Рекламные окна в браузере

[Yul@]

Добрый день! Сын пытался скачать какую-то игру и заразил ноутбук вирусами. Делала проверку сначала средством Dr. Web CureIt! - нашел 4 трояна, удалил, но проблема осталась. Потом проверяла средством KVRT 2015 - нашел 14 троянов и рекламное ПО, вроде бы удалил, но проблема осталась. Прилагаю отчет AutoLogger. Помогите, пожалуйста.

CollectionLog-2015.06.02-10.23.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Temp\~DF39521496AE4EA9A0.TMP','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Temp\~DF21D6C801988EE236.TMP','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Temp\nsyFE2F.tmp','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Temp\nsy2A05.tmp','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Temp\nsxFC5C.tmp','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Temp\nsu2F5.tmp','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Temp\nsdEE28.tmp','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Temp\nsb934E.tmp','');
 QuarantineFile('C:\Users\Юля\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Microsoft\Windows\toolbar.exe','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Microsoft\Windows\Notifications\appdb.dat','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Microsoft\Windows\Notifications\WPNPRMRY.tmp','');
 QuarantineFile('C:\Users\Юля\AppData\Local\Kometa\kometaup.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 DeleteService('TS888x64');
 DeleteService('QMUdisk');
 DeleteService('WindowsMangerProtect');
 DeleteService('tyvozyno');
 DeleteService('insvc_1.10.0.14');
 DeleteService('IHProtect Service');
 DeleteService('hyhugyky');
 DeleteService('gejudebi');
 DeleteService('fivyzipo');
 DeleteFile('C:\Users\Юля\AppData\Roaming\0000AB34-1433157438-060E-FFFF-60A44CD62543\hnsgF959.tmp','32');
 DeleteFile('C:\Users\Юля\AppData\Local\0000AB34-1433168434-060E-FFFF-60A44CD62543\snsp7C6B.tmp','32');
 DeleteFile('C:\Users\Юля\AppData\Roaming\0000AB34-1433157438-060E-FFFF-60A44CD62543\nssA45B.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\XTab\ProtectService.exe','32');
 DeleteFile('C:\Program Files (x86)\Infonaut_1.10.0.14\Service\insvc.exe','32');
 DeleteFile('C:\Users\Юля\AppData\Roaming\0000AB34-1433157438-060E-FFFF-60A44CD62543\jnsiD8BF.tmp','32');
 DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TS888x64.sys','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_27557260F5423CC119719BFC22FECFA9');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_0E649041728D4107DD2C0D009812F0DF');
 DeleteFile('C:\Users\Юля\AppData\Local\Kometa\Application\kometa.exe','32');
 DeleteFile('C:\Users\Юля\AppData\Local\Kometa\kometaup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
 DeleteFile('C:\Users\Юля\AppData\Local\Microsoft\Windows\Notifications\WPNPRMRY.tmp','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DelayShred');
 DeleteFile('C:\Users\Юля\AppData\Local\Microsoft\Windows\Notifications\appdb.dat','32');
 DeleteFile('C:\Users\Юля\AppData\Local\Microsoft\Windows\toolbar.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 DeleteFile('C:\Users\Юля\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\Users\Юля\AppData\Local\Temp\nsb934E.tmp','32');
 DeleteFile('C:\Users\Юля\AppData\Local\Temp\nsdEE28.tmp','32');
 DeleteFile('C:\Users\Юля\AppData\Local\Temp\nsu2F5.tmp','32');
 DeleteFile('C:\Users\Юля\AppData\Local\Temp\nsxFC5C.tmp','32');
 DeleteFile('C:\Users\Юля\AppData\Local\Temp\nsy2A05.tmp','32');
 DeleteFile('C:\Users\Юля\AppData\Local\Temp\nsyFE2F.tmp','32');
 DeleteFile('C:\Users\Юля\AppData\Local\Temp\~DF21D6C801988EE236.TMP','32');
 DeleteFile('C:\Users\Юля\AppData\Local\Temp\~DF39521496AE4EA9A0.TMP','32');
 DeleteFile('C:\Users\Юля\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Юля\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\WINDOWS\Tasks\Crossbrowse.job','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SystemScript','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{454922CD-591F-4155-957E-BF0528CECE82}','64');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Yul@]

Спасибо. Всё сделала в описанном порядке. Прилагаю логи.

Вот ответ от newvirus@kaspersky.com:

[KLAN-2824115109]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

appdb.dat

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

CollectionLog-2015.06.02-12.05.zip

ClearLNK-02.06.2015_11-42.log

AdwCleanerR0.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Yul@]

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

Выполнила очистку. Лог прилагаю. Проблема сохранилась.

AdwCleanerS0.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Yul@]

Прилагаю логи

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [gmsd_ru_264] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-4264456252-981055190-2175599250-1002 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=597ba2553a61ea93ff9b42fefa02e70c&text= <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
2015-06-01 16:39 - 2015-06-01 16:39 - 00028984 _____ (Tencent) C:\WINDOWS\SysWOW64\Drivers\TS888x64.sys
2015-06-01 14:23 - 2015-06-01 14:23 - 00087864 _____ (????) C:\WINDOWS\system32\Drivers\TFsFltX64.sys
2015-06-02 13:24 - 2013-09-01 11:46 - 00000062 _____ () C:\Users\Юля\AppData\Roaming\sp_data.sys
2013-05-02 02:45 - 2012-09-07 14:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-05-02 02:45 - 2009-07-22 13:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-05-02 02:45 - 2012-09-07 14:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
2013-07-04 22:19 - 2013-07-04 22:20 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
2013-07-04 22:15 - 2013-07-04 22:18 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
2013-07-04 22:18 - 2013-07-04 22:19 - 0000108 _____ () C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log
2013-07-04 22:14 - 2013-07-04 22:15 - 0000110 _____ () C:\ProgramData\{E3739848-5329-48E3-8D28-5BBD6E8BE384}.log
Task: {6BC12504-E4DB-47FE-BBFD-9B1B33D027B2} - \Soft installer No Task File <==== ATTENTION
Task: {C92F841C-04EA-4341-9E23-B61E7FF6A1C6} - \{454922CD-591F-4155-957E-BF0528CECE82} No Task File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
FirewallRules: [{B7876BEB-29ED-4BA0-828B-7886D9203604}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{BB7FC9E8-208C-43B8-904D-3DA5FA10669A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{6378C5A2-49A7-450D-B412-DDA26F0E9A40}] => (Allow) C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
C:\Program Files (x86)\Crossbrowse
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

 

• Запустите Farbar Recovery Scan Tool двойным щелчком от имени Администратора.

• Когда программа запустится, скопируйте следующую информацию в окно поиска:

KometaAutoLaunch_0E649041728D4107DD2C0D009812F0DF

• Нажмите кнопку Search Registry и подождите.

• Программа создаст лог-файл (Search.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

 

[Yul@]

прилагаю логи

Fixlog.txt

Search.txt

[mike 1]

Скопируйте следующий текст в Блокнот и сохраните, как fix.reg:

Windows Registry Editor Version 5.00



[HKEY_USERS\S-1-5-21-4264456252-981055190-2175599250-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run]

"KometaAutoLaunch_0E649041728D4107DD2C0D009812F0DF"=-

"kometaup"=-

"SystemScript"=-

"GoogleChromeAutoLaunch_27557260F5423CC119719BFC22FECFA9"=-

 

Запустите fix.reg. На запрос внесения изменений в реестр нажмите "Да".

[Yul@]

Проблема сохраняется

[mike 1]

В каком браузере?

[Yul@]

Google Chrome 43.0.2357.81 m
В IE вроде бы нет.

[mike 1]

 

CHR Extension: (AdBlock)

Удалите вручную это расширение в браузере. 

[Yul@]

Вроде бы все исчезло, большое спасибо . Перезагружаться не надо?