Реклама в браузере Google Chrome

[jack1007]

Периодически ,сами собой, открываются окна с рекламой в Google Chrome.

CollectionLog-2015.10.31-15.11.zip

Изменено 31 октября, 2015 пользователем jack1007

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\system32\VSProtectProxy.dll','');
DeleteService('VSProtectProxy');
TerminateProcessByName('VSProtectProxy.exe');
QuarantineFile('VSProtectProxy.exe','');
TerminateProcessByName('c:\program files (x86)\visual protect service\vsprotector.exe');
QuarantineFile('c:\program files (x86)\visual protect service\vsprotector.exe','');
TerminateProcessByName('c:\users\Илья\appdata\roaming\acestream\engine\ace_engine.exe');
TerminateProcessByName('c:\users\Илья\appdata\roaming\acewebextension\updater\ace_web_extension.exe');
DeleteFile('c:\users\Илья\appdata\roaming\acestream\engine\ace_engine.exe','32');
DeleteFile('c:\users\Илья\appdata\roaming\acewebextension\updater\ace_web_extension.exe','32');
DeleteFile('c:\program files (x86)\visual protect service\vsprotector.exe','32');
DeleteFile('VSProtectProxy.exe','32');
DeleteFile('C:\Users\Илья\AppData\Roaming\ACEStream\engine\lib\win32process.pyd','32');
DeleteFile('C:\Users\Илья\AppData\Roaming\ACEStream\engine\lib\win32gui.pyd','32');
DeleteFile('C:\Users\Илья\AppData\Roaming\ACEStream\engine\lib\swresample-1.dll','32');
DeleteFile('C:\Users\Илья\AppData\Roaming\ACEStream\engine\lib\avutil-54.dll','32');
DeleteFile('C:\Users\Илья\AppData\Roaming\ACEStream\engine\lib\avformat-56.dll','32');
DeleteFile('C:\Users\Илья\AppData\Roaming\ACEStream\engine\lib\avcodec-56.dll','32');
DeleteFile('C:\Users\Илья\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pysegmenter.pyd','32');
DeleteFile('C:\Users\Илья\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pywebrtc.pyd','32');
DeleteFile('C:\Users\Илья\AppData\Roaming\ACEStream\engine\lib\acestreamengine.Core.pyd','32');
DeleteFile('C:\Users\Илья\AppData\Roaming\ACEStream\engine\lib\acestreamengine.CoreApp.pyd','32');
DeleteFile('C:\Users\Илья\AppData\Roaming\ACEStream\engine\lib\acestreamengine.live.pyd','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceWebException');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream');
DeleteFile('C:\WINDOWS\system32\Tasks\VSProtector','64');
DeleteFile('C:\WINDOWS\system32\VSProtectProxy.dll','32');
DeleteFile('c:\users\Илья\appdata\roaming\acestream\updater\ace_update.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(15);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[jack1007]

[KLAN-3305585431]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

VSProtectProxy.dll,
vsprotector.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ru http://www.viruslist.ru"

CollectionLog-2015.10.31-19.27.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[jack1007]

Лог сканрования

1.txt

[thyrex]

Удалите в МВАМ все найденное

[jack1007]

После удаления в МВАМ реклама осталась.

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[jack1007]

отчеты

FRST.txt

Addition.txt

[thyrex]

Отключите все установленные в Хроме расширения и проверьте проблему

[jack1007]

Проблема осталась.

При перезапуске браузера приложение Kaspersky Protection остается включенным. 

[thyrex]

Интернет через роутер?

[jack1007]

Да

[thyrex]

Сделайте аппаратный сброс настроек роутера, введите правильные настройки.

Смените пароль к настройкам роутера на более сложный.

Очистите куки и кэш браузеров, перезагрузитесь.

 

Проверьте проблему

[jack1007]

Проблема устранена. Дополнительно понадобилась переустановка браузер