Перейти к содержанию

угонщик браузера


Александр Ковалев

Рекомендуемые сообщения

День добрый. была словлена и запущена бяка от tencent. После удаления данной гадости осталось 3 dll файла, которые, судя по tasklist прилипли к explorer.exe
Также стала идти переадресация поисковых запросов в начале на searchtds.ru, а оттуда на всеми любимый mail.ru 
очень похоже на эту тему http://forum.kasperskyclub.ru/index.php?showtopic=47941
файлы, которые после этой гадости не удается удалить (исходник данной гадости есть, но весит 5.84Мб)
exnscan64.dll
QMGCShellExt64.dll
QMIESafeDll64.dll
 
Надеюсь сможете помочь.
Заранее спасибо

CollectionLog-2016.03.23-19.28.zip

Изменено пользователем Александр Ковалев
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\asus\appdata\roaming\microsoft\video', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\8500239B-3E0C-4EA5-9110-36C5F18C5CF9\05a00036.exe', '');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\install91273922.exe', '');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Microsoft\Video\pokk.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft Windows Video" /F', 0, 15000, true);
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\8500239B-3E0C-4EA5-9110-36C5F18C5CF9\05a00036.exe', '32');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\install91273922.exe', '32');
 DeleteFile('C:\Users\Asus\AppData\Roaming\Microsoft\Video\pokk.exe', '32');
 DeleteFileMask('c:\users\asus\appdata\roaming\microsoft\video', '*', true);
 DeleteDirectory('c:\users\asus\appdata\roaming\microsoft\video');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\05a00036','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Express FilesInstaller Starter','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)


Ярлыки

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Carmageddon\Carmageddon.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Carmageddon Splat Pack\Carmageddon Splat Pack.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

KLAN-3999277201

Переадресация с яндекса на мэил.ру пропала, а вот с гугла на мэил.ру действует :(

ClearLNK-24.03.2016_11-11.log

AdwCleanerS1.txt

Изменено пользователем Александр Ковалев
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Первый пункт выполнил сразу же после сканирования.

По второму пункту логи во вложении

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты

Первый пункт выполнил сразу же после сканирования

Отчет покажите.

 

Расширение Хрома

Script console estimation

ставили самостоятельно?

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} =>  No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3002411084-3375668630-1947243867-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3002411084-3375668630-1947243867-1000 -> No Name - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} -  No File
Toolbar: HKU\S-1-5-21-3002411084-3375668630-1947243867-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-3002411084-3375668630-1947243867-1000 -> No Name - {7B6DE06C-7013-4A87-957E-D27D7B977D21} -  No File
Toolbar: HKU\S-1-5-21-3002411084-3375668630-1947243867-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3002411084-3375668630-1947243867-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [X]
2016-03-23 15:29 - 2016-03-23 15:29 - 00000000 ____D C:\Users\Asus\AppData\Roaming\ProductData
2016-03-23 15:28 - 2016-03-23 15:30 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-03-23 15:28 - 2016-03-23 15:30 - 00000000 ____D C:\ProgramData\ProductData
2016-03-23 15:28 - 2016-03-23 15:28 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-03-23 15:28 - 2016-03-23 15:28 - 00000000 ____D C:\Users\Asus\AppData\LocalLow\IObit
2016-03-23 15:27 - 2016-03-23 15:30 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-03-23 15:27 - 2016-03-23 15:30 - 00000000 ____D C:\ProgramData\IObit
2016-03-23 15:27 - 2016-03-23 15:29 - 00000000 ____D C:\Users\Asus\AppData\Roaming\IObit
2016-03-23 15:27 - 2016-03-23 15:27 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-03-23 15:27 - 2016-03-23 15:27 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-03-23 15:26 - 2016-03-23 17:56 - 00000000 ____D C:\Users\Asus\AppData\Local\Hostinstaller
2016-03-23 15:22 - 2016-03-23 15:22 - 00000000 ____D C:\Users\Все пользователи\ubDeLDHPg
2016-03-23 15:22 - 2016-03-23 15:22 - 00000000 ____D C:\ProgramData\ubDeLDHPg
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Script console estimation

ставили самостоятельно?

к сожалению мне "помогли"

Логи во вложении

AdwCleanerC1.txt

Fixlog.txt

Изменено пользователем Александр Ковалев
Ссылка на комментарий
Поделиться на другие сайты

 

к сожалению мне "помогли"

Т.е. не самостоятельно? Если так, удалите.

 

Что сейчас с проблемой?

 

 

так удалить не удается...  (хотя в закладках его больше не вижу)

 также пропала переадресация! :ura:

Изменено пользователем Александр Ковалев
Ссылка на комментарий
Поделиться на другие сайты

Восстановление системы включите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR Extension: (Script console estimation) - C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\Extensions\fljmobjajnajbcddlmmadmcennbnfikk [2016-03-23]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Подробнее читайте в этом руководстве.

 

Все остальные утилиты, включая папку C:\FRST можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.20 (64-bit) v.4.20.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.41212.0
TeamViewer 9 v.9.0.31064 Внимание! Скачать обновления
^Необязательное обновление.^
VLC media player 2.1.2 v.2.1.2 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.9.5.41866 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 6 Update 23 (64-bit) v.6.0.230 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-x64.exe). Желательно отключить Java-плагин в браузере!!!^
Java 7 Update 51 (64-bit) v.7.0.510 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-x64.exe). Желательно отключить Java-плагин в браузере!!!^
Java SE Development Kit 6 Update 23 (64-bit) v.1.6.0.230
Java 6 Update 29 v.6.0.290 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^
Java 7 Update 51 v.7.0.510 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX 64-bit v.11.1.102.55 Внимание! Скачать обновления
Adobe AIR v.1.5.0.7220 Внимание! Скачать обновления
Adobe Flash Player 10 Plugin v.10.0.32.18 Внимание! Скачать обновления
Adobe Reader 9.2 - Russian v.9.2.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Softonic-Eng7 Toolbar Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
VKMusic 4 v.4.64 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Skype Click to Call v.8.0.0.9103 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


Прочтите и выполните Рекомендации после удаления вредоносного ПО

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ant666
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • 123343545646
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • John-80
      От John-80
      Добрый день.
      Во время работы, при переходе на некоторые страницы в браузере (яндекс браузер для организаций) происходит переадресация на страницу sweetgain.top
      Проверка машины антивирусом ничего не дает. Собран лог-файл... можете подсказать как удалить лишнее?
      avz_log.txt
    • Andrei93
      От Andrei93
      Здравствуйте. По какой-то причине Яндекс браузер блокируется Kasperskiy Security для Windows Server: 11.0.1.897. Определил отключением службы KAVFS.
      В событиях windows - Kasperskiy event log и Kasperskiy Security ни каких событий нет.
       
      Со стороны сервера отчет показывает, что ни каких проблем нет.
       
      Как понять, в чем проблема ? Как устранить ? Если решается только путем исключения, можете ли Вы подсказать как это сделать ?
       
    • Zroq
      От Zroq
      При каждом перезапуске браузера после удаления расширения происходит повторная его установка и активация.
      Также проверка такими средствами как Dr web и adwcleaner не помогли.
      CollectionLog-2024.11.23-20.22.zip
×
×
  • Создать...