Назойливая реклама в браузерах.

[Galgona]

 Здравствуйте.После скачивание программы,подхватила вирус во всех браузерах стала появляться реклама.Переустановка браузеров не помагла.А во всех иконках браузера после переустановки компьютера путь меняется на некий bat файл.Сразу хочу предупредить-я чайник в компьютерах.

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Galgona]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Проверки программами выполнила,лог прикрепила.

CollectionLog-2016.01.20-23.09.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\users\Галина\appdata\local\f09e3180-1453237950-11dd-97d8-74d02b903c6c\qnsmd1b2.tmp');
 StopService('WindowsMangerProtect');
 StopService('zigipyro');
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Галина\AppData\Local\Hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\sersoft\r0squf.exe','');
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '');
 QuarantineFile('c:\users\Галина\appdata\local\f09e3180-1453237950-11dd-97d8-74d02b903c6c\qnsmd1b2.tmp', '');
 QuarantineFile('C:\Users\Галина\AppData\Local\F09E3180-1453237950-11DD-97D8-74D02B903C6C\qnsmD1B2.tmp', '');
 QuarantineFile('C:\ProgramData\HWBYkhwHVB\xvsxLnbx0.bat', '');
 QuarantineFile('C:\ProgramData\VQhAthS\KYsoUM5.bat', '');
 QuarantineFile('C:\Users\Галина\AppData\Local\Hostinstaller\2722479170_installcube.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '32');
 DeleteFile('c:\users\Галина\appdata\local\f09e3180-1453237950-11dd-97d8-74d02b903c6c\qnsmd1b2.tmp', '32');
 DeleteFile('C:\Users\Галина\AppData\Local\F09E3180-1453237950-11DD-97D8-74D02B903C6C\qnsmD1B2.tmp', '32');
 DeleteFile('C:\ProgramData\HWBYkhwHVB\xvsxLnbx0.bat', '32');
 DeleteFile('C:\ProgramData\VQhAthS\KYsoUM5.bat', '32');
 DeleteFile('C:\Users\Галина\AppData\Local\Hostinstaller\2722479170_installcube.exe', '32');
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('C:\Users\Галина\AppData\Local\Hostinstaller', '*', true);
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('C:\Users\Галина\AppData\Local\Hostinstaller');
 DeleteService('WindowsMangerProtect');
 DeleteService('zigipyro');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Galgona]

Здравствуйте,указания выполнила.

 

[KLAN-3642622215] 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

ProtectWindowsManager.exe,
2722479170_installcube.exe,
r0squf.exe,
qnsmd1b2.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

AdwCleanerS1.txt

ClearLNK-22.01.2016_12-33.log

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.
Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Galgona]

Всё выполнила.

AdwCleanerC1.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

application extension version 1.5
Video and Audio Plugin UBar

Ярлыки

C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
2016-01-22 15:13 - 2016-01-22 15:13 - 00000000 ____D C:\Users\Все пользователи\dptCocwtR
2016-01-22 15:13 - 2016-01-22 15:13 - 00000000 ____D C:\Users\Все пользователи\aIeKAJhzw
2016-01-22 15:13 - 2016-01-22 15:13 - 00000000 ____D C:\ProgramData\dptCocwtR
2016-01-22 15:13 - 2016-01-22 15:13 - 00000000 ____D C:\ProgramData\aIeKAJhzw
2016-01-22 12:24 - 2016-01-22 12:24 - 00000000 ____D C:\Users\Все пользователи\jXwcdfET
2016-01-22 12:24 - 2016-01-22 12:24 - 00000000 ____D C:\ProgramData\jXwcdfET
2016-01-22 11:46 - 2016-01-22 11:46 - 00000000 ____D C:\Users\Все пользователи\cphRcTKy
2016-01-22 11:46 - 2016-01-22 11:46 - 00000000 ____D C:\ProgramData\cphRcTKy
2016-01-21 20:20 - 2016-01-21 20:20 - 00000000 ____D C:\Users\Все пользователи\AkcrHGxg
2016-01-21 20:20 - 2016-01-21 20:20 - 00000000 ____D C:\ProgramData\AkcrHGxg
2016-01-21 16:20 - 2016-01-21 16:20 - 00000000 ____D C:\Users\Все пользователи\rqDQohWx
2016-01-21 16:20 - 2016-01-21 16:20 - 00000000 ____D C:\ProgramData\rqDQohWx
2016-01-21 01:48 - 2016-01-21 01:48 - 00000000 ____D C:\Users\Галина\AppData\Local\AhrqCuc
2016-01-21 01:48 - 2016-01-21 01:48 - 00000000 ____D C:\Users\Все пользователи\AhrqCuc
2016-01-21 01:48 - 2016-01-21 01:48 - 00000000 ____D C:\ProgramData\AhrqCuc
2016-01-20 21:48 - 2016-01-20 21:48 - 00000000 ____D C:\Users\Все пользователи\eBETgO
2016-01-20 21:48 - 2016-01-20 21:48 - 00000000 ____D C:\ProgramData\eBETgO
2016-01-19 10:51 - 2016-01-20 10:12 - 00000000 ____D C:\Users\Галина\AppData\LocalLow\Unity
2016-01-19 10:51 - 2016-01-20 10:12 - 00000000 ____D C:\Users\Галина\AppData\Local\Unity
2016-01-19 10:51 - 2016-01-19 23:30 - 00000000 ____D C:\Users\Галина\AppData\Roaming\WindowsUpdater
2016-01-19 10:51 - 2016-01-19 20:24 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension
2016-01-19 10:51 - 2016-01-19 10:56 - 00000000 ____D C:\Users\Галина\AppData\Roaming\MailProducts
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

[Galgona]

Указанные шаги по порядку выполнила.Video and Audio Plugin UBar в списке программ по удалению не нашла.

ClearLNK-23.01.2016_09-44.log

Fixlog.txt

[Sandor]

Запустите frst64.exe, в поле Search введите

Video and Audio Plugin UBar

нажмите Registry Search. Итоговый файл Search.txt приложите к следующему сообщению.

[Galgona]

Выполнила.

Search.txt

[Sandor]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Galgona]

Выполнила.

CollectionLog-2016.01.25-08.57.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\sersoft\r0squf.exe');
 StopService('HSystem');
 QuarantineFile('C:\Users\Галина\AppData\Roaming\yoursearching\UninstallManager.exe','');
 QuarantineFile('c:\program files (x86)\sersoft\r0squf.exe','');
 QuarantineFileF('C:\ProgramData\Tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\sersoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\ProgramData\mdvGviljd\SklrWdh0.bat', '');
 QuarantineFile('C:\Users\Галина\AppData\Local\mdvGviljd\SklrWdh1.bat', '');
 DeleteFile('c:\program files (x86)\sersoft\r0squf.exe','32');
 DeleteFile('C:\Users\Галина\AppData\Roaming\yoursearching\UninstallManager.exe','32');
 DeleteFile('C:\ProgramData\mdvGviljd\SklrWdh0.bat', '32');
 DeleteFile('C:\Users\Галина\AppData\Local\mdvGviljd\SklrWdh1.bat', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{20620A7C-7CA4-43EA-AB21-865AE2C3E02A}" /F', 0, 15000, true);
 DeleteService('HSystem');
 DeleteFileMask('C:\ProgramData\Tmp0x0x', '*', true);
 DeleteFileMask('c:\program files (x86)\sersoft', '*', true);
 DeleteDirectory('c:\program files (x86)\sersoft');
 DeleteDirectory('C:\ProgramData\Tmp0x0x');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

 

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 25 января, 2016 пользователем Sandor

[Galgona]

Выполнила.

 

[KLAN-3654543203]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

r0squf.exe,
SklrWdh0.bat,
SklrWdh1.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

ClearLNK-25.01.2016_11-15.log

CollectionLog-2016.01.25-11.22.zip