Перейти к содержанию

Вирусная реклама в браузерах


Toxa-kol

Рекомендуемые сообщения

Добрый день.

Появилась вирусная реклама в браузерах. Adblock не спасает. Drweb cureit нашел 7 вирусов, посмотрите пожалуйста.... Заранее благодарю!

CollectionLog-2016.04.24-13.24.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe','');
 QuarantineFile('C:\Program Files\contentprotector\nfregdrv.exe','');
 QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe','');
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe','');
 QuarantineFile('C:\Users\Smart\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 DeleteFile('C:\Users\Smart\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nfregdrv.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Re: Новый вирус [KLAN-4145465552]
newvirus@kaspersky.com
 
 
 
 
 
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

certutil.exe,
nfregdrv.exe,
import_root_cert.exe,
contentprotectorconrol.exe,
condefclean.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

conprotsetup.exe - not-a-virus:NetTool.Win64.NetFilter.l

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

krbrowser.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

CollectionLog-2016.04.24-14.55.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
OPR Extension: (Smart Browser™) - C:\Users\Smart\AppData\Roaming\Opera Software\Opera Stable\Extensions\emalgedpdlghbkikiaeocoblajamonoh [2015-11-30]
OPR Extension: (Smart Browser™) - C:\Users\Smart\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2015-11-18]
2016-04-19 20:18 - 2016-04-19 20:18 - 00002221 _____ C:\Users\Smart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2016-04-19 20:18 - 2016-04-19 20:18 - 00002221 _____ C:\Users\Smart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
2016-04-19 20:16 - 2016-04-24 12:20 - 00000000 ____D C:\Users\Smart\AppData\Roaming\ImageCropResize
Task: {15976D3C-4CD7-40E0-98FA-C97DA2DD6176} - \Microsoft\extsetup -> No File <==== ATTENTION
Task: {1695013A-B2F6-4003-8A07-F80DF1FE3D95} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
Task: {2FA7E302-5E34-41B5-8858-F6E6D70B1750} - \Kinoroom Browser -> No File <==== ATTENTION
Task: {428B1E49-E518-44D1-905E-ADD9E8D40569} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-07-06] (Lenovo)
Task: {72C8A671-568C-4319-A7E1-69E1C51C7D38} - \Microsoft\Windows\A20AF2C6B-1E89-4ED3-AC14-A9F2BE5F3527 -> No File <==== ATTENTION
Task: {945DD457-0B3C-4DB8-9D8B-1D4DB9A489A5} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {A1374ED1-2E6A-4F85-829D-316204BF96EA} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {A8B5915C-38D3-4217-B5AD-D250E27A958A} - \Microsoft\Windows\7A0C5AB5-A3DC-4B57-ACDC-5656168B48BC -> No File <==== ATTENTION
Task: {ACA600CB-4B72-4D7D-9002-51FDBF951042} - \Microsoft\Windows\A7A0C5AB5-A3DC-4B57-ACDC-5656168B48BC -> No File <==== ATTENTION
C:\Program Files\contentprotector 
Task: {C05EB3B0-B776-4137-BDBE-E8ACAB24A0AD} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {C19E8E52-DE6C-46A1-9FA8-14DBF97D33BC} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
C:\Users\Smart\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk)
Task: {E65240D5-5750-4BE8-83D9-3CE0D826DB2F} - \Microsoft\SafeBrowser -> No File <==== ATTENTION
Task: {E90EA68D-787B-47F9-8060-AFEFC6980406} - \Microsoft\Windows\20AF2C6B-1E89-4ED3-AC14-A9F2BE5F3527 -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • yare4kaa
      От yare4kaa
      Здравствуйте, был в рейсе и не чистил пк от вирусов, заразился много фигней, нужна помощь специалистов.
      Логи ниже CollectionLog-2024.11.25-18.32.zip
    • Ant666
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • 123343545646
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • AL_o
      От AL_o
      Добрый день.
      Моя цель рассказать о неприятной для меня ситуации чтобы предотвратить такую в будущем для других. Может кто то мне поможет донести информацию куда следует? А может Компанию полностью устраивают такие ситуации.
       
      Я сотрудник организации, помимо прочего отвечающий за мобильную связь в организации. Помимо прочих операторов мы сотрудничаем с мегафоном и часть корпоративных симок от него. На днях бухгалтерия внезапно получила по эдо счёт-фактуру согласно которой мегафон продал нам продукт лаборатории каперского. Начали выяснять... В общем либо это тонкая подстава призванная очернить доброе имя лаборатории (или просто им воспользоваться), либо лаборатория перешла на "нажми на кнопку на сайте - получи подписку со списанием со счёта мобильного оператора" способ распространения. Позиция мегафона типична для оператора, допускающего различные подписки и списания на внешних ресурсах - меня убеждают что это абонент сам согласился, расписался кровью и т.п., что услуга ему жизненно необходима, а мегафон просто предоставил удобнейший для распространения канал - тык и готово. Но искренне интересна позиция лаборатории. Допуская что этот кейс реален - человек со своего личного мобильного устройства, но пользуясь корпоративной сим-картой заходит на опасный (!) веб сайт где касперский услужливо предлагает ему купить антивирус для трёх устройств и оплатить случайным нажатием пальца со общего счёта компании..? Абонент клянётся что если и было что то - то мимолётом, с большой кнопкой да и мааааленьким крестиком в углу как всегда бывает у замечательных мобильных подписок. Каков кейс данного продукта если на секундочку предположить что это было осознанно. На состояние телефона компании плевать. На состояние счёта кампании должно быть плевать сотруднику. Мегафон+касперский - соединяя несоединяемое.
       
      Благодарю за ваше время. Надеюсь на вашу помощь в донесении информации до кого надо и предотвращения возвращения в нулевые со всеми этими мобильными подписками. Хотя бы не от лаборатории касперского блин!


    • John-80
      От John-80
      Добрый день.
      Во время работы, при переходе на некоторые страницы в браузере (яндекс браузер для организаций) происходит переадресация на страницу sweetgain.top
      Проверка машины антивирусом ничего не дает. Собран лог-файл... можете подсказать как удалить лишнее?
      avz_log.txt
×
×
  • Создать...