Перейти к содержанию

Рекламный вирус + work.exe


Рекомендуемые сообщения

При включении компьютера выходит сообщение что-то о work.exe

На всех сайтах вылезает реклама снизу и справа.

CollectionLog-2015.07.01-20.58.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\torrent search\j2qfl7bu_t.exe','');
QuarantineFile('C:\Program Files\picexa\picexasvc.exe','');
QuarantineFile('C:\Program Files\miuitab\suptab.dll','');
QuarantineFile('C:\Program Files\miuitab\protectservice.exe','');
QuarantineFile('C:\Program Files\miuitab\iewatchdog.dll','');
QuarantineFile('C:\Program Files\miuitab\hpnotify.exe','');
QuarantineFile('C:\Program Files\miuitab\cmdshell.exe','');
QuarantineFile('C:\Program Files\miuitab\browerwatchch.dll','');
QuarantineFile('C:\Documents and Settings\C05\appdata\everything\serviceeverything.exe','');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
QuarantineFile('C:\Program Files\MiuiTab\SupTab.dll','');
QuarantineFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\kometaup.exe','');
QuarantineFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\Application\kometa.exe','');
TerminateProcessByName('c:\program files\picexa\picexasvc.exe');
QuarantineFile('c:\program files\picexa\picexasvc.exe','');
DeleteFile('c:\program files\picexa\picexasvc.exe','32');
DeleteFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Documents and Settings\C05\Local Settings\Application Data\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_4794967BB5052472972272D36BCD0283','command');
DeleteFile('C:\Program Files\MiuiTab\SupTab.dll','32');
DeleteFile('C:\Program Files\miuitab\browerwatchch.dll','32');
DeleteFile('C:\Program Files\miuitab\cmdshell.exe','32');
DeleteFile('C:\Program Files\miuitab\hpnotify.exe','32');
DeleteFile('C:\Program Files\miuitab\iewatchdog.dll','32');
DeleteFile('C:\Program Files\miuitab\protectservice.exe','32');
DeleteFile('C:\Program Files\miuitab\suptab.dll','32');
DeleteFile('C:\Program Files\picexa\picexasvc.exe','32');
DeleteFile('C:\Program Files\torrent search\j2qfl7bu_t.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(16);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте НОВЫЕ логи ПО ПРАВИЛАМ

Ссылка на сообщение
Поделиться на другие сайты

KLAN-2934943487

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

bcqr00017.dat,
bcqr00018.dat,
hpnotify.exe,
kometa.exe,
picexasvc.exe,
serviceeverything.exe,
suptab.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

browerwatchch.dll - not-a-virus:AdWare.Win32.ELEX.ah
cmdshell.exe - not-a-virus:AdWare.Win32.ELEX.ak
iewatchdog.dll - not-a-virus:AdWare.Win32.ELEX.ai
protectservice.exe - not-a-virus:AdWare.Win32.ELEX.al

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

j2qfl7bu_t.exe - not-a-virus:WebToolbar.Win32.Agent.bhv

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

kometaup.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
 

Ссылка на сообщение
Поделиться на другие сайты

Я кажется предыдущие логи сделал без руткитов. А теперь с руткитами стало 526 нежелательных объектов


Спасибо!


Всё удалил, даже удалил браузер. Поставил снова хром, открываю сайт и опять рекламный вирус... Внизу реклама и сверху реклама. Ведет на http://marketgid.com/mg12949.html

526.txt

post-33398-0-54872700-1435826817_thumb.jpg

post-33398-0-54541700-1435826828_thumb.jpg

Изменено пользователем НикитаС
Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-448539723-57989841-839522115-1003 -> 81BF9409805855F7664111B9D1C36D11 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO: No Name -> {AA58ED58-01DD-4d91-8333-CF10577473F7} ->  No File
BHO: No Name -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} ->  No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKLM - No Name - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -  No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-448539723-57989841-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-448539723-57989841-839522115-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Veliamord
      От Veliamord
      Здравствуйте, возникла небольшая проблема, помогите её пожалуйста решить. Примерно месяц назад я сбросил Windows 10 до заводских, вернул ему работоспособный для меня вид. Работал ПК нормально, никаких признаков вируса не было. После я переезжал, и недавно 9 числа я подключил компьютер на новом месте. Сразу после включения ПК проглючил и включил что-то наподобие энергосберегающего режима. 
      Недавно я, работая в браузере, заметил, что при вводе поиска google какой-либо запрос, то он дублируется иногда в новую вкладку с поиском mail. Следующая проблема была с сайтом Вконтакте. Страница сама по себе начала лайкать рекламные посты. Я залез в расширения, удалил оттуда "игры+", который я не ставил. После этого запросы дублироваться перестали, но вк все равно жил своей жизнью 
      Я пытался сам найти файл или запись в регистре, но не смог. Это довольно странно, ведь до этого я всегда обнаруживал кое-какую вещь, которая подтверждала на 100%, что есть некий вирус, но сейчас я не нашел того, за что можно было бы зацепиться. Результаты сканирования прилагаю.
      CollectionLog-2019.09.12-23.51.zip
    • Miras
      От Miras
      Вот этот вирус похоже блокирует.Это рекламный вирус открывает новую вкладку и открывает рекламу.То есть он вмешивается в работуу роутера как я думаю назначает свои прокси серверы итд.При чем интернет напрямую работает если подключать не через роутер.При удалении этого вируса он воспроизводится обратно даже при перезагрузке компьютера.Пробовал различные сканеры Malwarebytes,Emsisoft,Curelt они не видят его.Программа adw cleaner находит и удаляет Но как я говорил ранее вирус восстанавливается
      Folder Found:  C:\Users\Arima\AppData\Local\Google\Chrome\User Data\lejutplovshprohey.Последнее является папкой.Как отследить что именно создает эту папку?Поиск открытых портов TCP/UDP, используемых вредоносными программами
       В базе 317 описаний портов
       На данном ПК открыто 39 TCP портов и 46 UDP портов
       >>> Обратите внимание: Порт 65000 TCP - Devil v1.03, Stacheldracht (nvcontainer.exe)
      Привлекла внимание эта запись из avz.Пожалуйста помогите последняя надеждаavz_log.txt
    • Proserpina
      От Proserpina
      Добрый день! Пожалуйста, помогите устранить рекламный вирус. 
       
      После скачивания программы для чтения Djvu файлов налипло разного мусора вроде go.mail, Амиго и прочего. С этой проблемой как-то разобрались, ибо уже не в первый раз... Но появилось и нечто новое: каждые 20 минут Хром сам по себе произвольно открывает некий сайт puklusi. Проверка Касперским ничего не обнаруживает.
       Лог прикрепляю к сообщению. 
      CollectionLog-2016.12.19-02.07.zip
    • moler
      От moler
      Здравствуйте.
       
       
       
      Каждые 5 минут по центру экрана вылезает сообщение "Как вы хотите открывать ссылки такого типа hhtp" и браузеры. При нажатии на любой из браузеров открывает рекламу. Как избавиться,достало уже - по умолчанию стоит 'Google Chrome'. 


    • Рома Никитин
      От Рома Никитин
      Словил гадость , постоянно вылетает реклама вулкана и прочих казино , в процессах лишнего ничего не вижу , то что было почистил, помогите)
      CollectionLog-2016.11.01-18.45.zip
×
×
  • Создать...