угонщик браузера

[Александр Ковалев]

День добрый. была словлена и запущена бяка от tencent. После удаления данной гадости осталось 3 dll файла, которые, судя по tasklist прилипли к explorer.exe

Также стала идти переадресация поисковых запросов в начале на searchtds.ru, а оттуда на всеми любимый mail.ru 

очень похоже на эту тему http://forum.kasperskyclub.ru/index.php?showtopic=47941

файлы, которые после этой гадости не удается удалить (исходник данной гадости есть, но весит 5.84Мб)

exnscan64.dll

QMGCShellExt64.dll

QMIESafeDll64.dll

 

Надеюсь сможете помочь.
Заранее спасибо

CollectionLog-2016.03.23-19.28.zip

Изменено 23 марта, 2016 пользователем Александр Ковалев

[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\asus\appdata\roaming\microsoft\video', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\8500239B-3E0C-4EA5-9110-36C5F18C5CF9\05a00036.exe', '');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\install91273922.exe', '');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Microsoft\Video\pokk.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft Windows Video" /F', 0, 15000, true);
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\8500239B-3E0C-4EA5-9110-36C5F18C5CF9\05a00036.exe', '32');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\install91273922.exe', '32');
 DeleteFile('C:\Users\Asus\AppData\Roaming\Microsoft\Video\pokk.exe', '32');
 DeleteFileMask('c:\users\asus\appdata\roaming\microsoft\video', '*', true);
 DeleteDirectory('c:\users\asus\appdata\roaming\microsoft\video');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\05a00036','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Express FilesInstaller Starter','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)


Ярлыки

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Carmageddon\Carmageddon.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Carmageddon Splat Pack\Carmageddon Splat Pack.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Александр Ковалев]

KLAN-3999277201

Переадресация с яндекса на мэил.ру пропала, а вот с гугла на мэил.ру действует

ClearLNK-24.03.2016_11-11.log

AdwCleanerS1.txt

Изменено 24 марта, 2016 пользователем Александр Ковалев

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Александр Ковалев]

Первый пункт выполнил сразу же после сканирования.

По второму пункту логи во вложении

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Первый пункт выполнил сразу же после сканирования

Отчет покажите.

 

Расширение Хрома

Script console estimation

ставили самостоятельно?

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} =>  No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3002411084-3375668630-1947243867-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3002411084-3375668630-1947243867-1000 -> No Name - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} -  No File
Toolbar: HKU\S-1-5-21-3002411084-3375668630-1947243867-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-3002411084-3375668630-1947243867-1000 -> No Name - {7B6DE06C-7013-4A87-957E-D27D7B977D21} -  No File
Toolbar: HKU\S-1-5-21-3002411084-3375668630-1947243867-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3002411084-3375668630-1947243867-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [X]
2016-03-23 15:29 - 2016-03-23 15:29 - 00000000 ____D C:\Users\Asus\AppData\Roaming\ProductData
2016-03-23 15:28 - 2016-03-23 15:30 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-03-23 15:28 - 2016-03-23 15:30 - 00000000 ____D C:\ProgramData\ProductData
2016-03-23 15:28 - 2016-03-23 15:28 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-03-23 15:28 - 2016-03-23 15:28 - 00000000 ____D C:\Users\Asus\AppData\LocalLow\IObit
2016-03-23 15:27 - 2016-03-23 15:30 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-03-23 15:27 - 2016-03-23 15:30 - 00000000 ____D C:\ProgramData\IObit
2016-03-23 15:27 - 2016-03-23 15:29 - 00000000 ____D C:\Users\Asus\AppData\Roaming\IObit
2016-03-23 15:27 - 2016-03-23 15:27 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-03-23 15:27 - 2016-03-23 15:27 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-03-23 15:26 - 2016-03-23 17:56 - 00000000 ____D C:\Users\Asus\AppData\Local\Hostinstaller
2016-03-23 15:22 - 2016-03-23 15:22 - 00000000 ____D C:\Users\Все пользователи\ubDeLDHPg
2016-03-23 15:22 - 2016-03-23 15:22 - 00000000 ____D C:\ProgramData\ubDeLDHPg
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Александр Ковалев]

Script console estimation

ставили самостоятельно?

к сожалению мне "помогли"

Логи во вложении

AdwCleanerC1.txt

Fixlog.txt

Изменено 24 марта, 2016 пользователем Александр Ковалев

[Sandor]

 

 

к сожалению мне "помогли"

Т.е. не самостоятельно? Если так, удалите.

 

Что сейчас с проблемой?

[Александр Ковалев]

 

к сожалению мне "помогли"

Т.е. не самостоятельно? Если так, удалите.

 

Что сейчас с проблемой?

 

 

так удалить не удается...  (хотя в закладках его больше не вижу)

 также пропала переадресация!

Изменено 24 марта, 2016 пользователем Александр Ковалев

[Sandor]

Восстановление системы включите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR Extension: (Script console estimation) - C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\Extensions\fljmobjajnajbcddlmmadmcennbnfikk [2016-03-23]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Александр Ковалев]

забыл точку восстановления сделать...

Fixlog.txt

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Все остальные утилиты, включая папку C:\FRST можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Александр Ковалев]

Спасибо.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.20 (64-bit) v.4.20.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.41212.0
TeamViewer 9 v.9.0.31064 Внимание! Скачать обновления
^Необязательное обновление.^
VLC media player 2.1.2 v.2.1.2 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.9.5.41866 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 6 Update 23 (64-bit) v.6.0.230 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-x64.exe). Желательно отключить Java-плагин в браузере!!!^
Java 7 Update 51 (64-bit) v.7.0.510 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-x64.exe). Желательно отключить Java-плагин в браузере!!!^
Java SE Development Kit 6 Update 23 (64-bit) v.1.6.0.230
Java 6 Update 29 v.6.0.290 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^
Java 7 Update 51 v.7.0.510 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX 64-bit v.11.1.102.55 Внимание! Скачать обновления
Adobe AIR v.1.5.0.7220 Внимание! Скачать обновления
Adobe Flash Player 10 Plugin v.10.0.32.18 Внимание! Скачать обновления
Adobe Reader 9.2 - Russian v.9.2.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Softonic-Eng7 Toolbar Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
VKMusic 4 v.4.64 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Skype Click to Call v.8.0.0.9103 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


Прочтите и выполните Рекомендации после удаления вредоносного ПО