Уже знакомые рекламные окна

[Tatarmalae]

С праздником, дорогие друзья! Вновь прошу у вас помощи.
 
При открытии браузеров стали вылазить рекламные вкладки. Вроде без обидные, но настолько напрягучие... После каких событий не могу сказать, комп моей очень хорошей подруги.

 

Kaspersky Virus Removal Tool 2015 провел проверку, удалил какие то там заразы, но одну никак не может и постоянно ее лечит и лечит... not-a-virus:AdWare.Win32.Yotoon.szt - Рекламное программное обоспечение. Лежит тварь по пути C:\\ProgramFiles\Chat Choosing\bin\циферки)))).dll

 

Dr.Web CureIt! то же много чего нашел и вылечил... После повторного запуска все равно обнаруживает угрозы и лечит... И так по кругу.

 

Окна вроде перестали вылазить, яндекс браузер удалился - переустановил. Но MBAM находит 125 тварей, а удалить не могу, т.к. пробная версия кончилась.

 

Логи AutoLogger прилагаю. Спасибо за ответ.

CollectionLog-2015.05.08-21.50.zip

[thyrex]

Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');

 DeleteService('innfd_1_10_0_14');

 SetServiceStart('Util Chart Choosing', 4);

 DeleteService('Util Chart Choosing');

 SetServiceStart('Update Chart Choosing', 4);

 DeleteService('Update Chart Choosing');

 QuarantineFile('C:\Windows\system32\drivers\{fac24e15-81cf-41a8-8e60-6508edd08248}w64.sys','');

 QuarantineFile('C:\Program Files (x86)\Chart Choosing\bin\fac24e1581cf41a88e606508edd08248.dll','');

 TerminateProcessByName('c:\program files (x86)\chart choosing\bin\utilchartchoosing.exe');

 QuarantineFile('c:\program files (x86)\chart choosing\bin\utilchartchoosing.exe','');

 TerminateProcessByName('c:\program files (x86)\chart choosing\updatechartchoosing.exe');

 QuarantineFile('c:\program files (x86)\chart choosing\updatechartchoosing.exe','');

 TerminateProcessByName('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.PurBrowse64.exe');

 QuarantineFile('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.PurBrowse64.exe','');

 TerminateProcessByName('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.BrowserAdapter64.exe');

 QuarantineFile('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.BrowserAdapter64.exe','');

 TerminateProcessByName('c:\program files (x86)\chart choosing\bin\chartchoosing.browseradapter.exe');

 QuarantineFile('c:\program files (x86)\chart choosing\bin\chartchoosing.browseradapter.exe','');

 DeleteFile('c:\program files (x86)\chart choosing\bin\chartchoosing.browseradapter.exe','32');

 DeleteFile('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.BrowserAdapter64.exe','32');

 DeleteFile('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.PurBrowse64.exe','32');

 DeleteFile('c:\program files (x86)\chart choosing\updatechartchoosing.exe','32');

 DeleteFile('c:\program files (x86)\chart choosing\bin\utilchartchoosing.exe','32');

 DeleteFile('C:\Program Files (x86)\Chart Choosing\bin\fac24e1581cf41a88e606508edd08248.dll','32');

 DeleteFile('C:\Windows\system32\drivers\{fac24e15-81cf-41a8-8e60-6508edd08248}w64.sys','32');

 DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[Tatarmalae]

KLAN-2747728568

Логи приложил.

CollectionLog-2015.05.09-15.46.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Tatarmalae]

Готово.

FRST.txt

Addition.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION



HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&q={searchTerms}

HKU\S-1-5-21-3749219099-3288965026-2128432355-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&q={searchTerms}

HKU\S-1-5-21-3749219099-3288965026-2128432355-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mail.ru/?ieverfix=1&fr=ieverfix_sg

HKU\S-1-5-21-3749219099-3288965026-2128432355-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://www.msn.com/ru-ru/?ocid=iehp

HKU\S-1-5-21-3749219099-3288965026-2128432355-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX

HKU\S-1-5-21-3749219099-3288965026-2128432355-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3749219099-3288965026-2128432355-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&ieverfix=1&fr=ieverfix_dse

SearchScopes: HKU\S-1-5-21-3749219099-3288965026-2128432355-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&ts=1430574471&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3749219099-3288965026-2128432355-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&ts=1430574471&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3749219099-3288965026-2128432355-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&ts=1430574471&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3749219099-3288965026-2128432355-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&ieverfix=1&fr=ieverfix_dse





R1 {fac24e15-81cf-41a8-8e60-6508edd08248}w64; C:\Windows\System32\drivers\{fac24e15-81cf-41a8-8e60-6508edd08248}w64.sys [48792 2015-05-08] (StdLib)

S1 {1cf62c62-0ed4-4742-8684-5f1dba5c6b07}w64; system32\drivers\{1cf62c62-0ed4-4742-8684-5f1dba5c6b07}w64.sys [X]



2015-05-08 20:45 - 2015-05-08 08:21 - 00048792 _____ (StdLib) C:\Windows\system32\Drivers\{fac24e15-81cf-41a8-8e60-6508edd08248}w64.sys



2015-05-04 21:59 - 2015-05-04 21:59 - 00000000 ____D () C:\Users\Аделина\AppData\Roaming\istartsurf

2015-05-04 21:58 - 2015-05-04 21:58 - 00000000 ____D () C:\Program Files (x86)\Infonaut_1.10.0.14





2015-05-07 01:23 - 2015-05-09 15:35 - 00000000 ____D () C:\Program Files (x86)\Chart Choosing

2015-05-04 22:32 - 2015-05-08 17:54 - 00000000 ____D () C:\Users\Аделина\AppData\Local\gmsd_ru_235

2015-05-04 22:32 - 2015-05-08 15:39 - 00000000 ____D () C:\Users\Аделина\AppData\Local\SmartWeb

2015-05-04 22:32 - 2015-05-08 15:39 - 00000000 ____D () C:\Program Files (x86)\gmsd_ru_235





2015-05-04 18:47 - 2015-05-04 18:47 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт

2015-05-04 18:45 - 2015-05-04 18:45 - 00000178 _____ () C:\Users\Аделина\Desktop\Искать в Интернете.url

2015-05-02 12:21 - 2015-05-02 12:21 - 00613255 _____ (CMI Limited) C:\Users\Аделина\AppData\Local\nsxB37F.tmp



Task: {B5DCE262-B204-43BA-9DAC-E5F2BE14E1C2} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION

Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[Tatarmalae]

Выполнил. Все? Больше никаких действий не требуется?

[mike 1]

 

 

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Прикрепите. Что с проблемой?

[Tatarmalae]

 

 

 

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Прикрепите. Что с проблемой?

 

Ой, простите... Не заметил... Прикрепляю.

Fixlog.txt

[mike 1]

Что с проблемой?

[Tatarmalae]

Что с проблемой?

MBAM по прежнему что-то находит. Остальное молчит. В браузерах тоже все спокойно вроде...

 

На всякий прикреплю логи MBAM...

mbam.txt

Изменено 10 мая, 2015 пользователем Tatarmalae

[thyrex]

Удалите в МВАМ все найденное

[Tatarmalae]

Удалите в МВАМ все найденное

Никак... Пробная версия кончилась((( Только в карантин.

[thyrex]

Помещайте в карантин

[Tatarmalae]

Помещайте в карантин

На этом все? Спасибо за помощь, друзья!