банера, реклама алли экспрес. прокрались даже в доту

28 августа, 2015

пишу на форуме первый раз, так что простите если что то не так.

суть проблемы:

закончилась лицензия KIS 15. за неделю работы без касперского, компьютер схватило нечто непонятное

https://pp.vk.me/c627327/v627327162/105fc/A7_20GlXsGg.jpg

https://pp.vk.me/c627327/v627327162/105f2/mNBUPAE0-So.jpg

https://pp.vk.me/c627327/v627327162/104d4/OLUrr5KSeNc.jpg

https://pp.vk.me/c627327/v627327162/10844/kXg4sRUz-F4.jpg

была куплена лицензия, проверен компьютер, проблема не решилась. очистил кеш в бразуере.

проверил ПК

Kaspersky Virus Removal Tool 2015;
Dr.Web CureIt!.
проблема осталась, хотя и нашло пару каких то подозрительных троянов.
вот лог который я получил следуя инструкции. надеюсь вы поможете, готов к выполнению дальнейших инструкций...

CollectionLog-2015.08.28-22.34.zip

28 августа, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\programdata\{31633bf4-a843-99b7-3163-33bf4a84efd2}\hqghumeaylnlf.exe','');
DelBHO('{89D8CE90-45B8-4FD3-B91D-55B50573B8F4}');
QuarantineFile('C:\Program Files (x86)\webbsaverr\NUMPGi8XT720i5.dll','');
DeleteFile('C:\Program Files (x86)\webbsaverr\NUMPGi8XT720i5.dll','32');
DeleteFile('c:\programdata\{31633bf4-a843-99b7-3163-33bf4a84efd2}\hqghumeaylnlf.exe','32');
DeleteFile('C:\Windows\Tasks\Superclean.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

28 августа, 2015

у меня вот так выглядит https://pp.vk.me/c627327/v627327162/10869/b7wepxSoX2o.jpg

имелось ввиду newvirus@kaspersky.com ?

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

NUMPGi8XT720i5.dll

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

KLAN-3089244450

что мне теперь делать? еще раз выполнить эти два скрипта и отправить логи?

28 августа, 2015

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

28 августа, 2015

какоето у меня недопонимание. если вы под правилами имеете ввиду инструкцию в теме

"Порядок оформления запроса о помощи"

то хорошо, я пошел повторять "правила" по инструкции начиная с

Проведите проверку ПК, воспользовавшись одним из следующих продуктов:

Kaspersky Virus Removal Tool 2015;
Dr.Web CureIt!.
думаю, если бы вам нужны были логи то вы бы так и написали "запустите автологер и вышлите новые логи..."

вот лог

CollectionLog-2015.08.29-00.52.zip

Изменено 28 августа, 2015 пользователем mike 1

29 августа, 2015

думаю, если бы вам нужны были логи то вы бы так и написали "запустите автологер и вышлите новые логи..."

Если бы на всех форумах использовался Autologger, то тогда бы и шаблон был другой. Вполне очевидно, что на данном форуме он единственный в правилах сбора логов

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

29 августа, 2015

А мы еще не знаем чем болеет мой компьютер?)

FRST.txt

Addition.txt

29 августа, 2015

AppPtoU

CouolSualECouepaOn

coupon monkey

CouPonpeaK

deal2Dealit

deaL4mea

Dealppeakk

doWWnloaditkeep

FINeeDDealSofit

graeeaotsavinngg

Instair Speed Dial

lesse2pay

MyPermissions Cleaner

Ookong price history more

ProSHoppper

RealdeaL

S-927M

SaleSCheckEr

savEar bboox

SaveItCoupons

SaVerADdoone

SaverProo

sAvinegteoyou

Screeny

SegmentEnhancer

SmartCooMpeAre

To Do List

Topdeeal

uTorrentControl_v6 Toolbar for IE

websavier

Wheretoget

удалите через Установку программ

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} =>  No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.gboxapp.com/?aff=p
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.gboxapp.com/?aff=p
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms}
HKU\S-1-5-21-2629768744-1100654940-2555687070-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.gboxapp.com/?aff=p
HKU\S-1-5-21-2629768744-1100654940-2555687070-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://ru.msn.com/?ocid=iehp
HKU\S-1-5-21-2629768744-1100654940-2555687070-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2629768744-1100654940-2555687070-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2629768744-1100654940-2555687070-1000 -> {DB4703B0-BA20-4ECB-9F64-90AFA6B9D37C} URL = hxxp://trovi.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN32072530102073719&UM=7
BHO: webbsaverr -> {89D8CE90-45B8-4FD3-B91D-55B50573B8F4} -> C:\Program Files (x86)\webbsaverr\NUMPGi8XT720i5.x64.dll [2015-07-28] ()
FF NewTab: hxxp://www.sweet-page.com/newtab/?type=nt&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865
FF Homepage: hxxp://search.gboxapp.com/?aff=p
FF Extension: websavier - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\2Q@i.org [2015-07-28]
FF Extension: saver  box - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\9MsacDzjA@5.com [2015-07-27]
FF Extension: SavErPro - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\lVfMg@A.com [2015-07-27]
FF Extension: lesse2pay - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\N@xIsjU7P.org [2015-07-27]
FF Extension: PRoShouppeer - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\Oe@fmZ.org [2015-07-27]
FF Extension: webbsAver - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\Wmf3z9VSK@tD.com [2015-06-11]
OPR Extension: (Screeny) - C:\Users\S1dius\AppData\Roaming\Opera Software\Opera Stable\Extensions\mnjejilcobdkeaholenhgcchnelddigl [2014-08-13]
2015-08-26 19:02 - 2015-07-13 12:38 - 00000000 ____D C:\Program Files (x86)\SaverProo
2015-08-26 19:02 - 2015-07-13 12:38 - 00000000 ____D C:\Program Files (x86)\SAverPoro
2015-08-26 19:02 - 2015-06-08 19:41 - 00000000 ____D C:\Program Files (x86)\websaVer
2015-08-26 19:02 - 2014-08-13 20:39 - 00000000 ____D C:\Users\S1dius\AppData\Local\Screeny
Task: {A40E1A56-F81D-44BC-8C39-7A5B2C2817E3} - \cvc -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

29 августа, 2015

2 программы из списка не захотели удаляться. одна просила закрыть мой браузер и продолжить (все браузеры и скайп были закрыты) а вторая сослалась на то что какойто модуль dll Небыл найден.

Fixlog.txt

29 августа, 2015

Что с проблемой?

29 августа, 2015

Что с проблемой?

https://pp.vk.me/c627327/v627327162/1092a/qx4nAiupM3c.jpg

изначально меню выглядит нормально

https://pp.vk.me/c627327/v627327162/10948/E-6A-oIxuiM.jpg

но через минуту там появляется реклама... или даже вот такое

https://pp.vk.me/c627327/v627327162/10952/lOH6OOJUsa0.jpg

https://pp.vk.me/c627327/v627327162/10935/VvIzb3qyZB4.jpg

P.S. не знаю откроется ли у вас второй и третий скрин.

Изменено 29 августа, 2015 пользователем S1dius

29 августа, 2015

Интернет через роутер?

29 августа, 2015

да, через роутер.

https://pp.vk.me/c627327/v627327162/1095c/oHh1Jc6aSeg.jpg

а вот при появлении вот этой фигни еще идет и звук мужика котоырй рассказывает как в лотерею выиграть и я не знаю как его заткнуть...

модем зюксель кенетик филд литл 2

29 августа, 2015

Сделайте аппаратный сброс настроек роутера, введите правильные настройки.

Смените пароль к настройкам на более сложный.

Очистите куки и кэш браузеров, перезагрузитесь.

Проверьте проблему

29 августа, 2015

Дай бог вам здоровья, сделал сброс настроек. все решилось вроде, пока что банеры не появлялись.

скажите, если вирус засел в роутер то как это предупредить в дальнейшем?

и те программы которые я удалял через диспетчер это были шпионы/вирусы?

банера, реклама алли экспрес. прокрались даже в доту

Рекомендуемые сообщения

S1dius

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

S1dius

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

S1dius

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

S1dius

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

S1dius

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

S1dius

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

S1dius

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

S1dius

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum