Рекламный вирус + work.exe

[НикитаС]

При включении компьютера выходит сообщение что-то о work.exe

На всех сайтах вылезает реклама снизу и справа.

CollectionLog-2015.07.01-20.58.zipПолучение информации...

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\torrent search\j2qfl7bu_t.exe','');
QuarantineFile('C:\Program Files\picexa\picexasvc.exe','');
QuarantineFile('C:\Program Files\miuitab\suptab.dll','');
QuarantineFile('C:\Program Files\miuitab\protectservice.exe','');
QuarantineFile('C:\Program Files\miuitab\iewatchdog.dll','');
QuarantineFile('C:\Program Files\miuitab\hpnotify.exe','');
QuarantineFile('C:\Program Files\miuitab\cmdshell.exe','');
QuarantineFile('C:\Program Files\miuitab\browerwatchch.dll','');
QuarantineFile('C:\Documents and Settings\C05\appdata\everything\serviceeverything.exe','');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
QuarantineFile('C:\Program Files\MiuiTab\SupTab.dll','');
QuarantineFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\kometaup.exe','');
QuarantineFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\Application\kometa.exe','');
TerminateProcessByName('c:\program files\picexa\picexasvc.exe');
QuarantineFile('c:\program files\picexa\picexasvc.exe','');
DeleteFile('c:\program files\picexa\picexasvc.exe','32');
DeleteFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_4794967BB5052472972272D36BCD0283','command');
DeleteFile('C:\Program Files\MiuiTab\SupTab.dll','32');
DeleteFile('C:\Program Files\miuitab\browerwatchch.dll','32');
DeleteFile('C:\Program Files\miuitab\cmdshell.exe','32');
DeleteFile('C:\Program Files\miuitab\hpnotify.exe','32');
DeleteFile('C:\Program Files\miuitab\iewatchdog.dll','32');
DeleteFile('C:\Program Files\miuitab\protectservice.exe','32');
DeleteFile('C:\Program Files\miuitab\suptab.dll','32');
DeleteFile('C:\Program Files\picexa\picexasvc.exe','32');
DeleteFile('C:\Program Files\torrent search\j2qfl7bu_t.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(16);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте НОВЫЕ логи ПО ПРАВИЛАМ

[НикитаС]

KLAN-2934943487

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

bcqr00017.dat,
bcqr00018.dat,
hpnotify.exe,
kometa.exe,
picexasvc.exe,
serviceeverything.exe,
suptab.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

browerwatchch.dll - not-a-virus:AdWare.Win32.ELEX.ah
cmdshell.exe - not-a-virus:AdWare.Win32.ELEX.ak
iewatchdog.dll - not-a-virus:AdWare.Win32.ELEX.ai
protectservice.exe - not-a-virus:AdWare.Win32.ELEX.al

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

j2qfl7bu_t.exe - not-a-virus:WebToolbar.Win32.Agent.bhv

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

kometaup.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
 

[thyrex]

Новые логи где?

[НикитаС]

Новые логи

CollectionLog-2015.07.01-22.02.zipПолучение информации...

Изменено 1 июля, 2015 пользователем НикитаС

[thyrex]

Сделайте лог полного сканирования МВАМ

[НикитаС]

Смогу сделать завтра в 10-12 часов

[НикитаС]

Новые логи

1.txtПолучение информации...

[thyrex]

Удалите в МВАМ все найденное

[НикитаС]

Я кажется предыдущие логи сделал без руткитов. А теперь с руткитами стало 526 нежелательных объектов

Спасибо!

Всё удалил, даже удалил браузер. Поставил снова хром, открываю сайт и опять рекламный вирус... Внизу реклама и сверху реклама. Ведет на http://marketgid.com/mg12949.html

526.txtПолучение информации...

Изменено 2 июля, 2015 пользователем НикитаС

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[НикитаС]

Спасибо за Вашу работу!

Addition.txtПолучение информации...

FRST.txtПолучение информации...

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:



GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

SearchScopes: HKU\S-1-5-21-448539723-57989841-839522115-1003 -> 81BF9409805855F7664111B9D1C36D11 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

BHO: No Name -> {AA58ED58-01DD-4d91-8333-CF10577473F7} ->  No File

BHO: No Name -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} ->  No File

BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File

Toolbar: HKLM - No Name - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -  No File

Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

Toolbar: HKU\S-1-5-21-448539723-57989841-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File

Toolbar: HKU\S-1-5-21-448539723-57989841-839522115-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File



Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[НикитаС]

Сделал

Fixlog.txtПолучение информации...

[thyrex]

Если проблема актуальна, отключите все установленные в браузерах расширения и проверьте проблему