Лишние закладки в браузерах

[Yudjin]

Здравствуйте!

В браузерах открываются лишние закладки, на игровые сайты и казино. Картинки на всех страницах при наведении на них курсора сами переворачиваются и вместо них появляются картинки сомнительного содержания.
Также не удается удалить программу AnyProtect.

Лог в прикрепленном файле.

CollectionLog-2015.08.10-10.28.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Star\appdata\local\smartweb\__u.exe','');
QuarantineFile('C:\Windows\microsoft\updatingservicemed\media player znewversiondownloader.exe','');
QuarantineFile('C:\Users\Star\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-5.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-10.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-6.exe','');
QuarantineFile('C:\Users\Star\AppData\Local\31476\Updater.exe','');
DelBHO('{1F91A9A1-01BA-4c81-863D-3BA0751E1419}');
QuarantineFile('C:\Users\Star\AppData\Roaming\eTranslator\eTranslator.exe','');
QuarantineFile('C:\Users\Star\AppData\Local\Temp\supermegabest\run_setup.bat','');
SetServiceStart('skinapp', 4);
DeleteService('skinapp');
DeleteService('globalUpdatem');
DeleteService('globalUpdate');
QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
SetServiceStart('kuziryjy', 4);
DeleteService('kuziryjy');
SetServiceStart('IHProtect Service', 4);
DeleteService('IHProtect Service');
SetServiceStart('hyverumu', 4);
DeleteService('hyverumu');
SetServiceStart('gopibeko', 4);
DeleteService('gopibeko');
SetServiceStart('comyninu', 4);
DeleteService('comyninu');
QuarantineFile('C:\Windows\skinapp.sys','');
QuarantineFile('C:\Users\Star\AppData\Local\SmartWeb\swhk.dll','');
QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','');
QuarantineFile('C:\Program Files (x86)\MiuiTab\IeWatchDog.dll','');
QuarantineFile('C:\Program Files (x86)\MiuiTab\BrowserAction.dll','');
QuarantineFile('C:\Program Files (x86)\MiuiTab\BrowerWatchFF.dll','');
TerminateProcessByName('c:\users\star\appdata\local\gmsd_ru_005010054\upgmsd_ru_005010054.exe');
QuarantineFile('c:\users\star\appdata\local\gmsd_ru_005010054\upgmsd_ru_005010054.exe','');
TerminateProcessByName('c:\users\star\appdata\local\00000000-1438964066-0000-0000-001fd0266aea\snsga52e.tmp');
QuarantineFile('c:\users\star\appdata\local\00000000-1438964066-0000-0000-001fd0266aea\snsga52e.tmp','');
TerminateProcessByName('c:\users\star\appdata\local\smartweb\smartwebhelper.exe');
QuarantineFile('c:\users\star\appdata\local\smartweb\smartwebhelper.exe','');
TerminateProcessByName('c:\users\star\appdata\local\smartweb\smartwebapp.exe');
QuarantineFile('c:\users\star\appdata\local\smartweb\smartwebapp.exe','');
TerminateProcessByName('c:\program files (x86)\miuitab\protectservice.exe');
QuarantineFile('c:\program files (x86)\miuitab\protectservice.exe','');
TerminateProcessByName('c:\program files (x86)\obnovi soft\obnovisoft.exe');
QuarantineFile('c:\windows\microsoft\sogrmed\media player zupdater.exe','');
TerminateProcessByName('c:\program files (x86)\00000000-1438953208-0000-0000-001fd0266aea\knse9089.tmp');
QuarantineFile('c:\program files (x86)\00000000-1438953208-0000-0000-001fd0266aea\knse9089.tmp','');
TerminateProcessByName('c:\program files (x86)\00000000-1438953208-0000-0000-001fd0266aea\jnsgfa4d.tmp');
QuarantineFile('c:\program files (x86)\00000000-1438953208-0000-0000-001fd0266aea\jnsgfa4d.tmp','');
QuarantineFile('c:\program files (x86)\iobit\liveupdate\iobitlauncher.exe','');
TerminateProcessByName('c:\program files (x86)\iobit\liveupdate\iobitlauncher.exe');
TerminateProcessByName('c:\program files (x86)\miuitab\hpnotify.exe');
QuarantineFile('c:\program files (x86)\miuitab\hpnotify.exe','');
TerminateProcessByName('c:\program files (x86)\00000000-1438953208-0000-0000-001fd0266aea\hnsl553a.tmp');
QuarantineFile('c:\program files (x86)\00000000-1438953208-0000-0000-001fd0266aea\hnsl553a.tmp','');
TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010054\gmsd_ru_005010054.exe');
QuarantineFile('c:\program files (x86)\gmsd_ru_005010054\gmsd_ru_005010054.exe','');
TerminateProcessByName('c:\program files (x86)\shop and save up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-6.exe');
QuarantineFile('c:\program files (x86)\shop and save up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-6.exe','');
TerminateProcessByName('c:\program files (x86)\miuitab\cmdshell.exe');
QuarantineFile('c:\program files (x86)\miuitab\cmdshell.exe','');
DeleteFile('c:\program files (x86)\miuitab\cmdshell.exe','32');
DeleteFile('c:\program files (x86)\shop and save up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-6.exe','32');
DeleteFile('c:\program files (x86)\gmsd_ru_005010054\gmsd_ru_005010054.exe','32');
DeleteFile('c:\program files (x86)\00000000-1438953208-0000-0000-001fd0266aea\hnsl553a.tmp','32');
DeleteFile('c:\program files (x86)\miuitab\hpnotify.exe','32');
DeleteFile('c:\program files (x86)\iobit\liveupdate\iobitlauncher.exe','32');
DeleteFile('c:\program files (x86)\00000000-1438953208-0000-0000-001fd0266aea\jnsgfa4d.tmp','32');
DeleteFile('c:\program files (x86)\00000000-1438953208-0000-0000-001fd0266aea\knse9089.tmp','32');
DeleteFile('c:\program files (x86)\obnovi soft\obnovisoft.exe','32');
DeleteFile('c:\program files (x86)\miuitab\protectservice.exe','32');
DeleteFile('c:\users\star\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('c:\users\star\appdata\local\smartweb\smartwebhelper.exe','32');
DeleteFile('c:\users\star\appdata\local\00000000-1438964066-0000-0000-001fd0266aea\snsga52e.tmp','32');
DeleteFile('c:\users\star\appdata\local\gmsd_ru_005010054\upgmsd_ru_005010054.exe','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\BrowerWatchFF.dll','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\BrowserAction.dll','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\IeWatchDog.dll','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32');
DeleteFile('C:\Users\Star\AppData\Local\SmartWeb\swhk.dll','32');
DeleteFile('C:\Windows\skinapp.sys','32');
DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','supermegabest');
DeleteFile('C:\Users\Star\AppData\Local\Temp\supermegabest\run_setup.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010054.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Automatic Update');
DeleteFile('C:\Users\Star\AppData\Roaming\eTranslator\eTranslator.exe','32');
DeleteFile('C:\Users\Star\AppData\Local\31476\Updater.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-6.exe','32');
DeleteFile('C:\Windows\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-6.job','64');
DeleteFile('C:\Windows\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-7.job','64');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-10.exe','32');
DeleteFile('C:\Windows\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-10_user.job','64');
DeleteFile('C:\Windows\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.job','64');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-5.exe','32');
DeleteFile('C:\Windows\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-5.job','64');
DeleteFile('C:\Windows\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-5_user.job','64');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-7','64');
DeleteFile('C:\Windows\system32\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4','64');
DeleteFile('C:\Windows\system32\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-5','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\Star\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
DeleteFile('C:\Users\Star\appdata\local\smartweb\__u.exe','32');
DeleteFile('C:\Users\Star\appdata\roaming\mystartsearch\uninstallmanager.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

 

 

[Yudjin]

KLAN-3043119970

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

 

__u.exe,

swhk.dll - not-a-virus:AdWare.Win32.PriceGong.a

dd6aa243-1fdd-44b7-b068-2f07cccdd84d-10.exe,

dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-6.exe,

dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.exe,

dd6aa243-1fdd-44b7-b068-2f07cccdd84d-5.exe - not-a-virus:AdWare.NSIS.Adwapper.do

gmsd_ru_005010054.exe - not-a-virus:AdWare.Win32.Eorezo.abnt

IeWatchDog.dll - not-a-virus:AdWare.Win32.ELEX.bd

media player znewversiondownloader.exe - not-a-virus:AdWare.MSIL.Agent.vmk

media player zupdater.exe - not-a-virus:AdWare.MSIL.Agent.vml

 

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

 

BrowerWatchFF.dll,

BrowserAction.dll,

cmdshell.exe,

hpnotify.exe,

iobitlauncher.exe,

protectservice.exe,

snsga52e.tmp,

SupTab.dll,

upgmsd_ru_005010054.exe

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

eTranslator.exe,

hnsl553a.tmp,

jnsgfa4d.tmp,

skinapp.sys

 

Вредоносный код в файлах не обнаружен.

 

globalupdate.exe - not-a-virus:RiskTool.Win32.GlobalUpdate.dx

вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw

 

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

CollectionLog-2015.08.12-09.04.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[Yudjin]

Лог MBAM

Malwarebytes.txt

[thyrex]

Удалите в МВАМ все найденное

[Yudjin]

Сделано.

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Yudjin]

Сделано.

FRST.txt

Addition.txt

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2427238859-3698243410-715778699-1000\...\Run: [AdobeBridge] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2427238859-3698243410-715778699-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-2427238859-3698243410-715778699-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=730626ad32978305ab638cb0e12b20ea&text= <==== ATTENTION
FF Extension: Универсальный перевод для FireFox - C:\Users\Star\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\translator@zoli.bod [2015-08-07]
CHR Extension: (promoskiki) - C:\Users\Star\AppData\Local\Google\Chrome\User Data\Default\Extensions\fafceeakhmbanmolhficnpfaalkbffpc [2015-08-07]
CHR Extension: (Универсальный перевод для Chrome) - C:\Users\Star\AppData\Local\Google\Chrome\User Data\Default\Extensions\faminaibgiklngmfpfbhmokfmnglamcm [2015-08-07]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vk.ijmelto.ru/index.xml
2015-08-08 10:44 - 2015-08-12 15:09 - 00000000 ____D C:\Program Files (x86)\globalUpdate
2015-08-08 10:44 - 2015-08-08 10:44 - 00000000 ____D C:\Users\Star\AppData\Local\globalUpdate
2015-08-07 16:36 - 2015-08-07 16:36 - 00333506 _____ (AnySend.com) C:\Users\Star\AppData\Local\nsg9DEB.tmp
2015-08-07 16:14 - 2015-04-20 13:36 - 00001030 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-08-07 16:12 - 2015-08-12 10:38 - 00000000 ____D C:\Users\Star\AppData\Local\promoskiki
2015-08-07 16:12 - 2015-08-07 16:13 - 00000000 ____D C:\Users\Star\AppData\Roaming\Searcher
2015-08-07 16:12 - 2015-08-07 16:13 - 00000000 ____D C:\Users\Star\AppData\Roaming\eTranslator
2015-08-07 16:12 - 2015-08-07 16:12 - 00000000 ____D C:\Users\Star\AppData\Roaming\Homepager
Task: {0CFB505A-DA49-486A-8264-CE7C56DAE456} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {E7207B07-2858-460A-BE24-94B3E0FAA08B} - \nethost task -> No File <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Yudjin]

А где взять Check_Browsers_LNK.log?

[thyrex]

В папке с Autologger

[Yudjin]

Сделано.

Fixlog.txt

ClearLNK-14.08.2015_11-18.log

[thyrex]

Что с проблемой?

[Yudjin]

Последим сегодня за работой браузеров. Спасибо! )