При запуске любого браузера открывается реклама казино

[Alex39rus 0]

Добрый день!

После скачивания exe-установщика бесплатной программы (и его запуска) на ноутбук автоматически установились несколько программ (какой-то китайский tencent и еще штуки четыре левых прог). Я их все удалил через панель управления.

Затем прогнал drweb cureit, Hitman Pro и Malwarebytes Antimalware - нашлось несколько троянов, но после их лечения проблема не исчезла.

Суть проблемы: ярлык исполняемого файла любого браузера заменяется автоматически на вот такое (на примере Хрома):

"C:\Program Files (x86)\Google\chrome.bat"

И теперь при открытии любого браузера сразу грузится вот это гадство, после него еще каких-то пара левых сайтов в этом же окне, ну и в итоге - vezunchik.club.

Выполнил  AutoLogger.exe, zip-архив лога прикрепляю

CollectionLog-2015.05.07-15.49.zip

Изменено 7 мая, 2015 пользователем Alex39rus
Ожидаем прикрепление zip.

[thyrex 1 468]

Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



 QuarantineFile('C:\iexplore.bat','');

 QuarantineFile('C:\Program Files (x86)\punto.bat','');

 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');

 QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe','');

 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');

 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');

 DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');

 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');

 DeleteFile('C:\Program Files (x86)\punto.bat','32');

 DeleteFile('C:\iexplore.bat','32');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи по правилам

[Alex39rus 0]

Скрипты выполнил.

Новые логи прикрепляю

ClearLNK-07.05.2015_16-56.log

CollectionLog-2015.05.07-17.14.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Alex39rus 0]

Ответ от Лаборатории Касперского пока только

такой:

 

Re: [KLAN-2742075734]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

punto.bat

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

 

 

Прикрепляю логи

FRST.txt

Addition.txt

Изменено 7 мая, 2015 пользователем Alex39rus

[thyrex 1 468]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-14]



2015-05-07 12:15 - 2015-05-07 12:15 - 00000000 ____D () C:\Program Files\Common Files\Tencent

2015-05-07 12:14 - 2015-05-07 12:14 - 00087864 _____ (????) C:\Windows\system32\Drivers\TFsFltX64.sys



2015-05-07 12:13 - 2015-05-07 12:13 - 00000000 ____D () C:\Program Files (x86)\Tencent



2015-05-07 12:09 - 2015-05-07 12:09 - 00000118 ____H () C:\Program Files (x86)\WelcomeToPunto.bat

2015-05-07 12:09 - 2015-05-07 12:09 - 00000117 ____H () C:\Program Files (x86)\layouts.bat

2015-05-07 12:09 - 2015-05-07 12:09 - 00000115 ____H () C:\Program Files (x86)\diary.bat

2015-05-07 12:09 - 2015-05-07 12:09 - 00000112 ____H () C:\Program Files (x86)\ps.bat

2015-05-07 12:09 - 2015-05-07 12:09 - 00000000 ____D () C:\Program Files (x86)\Application Assistance

2015-05-07 12:09 - 2015-02-04 13:35 - 01626424 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe

2015-05-07 12:09 - 2015-02-04 13:35 - 00291128 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe

2015-05-07 12:09 - 2015-02-04 13:35 - 00034104 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe



Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.