooyoau - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\iAf@a.net [2015-01-23]
  FF Extension: saveron - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\qi@RhfJ0aSw.com [2014-12-12]
  FF Extension: SooftCOup - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\sleof-btb@ak-oydr.co.uk [2014-09-09]
  FF Extension: FlexxibleShopper - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\Vf@QgaIU0.edu [2015-03-05]
  CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
  CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
  CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
  R1 {eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64; C:\Windows\System32\drivers\{eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64.sys [48784 2015-03-06] (StdLib)
  2015-03-06 14:32 - 2015-03-06 14:32 - 00000000 __SHD () C:\Users\Олеся\AppData\Local\EmieBrowserModeList
  2015-03-02 13:16 - 2015-03-04 02:58 - 00000000 ____D () C:\Program Files\DeaLsiFindErrPro
  2015-03-10 14:59 - 2014-10-01 18:45 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
  2015-03-10 14:59 - 2014-10-01 18:45 - 00000258 __RSH () C:\ProgramData\ntuser.pol
  2015-03-06 14:09 - 2014-10-14 09:45 - 00000000 ____D () C:\Users\Все пользователи\Sauvingtoyou
  2015-03-06 14:09 - 2014-10-14 09:45 - 00000000 ____D () C:\ProgramData\Sauvingtoyou
  2015-03-06 14:09 - 2014-09-26 19:59 - 00000000 ____D () C:\Users\Все пользователи\websaver
  2015-03-06 14:09 - 2014-09-26 19:59 - 00000000 ____D () C:\ProgramData\websaver
  2015-03-06 14:09 - 2014-09-09 16:36 - 00000000 ____D () C:\Users\Все пользователи\SoftCOup
  2015-03-06 14:09 - 2014-09-09 16:36 - 00000000 ____D () C:\ProgramData\SoftCOup
  2015-03-04 02:58 - 2015-01-21 18:50 - 00000000 ____D () C:\Users\Все пользователи\couupOnpeeak
  2015-03-04 02:58 - 2015-01-21 18:50 - 00000000 ____D () C:\ProgramData\couupOnpeeak
  2015-03-04 02:58 - 2015-01-07 22:09 - 00000000 ____D () C:\Users\Все пользователи\WooWCoupon
  2015-03-04 02:58 - 2015-01-07 22:09 - 00000000 ____D () C:\Users\Все пользователи\savIngtoyoue
  2015-03-04 02:58 - 2015-01-07 22:09 - 00000000 ____D () C:\ProgramData\WooWCoupon
  2015-03-04 02:58 - 2015-01-07 22:09 - 00000000 ____D () C:\ProgramData\savIngtoyoue
  2015-03-03 17:31 - 2014-09-09 16:24 - 00000000 ____D () C:\Users\Все пользователи\Performance Optimizer
  2015-03-03 17:31 - 2014-09-09 16:24 - 00000000 ____D () C:\ProgramData\Performance Optimizer
  2015-03-03 06:11 - 2014-05-28 15:08 - 00000000 ____D () C:\Users\Олеся\AppData\Local\Amigo
  2015-03-02 13:08 - 2014-07-04 09:49 - 00002273 _____ () C:\Users\Олеся\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
  2015-03-02 13:08 - 2014-07-04 09:49 - 00002273 _____ () C:\Users\Олеся\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
  2015-03-02 13:08 - 2014-07-04 09:48 - 00002248 _____ () C:\Users\Олеся\Desktop\Одноклассники.lnk
  2015-03-02 13:08 - 2014-05-28 15:08 - 00002236 _____ () C:\Users\Олеся\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
  Task: {A8B58D64-3BD6-4DB9-AF51-0FF4AE535A7E} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe <==== ATTENTION
  Task: {E08E23AC-0EC9-40E2-96CF-9F58341EF30B} - System32\Tasks\Yahoo! Search Updater => C:\Users\Олеся\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe <==== ATTENTION
  Reboot:
  

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.