Tatarmalae 0 Опубликовано 8 мая, 2015 Share Опубликовано 8 мая, 2015 С праздником, дорогие друзья! Вновь прошу у вас помощи. При открытии браузеров стали вылазить рекламные вкладки. Вроде без обидные, но настолько напрягучие... После каких событий не могу сказать, комп моей очень хорошей подруги. Kaspersky Virus Removal Tool 2015 провел проверку, удалил какие то там заразы, но одну никак не может и постоянно ее лечит и лечит... not-a-virus:AdWare.Win32.Yotoon.szt - Рекламное программное обоспечение. Лежит тварь по пути C:\\ProgramFiles\Chat Choosing\bin\циферки)))).dll Dr.Web CureIt! то же много чего нашел и вылечил... После повторного запуска все равно обнаруживает угрозы и лечит... И так по кругу. Окна вроде перестали вылазить, яндекс браузер удалился - переустановил. Но MBAM находит 125 тварей, а удалить не могу, т.к. пробная версия кончилась. Логи AutoLogger прилагаю. Спасибо за ответ. CollectionLog-2015.05.08-21.50.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 8 мая, 2015 Share Опубликовано 8 мая, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); DeleteService('innfd_1_10_0_14'); SetServiceStart('Util Chart Choosing', 4); DeleteService('Util Chart Choosing'); SetServiceStart('Update Chart Choosing', 4); DeleteService('Update Chart Choosing'); QuarantineFile('C:\Windows\system32\drivers\{fac24e15-81cf-41a8-8e60-6508edd08248}w64.sys',''); QuarantineFile('C:\Program Files (x86)\Chart Choosing\bin\fac24e1581cf41a88e606508edd08248.dll',''); TerminateProcessByName('c:\program files (x86)\chart choosing\bin\utilchartchoosing.exe'); QuarantineFile('c:\program files (x86)\chart choosing\bin\utilchartchoosing.exe',''); TerminateProcessByName('c:\program files (x86)\chart choosing\updatechartchoosing.exe'); QuarantineFile('c:\program files (x86)\chart choosing\updatechartchoosing.exe',''); TerminateProcessByName('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.PurBrowse64.exe'); QuarantineFile('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.PurBrowse64.exe',''); TerminateProcessByName('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.BrowserAdapter64.exe'); QuarantineFile('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.BrowserAdapter64.exe',''); TerminateProcessByName('c:\program files (x86)\chart choosing\bin\chartchoosing.browseradapter.exe'); QuarantineFile('c:\program files (x86)\chart choosing\bin\chartchoosing.browseradapter.exe',''); DeleteFile('c:\program files (x86)\chart choosing\bin\chartchoosing.browseradapter.exe','32'); DeleteFile('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.BrowserAdapter64.exe','32'); DeleteFile('C:\Program Files (x86)\Chart Choosing\bin\ChartChoosing.PurBrowse64.exe','32'); DeleteFile('c:\program files (x86)\chart choosing\updatechartchoosing.exe','32'); DeleteFile('c:\program files (x86)\chart choosing\bin\utilchartchoosing.exe','32'); DeleteFile('C:\Program Files (x86)\Chart Choosing\bin\fac24e1581cf41a88e606508edd08248.dll','32'); DeleteFile('C:\Windows\system32\drivers\{fac24e15-81cf-41a8-8e60-6508edd08248}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам Цитата Ссылка на сообщение Поделиться на другие сайты
Tatarmalae 0 Опубликовано 9 мая, 2015 Автор Share Опубликовано 9 мая, 2015 KLAN-2747728568 Логи приложил. CollectionLog-2015.05.09-15.46.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 9 мая, 2015 Share Опубликовано 9 мая, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Tatarmalae 0 Опубликовано 9 мая, 2015 Автор Share Опубликовано 9 мая, 2015 Готово. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 9 мая, 2015 Share Опубликовано 9 мая, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&q={searchTerms} HKU\S-1-5-21-3749219099-3288965026-2128432355-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&q={searchTerms} HKU\S-1-5-21-3749219099-3288965026-2128432355-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mail.ru/?ieverfix=1&fr=ieverfix_sg HKU\S-1-5-21-3749219099-3288965026-2128432355-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://www.msn.com/ru-ru/?ocid=iehp HKU\S-1-5-21-3749219099-3288965026-2128432355-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX HKU\S-1-5-21-3749219099-3288965026-2128432355-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1430765948&from=face&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&q={searchTerms} SearchScopes: HKU\S-1-5-21-3749219099-3288965026-2128432355-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&ieverfix=1&fr=ieverfix_dse SearchScopes: HKU\S-1-5-21-3749219099-3288965026-2128432355-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&ts=1430574471&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3749219099-3288965026-2128432355-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&ts=1430574471&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3749219099-3288965026-2128432355-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS545050B9A300_101014PBN40417F76M8EX&ts=1430574471&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3749219099-3288965026-2128432355-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&ieverfix=1&fr=ieverfix_dse R1 {fac24e15-81cf-41a8-8e60-6508edd08248}w64; C:\Windows\System32\drivers\{fac24e15-81cf-41a8-8e60-6508edd08248}w64.sys [48792 2015-05-08] (StdLib) S1 {1cf62c62-0ed4-4742-8684-5f1dba5c6b07}w64; system32\drivers\{1cf62c62-0ed4-4742-8684-5f1dba5c6b07}w64.sys [X] 2015-05-08 20:45 - 2015-05-08 08:21 - 00048792 _____ (StdLib) C:\Windows\system32\Drivers\{fac24e15-81cf-41a8-8e60-6508edd08248}w64.sys 2015-05-04 21:59 - 2015-05-04 21:59 - 00000000 ____D () C:\Users\Аделина\AppData\Roaming\istartsurf 2015-05-04 21:58 - 2015-05-04 21:58 - 00000000 ____D () C:\Program Files (x86)\Infonaut_1.10.0.14 2015-05-07 01:23 - 2015-05-09 15:35 - 00000000 ____D () C:\Program Files (x86)\Chart Choosing 2015-05-04 22:32 - 2015-05-08 17:54 - 00000000 ____D () C:\Users\Аделина\AppData\Local\gmsd_ru_235 2015-05-04 22:32 - 2015-05-08 15:39 - 00000000 ____D () C:\Users\Аделина\AppData\Local\SmartWeb 2015-05-04 22:32 - 2015-05-08 15:39 - 00000000 ____D () C:\Program Files (x86)\gmsd_ru_235 2015-05-04 18:47 - 2015-05-04 18:47 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт 2015-05-04 18:45 - 2015-05-04 18:45 - 00000178 _____ () C:\Users\Аделина\Desktop\Искать в Интернете.url 2015-05-02 12:21 - 2015-05-02 12:21 - 00613255 _____ (CMI Limited) C:\Users\Аделина\AppData\Local\nsxB37F.tmp Task: {B5DCE262-B204-43BA-9DAC-E5F2BE14E1C2} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Tatarmalae 0 Опубликовано 9 мая, 2015 Автор Share Опубликовано 9 мая, 2015 Выполнил. Все? Больше никаких действий не требуется? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 9 мая, 2015 Share Опубликовано 9 мая, 2015 Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Прикрепите. Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Tatarmalae 0 Опубликовано 9 мая, 2015 Автор Share Опубликовано 9 мая, 2015 Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Прикрепите. Что с проблемой? Ой, простите... Не заметил... Прикрепляю. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 9 мая, 2015 Share Опубликовано 9 мая, 2015 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Tatarmalae 0 Опубликовано 9 мая, 2015 Автор Share Опубликовано 9 мая, 2015 (изменено) Что с проблемой? MBAM по прежнему что-то находит. Остальное молчит. В браузерах тоже все спокойно вроде... На всякий прикреплю логи MBAM... mbam.txt Изменено 10 мая, 2015 пользователем Tatarmalae Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 10 мая, 2015 Share Опубликовано 10 мая, 2015 Удалите в МВАМ все найденное Цитата Ссылка на сообщение Поделиться на другие сайты
Tatarmalae 0 Опубликовано 10 мая, 2015 Автор Share Опубликовано 10 мая, 2015 Удалите в МВАМ все найденное Никак... Пробная версия кончилась((( Только в карантин. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 10 мая, 2015 Share Опубликовано 10 мая, 2015 Помещайте в карантин Цитата Ссылка на сообщение Поделиться на другие сайты
Tatarmalae 0 Опубликовано 10 мая, 2015 Автор Share Опубликовано 10 мая, 2015 Помещайте в карантин На этом все? Спасибо за помощь, друзья! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.