Перейти к содержанию

Угонщик браузеров searchdts


Nikita Zybinov

Рекомендуемые сообщения

Добрый день!

 

Мой Chrome подвергся атаке малваря - при поиске в яндксе или гугле происходит редирект на searchdts и на go.mail.ru, кроме этого постоянно всплывает реклама. Чистка реестра и поиск вирусов утилитами CureIt и Kaspersky Free не дали результата. Прилагаю результаты работы программы FRST64.

 

Спасибо за помощь.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты

Логи AutoLogger в аттаче

ClearLNK лог в аттаче

CollectionLog-2016.03.31-17.37.zip

ClearLNK-31.03.2016_18-16.log

Изменено пользователем Nikita Zybinov
Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
 QuarantineFile('C:\Users\kefir\AppData\Local\Hostinstaller\35538030_monster.exe','');
 DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
 StopService('HomePageDefender Service');
 DeleteService('HomePageDefender Service');
 StopService('wucotusy');
 StopService('rowugoqo');
 DeleteService('wucotusy');
 DeleteService('rowugoqo');
 TerminateProcessByName('c:\users\kefir\appdata\local\1cb39c4f-1459439995-c32a-365e-e03f49441af8\snst2d2b.tmp');
 QuarantineFile('c:\users\kefir\appdata\local\1cb39c4f-1459439995-c32a-365e-e03f49441af8\snst2d2b.tmp','');
 QuarantineFile('c:\programdata\mobilebrserv\mbbservice.exe','');
 TerminateProcessByName('c:\program files (x86)\torrent search\ieef\kkrzwt3qp2b9.exe');
 QuarantineFile('c:\program files (x86)\torrent search\ieef\kkrzwt3qp2b9.exe','');
 TerminateProcessByName('c:\program files (x86)\homepagedefender\hpdefsrv.exe');
 QuarantineFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe','');
 TerminateProcessByName('c:\program files (x86)\1cb39c4f-1459429084-c32a-365e-e03f49441af8\hnsxb1b5.tmp');
 QuarantineFile('c:\program files (x86)\1cb39c4f-1459429084-c32a-365e-e03f49441af8\hnsxb1b5.tmp','');
 DeleteFile('c:\program files (x86)\1cb39c4f-1459429084-c32a-365e-e03f49441af8\hnsxb1b5.tmp','32');
 DeleteFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe','32');
 DeleteFile('c:\program files (x86)\torrent search\ieef\kkrzwt3qp2b9.exe','32');
 DeleteFile('c:\users\kefir\appdata\local\1cb39c4f-1459439995-c32a-365e-e03f49441af8\snst2d2b.tmp','32');
 DeleteFile('C:\Program Files (x86)\HomePageDefender\HpDefSrv.exe','32');
 DeleteFile('C:\Users\kefir\AppData\Local\1CB39C4F-1459439995-C32A-365E-E03F49441AF8\snst2D2B.tmp','32');
 DeleteFile('C:\Program Files (x86)\1CB39C4F-1459429084-C32A-365E-E03F49441AF8\hnsxB1B5.tmp','32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\uNaRp1RpKmSW.dll','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','32');
 DeleteFile('C:\Users\kefir\AppData\Local\Hostinstaller\35538030_monster.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2','64');
ExecuteSysClean;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты

После выполнения выданных рекомендаций проблема не исчезла. Логи с автологерра в аттаче.

 

Ответ вирлаба:

 

KLAN-4022944422

 

35538030_monster.exe,

snst2d2b.tmp,
mbbservice.exe,
kkrzwt3qp2b9.exe,
hpdefsrv.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

CollectionLog-2016.03.31-19.23.zip

Ссылка на комментарий
Поделиться на другие сайты


Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s2].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

К сожалению, программа не отрабатывает полностью ни в обычном ни в безопасном режиме (выводит ошибку приложения). Запускал от имени Администратора.

 

Тот лог, который AdwCleaner все-таки собрал, прикладываю.

AdwCleanerS4.txt

Ссылка на комментарий
Поделиться на другие сайты

Сделайте скриншот ошибки. 

 

+ Запустите AdwCleaner от имени администратора и в настройках включите отладочный режим, далее воспроизведите ошибку и прикрепите к сообщению лог C:\AdwCleaner\AdwCleaner_dbg_xxxxxx.log

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

  Обычная виндовая ошибка. (копия содержания окна "прекращена работа программы AdwCleaner")

 

Сигнатура проблемы:

  Имя события проблемы: APPCRASH
  Имя приложения: adwcleaner_5.108.exe
  Версия приложения: 5.1.0.8
  Отметка времени приложения: 56fc1e1f
  Имя модуля с ошибкой: SHLWAPI.dll
  Версия модуля с ошибкой: 6.1.7601.17514
  Отметка времени модуля с ошибкой: 4ce7b9e2
  Код исключения: c0000005
  Смещение исключения: 0001bb3a
  Версия ОС: 6.1.7601.2.1.0.256.1
  Код языка: 1049
  Дополнительные сведения 1: 0a9e
  Дополнительные сведения 2: 0a9e372d3b4ad19135b953a78882e789
  Дополнительные сведения 3: 0a9e
  Дополнительные сведения 4: 0a9e372d3b4ad19135b953a78882e789
 
 
 Судя по дебаг логам AdwCleaner'а стартует скан ярлыков но не завершается (последние строчки дебаг лога)
2016-04-01 01:28:18 : [Notice] Files scan started
2016-04-01 01:28:20 : [Notice] Files scan finished
2016-04-01 01:28:20 : [Notice] DLL scan started
2016-04-01 01:28:20 : [Notice] DLL scan finished
2016-04-01 01:28:20 : [Notice] Shortcuts scan started
 
В это же время в обычных логах пусто на месте "Ярлыки"

post-37484-0-75759800-1459463558_thumb.png

AdwCleanerS6.txt

Debug_01042016012744.log

Изменено пользователем Nikita Zybinov
Ссылка на комментарий
Поделиться на другие сайты

 

  • Скачайте Junkware Removal Tool by thisisu отсюда и сохраните утилиту на Рабочем столе
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Запустите утилиту (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
  • Дождитесь окончания сканирования и удаления
  • По завершению сканирования лог (JRT.txt) будет сохранен на Рабочем столе и автоматически открыт в Блокноте.
  • Прикрепите полученный лог JRT.txt к своему следующему сообщению.


Ссылка на комментарий
Поделиться на другие сайты

Junkware тоже выбрасывает APPCRASH на ярлыках, не создавая лог на рабочем столе:

 

Сигнатура проблемы:
  Имя события проблемы: APPCRASH
  Имя приложения: SHORTCUT.DAT
  Версия приложения: 1.10.0.0
  Отметка времени приложения: 42c93b79
  Имя модуля с ошибкой: SHLWAPI.dll
  Версия модуля с ошибкой: 6.1.7601.17514
  Отметка времени модуля с ошибкой: 4ce7b9e2
  Код исключения: c0000005
  Смещение исключения: 0001bb3a
  Версия ОС: 6.1.7601.2.1.0.256.1
  Код языка: 1049
  Дополнительные сведения 1: 57df
  Дополнительные сведения 2: 57df22ceae4d0b9549bae37ac622758b
  Дополнительные сведения 3: e7a0
  Дополнительные сведения 4: e7a0c641bbd1b0a50003309c956aa9c6
 
 
Может есть смысл почистить руками? Только что чистить?

post-37484-0-51300400-1459508047_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Ссылка на комментарий
Поделиться на другие сайты

Удалите в MBAM все, кроме:

Файлы: 71
Trojan.VirTool, E:\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\English\steam_api.dll, , [b1f75752f7a2eb4b99d3a6af6a9814ec], 
Trojan.VirTool, E:\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\Russian\steam_api.dll, , [357354551386cb6b0b610c49956df709], 
PUP.Optional.InstallCore, E:\[R.G. Mechanics] Tony Hawk's American Wasteland\setup.exe, , [6a3edecbbbde1e18af74d499f809fc04], 
RiskWare.Tool.HCK, D:\ArtMoney 7.44 Pro + keygen\artmoneykg744eng.exe, , [deca3475b5e4c96d08cd7c966998d62a], 
RiskWare.Tool.HCK, D:\ArtMoney 7.44 Pro + keygen\artmoneykg744rus.exe, , [4761decbf8a158de548137db837e26da], 
CrackTool.Agent.Steam, D:\R.G. Catalyst\Pro Evolution Soccer 2016\steam_api.dll, , [d0d837728b0e1a1cc618303cc43da858], 
Trojan.MalPack.Krunchy, D:\Faasoft Audio Converter 5.2.23.5604 Multilingual + Keygen + 100% Working\Faasoft Audio Converter\Faasoft Audio Converter\Keygen\Keygen.exe, , [01a7e7c20b8e2016b6092b4a08f907f9], 
Trojan.MalPack.Krunchy, D:\Faasoft Video Converter 5.2.24.5621 Multilingual + Keygen + 100% Working\Faasoft Video Converter\Faasoft Video Converter\Keygen\Keygen.exe, , [ecbcd4d58a0f1b1bc0ffc6af51b013ed], 
Trojan.PasswordStealer.H, D:\Games\Garry's Mod 13 by RadioMan\UNC.exe, , [57512980178259dd027c54f3dd28ca36], 
Trojan.VirTool, D:\Games\The Elder Scrolls V - Skyrim\steam_api.dll, , [2880fcad88112b0b91dbbb9a0af820e0], 
PUP.Optional.InstallCore, D:\torrent\Trine 3 - The Artifacts of Power\setup.exe, , [9a0e57520792bf7773b0e786fe0325db], 
PUP.Optional.InstallCore, D:\torrent\[R.G. Mechanics] The Sims 3 Antology\setup.exe, , [d6d282277f1a40f60320fe6f15eca858], 
PUP.Optional.Somoto, D:\Users\kefir\Downloads\commander_v1.0.4.rar.exe, , [7b2de5c41386979f52b266e7768f0bf5], 
RiskWare.Crack, D:\Users\kefir\Downloads\GTA4RUS1C\Crack\LaunchGTAIV.exe, , [5b4d4267dabfff376aa4e48ffb07dd23], 
Trojan.VirTool, D:\Users\kefir\Downloads\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\English\steam_api.dll, , [a206dfca7b1ee74fdb9169ecc83ac13f], 
Trojan.VirTool, D:\Users\kefir\Downloads\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\Russian\steam_api.dll, , [0c9c7930b0e977bf77f5b69ff80aaa56], 
Trojan.Agent.Drop, D:\Windows\System32\hidcon.exe, , [b6f206a3adece74f1c720d7a8d7553ad], 
PUP.Optional.InstallCore, D:\[R.G. Mechanics] Civilization 5 GOTY\setup.exe, , [a0081a8fc1d8b48247dc7fee99682bd5], 
RiskWare.Tool.CK, D:\Nero Vision\keymaker.exe, , [adfbcadfd1c80b2be9448bac50b5e51b], 
PUP.Optional.OpenCandy, C:\Users\kefir\Downloads\CheatEngine65.exe, , [baee9514f1a81125767a76749f621ce4], 
Backdoor.Bot, C:\Users\kefir\Downloads\totalovertrn7.zip, , [7335bfea1287c076c36a38436a96a957], 
PUP.Optional.BundleInstaller, C:\Users\kefir\Downloads\Faasoft_Audio_Converter_5.2.23.5604_Multilingual_Keygen_10._downloader.exe, , [c7e18a1f15841620dcd718c84eb35ea2], 
HackTool.CheatEngine, C:\Users\kefir\Downloads\sid_civilization_5_brave_new_world_v_1.0.3.279_trainer_8_mrantifun (1).zip, , [b0f805a4f9a0d85e97001a0e4cb47e82], 
HackTool.CheatEngine, C:\Users\kefir\Downloads\sid_civilization_5_brave_new_world_v_1.0.3.279_trainer_8_mrantifun.zip, , [92162e7be7b2989e6f288f9919e79e62], 
HackTool.CheatEngine, C:\Users\kefir\Downloads\ftl_faster_than_light_v1.5.13_trainer_17_mrantifun.zip, , [93155c4d5544979f692e9e8a35cb7f81], 
PUP.Optional.MediaGet, C:\Users\kefir\Downloads\MediaGet_id1122476ids1s.exe, , [e4c4c0e91f7af73f737979bf33cd58a8], 
PUP.Optional.Babylon, C:\Users\kefir\Downloads\Unlocker1-9-2.exe, , [387016932e6b66d00eb5d6706e9320e0], 
Trojan.Agent.Generic, C:\Users\kefir\Downloads\Celemony.Melodyne.Studio.Edition.v3.2.2.2.Incl.Keygen-AiR\AiR\Keygen.exe, , [8028ccdd6237df57c0ea2053e918837d], 
RiskWare.Tool.HCK, C:\Users\kefir\Downloads\iZotope_RX_Advanced_2.10.656_x86.x64\Crack_2_keygen\iZotope RX Advanced keygen\Izotope.RX2.v2.10.656-kg.exe, , [fbad3277772281b50e999196976af50b], 
Trojan.MalPack.Krunchy, C:\Users\kefir\Downloads\AFPM7\CA_AllFusion_Process_Modeller_v7.2_by_EDGE\CA.AllFusion.Process.Modeller.v7.2-EDGE\EDGE\keygen.exe, , [396f2f7a16831125e6d77ef7a95835cb], 
CrackTool.Agent, C:\Users\kefir\Downloads\LennarDigital.Sylenth1.v2.21.x86.x64\keygen.exe, , [6c3c57522079f244e05d3840b44da060], 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ant666
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • 123343545646
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • John-80
      От John-80
      Добрый день.
      Во время работы, при переходе на некоторые страницы в браузере (яндекс браузер для организаций) происходит переадресация на страницу sweetgain.top
      Проверка машины антивирусом ничего не дает. Собран лог-файл... можете подсказать как удалить лишнее?
      avz_log.txt
    • Andrei93
      От Andrei93
      Здравствуйте. По какой-то причине Яндекс браузер блокируется Kasperskiy Security для Windows Server: 11.0.1.897. Определил отключением службы KAVFS.
      В событиях windows - Kasperskiy event log и Kasperskiy Security ни каких событий нет.
       
      Со стороны сервера отчет показывает, что ни каких проблем нет.
       
      Как понять, в чем проблема ? Как устранить ? Если решается только путем исключения, можете ли Вы подсказать как это сделать ?
       
    • Vadim Nube
      От Vadim Nube
      Здравствуйте! Помогите пожалуйста. Adwcleaner - не помогает в решении проблемы.
      В браузер Yandex автоматически устанавливается расширение "Adblock Plus" - который не является оригинальным расширением. Данное расширение маскируется под него.
      Скачал программу FRST64, отчеты приложил.
      К слову я слабый пользователь ПК.
      Shortcut.txt Addition.txt FRST.txt
×
×
  • Создать...