Перейти к содержанию
Правила раздела

Самопроизвольно открываются рекламные окна в браузере

Elmario

От Elmario
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Elmario Новичок

Elmario

Опубликовано
Опубликовано

Добрый день!

 

Пожалуйста, помогите решить следующую проблему:

 

После скачиварния книги с неизвестного сайта на компьютере стали произвольно открываться рекламные окна.

Антивирус нашел и удалил несколько вирусов с названием Artemis, но проблема не решилась.

 

Прилагаю архив логов.

 

Заранее спасибо за помощь!

 

CollectionLog-2016.04.30-15.01.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
gKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe','');
 QuarantineFile('C:\Program Files\contentprotector\nfregdrv.exe','');
 QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorupdate.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe','');
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe','');
 QuarantineFile('C:\ProgramData\SearchModule\smhe.js','');
 QuarantineFile('C:\ProgramData\smp2.exe','');
 QuarantineFile('C:\Program Files (x86)\QuickSearch\ksv3026.exe','');
 QuarantineFile('C:\Users\Elmario\AppData\Local\bvyvavay\bvyvavay.exe','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll','');
 QuarantineFile('C:\Program Files (x86)\Hostify\idscservice.exe','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll','');
 QuarantineFile('C:\Users\Elmario\AppData\Roaming\ASPackage\ASPackage.exe','');
 QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys','');
 SetServiceStart('ContentProtectorDrv', 4);
 DeleteService('ContentProtectorDrv');
 SetServiceStart('MPCProtectService', 4);
 DeleteService('MPCProtectService');
 SetServiceStart('CltMngSvc', 4);
 DeleteService('CltMngSvc');
 SetServiceStart('CloudPrinter', 4);
 DeleteService('CloudPrinter');
 SetServiceStart('BitTorrent', 4);
 DeleteService('BitTorrent');
 QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\vc32.dll','');
 QuarantineFile('C:\Users\Elmario\AppData\Roaming\Fapiculx\Tischem.dll','');
 QuarantineFile('C:\Program Files\Caster\wizzcaster.exe','');
 QuarantineFile('c:\program files (x86)\mybestofferstoday\wincom_zky.exe','');
 TerminateProcessByName('c:\users\elmario\appdata\roaming\fapiculx\tischem.exe');
 QuarantineFile('c:\users\elmario\appdata\roaming\fapiculx\tischem.exe','');
 TerminateProcessByName('C:\Users\Elmario\AppData\Roaming\Fapiculx\Seihegoqi.exe');
 QuarantineFile('C:\Users\Elmario\AppData\Roaming\Fapiculx\Seihegoqi.exe','');
 QuarantineFile('c:\program files (x86)\stream accelerator\v4.5.507241\msnpl.exe','');
 TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe');
 QuarantineFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe','');
 TerminateProcessByName('c:\program files (x86)\2a23ad19-1461831329-ad4d-9269-d808a21af1f4\knsr4d0f.tmp');
 QuarantineFile('c:\program files (x86)\2a23ad19-1461831329-ad4d-9269-d808a21af1f4\knsr4d0f.tmp','');
 TerminateProcessByName('c:\users\elmario\appdata\roaming\fapiculx\fapiculx.exe');
 QuarantineFile('c:\users\elmario\appdata\roaming\fapiculx\fapiculx.exe','');
 TerminateProcessByName('c:\progra~2\search~1\ui\bin\cltmngui.exe');
 QuarantineFile('c:\progra~2\search~1\ui\bin\cltmngui.exe','');
 TerminateProcessByName('c:\program files (x86)\searchprotect\main\bin\cltmngsvc.exe');
 QuarantineFile('c:\program files (x86)\searchprotect\main\bin\cltmngsvc.exe','');
 TerminateProcessByName('c:\progra~2\search~1\searchprotect\bin\cltmng.exe');
 QuarantineFile('c:\progra~2\search~1\searchprotect\bin\cltmng.exe','');
 TerminateProcessByName('c:\programdata\cloudprinter\cloudprinter.exe');
 QuarantineFile('c:\programdata\cloudprinter\cloudprinter.exe','');
 TerminateProcessByName('C:\Program Files\BitTorrent\BitTorrent.exe');
 QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
 DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32');
 DeleteFile('c:\programdata\cloudprinter\cloudprinter.exe','32');
 DeleteFile('c:\progra~2\search~1\searchprotect\bin\cltmng.exe','32');
 DeleteFile('c:\program files (x86)\searchprotect\main\bin\cltmngsvc.exe','32');
 DeleteFile('c:\progra~2\search~1\ui\bin\cltmngui.exe','32');
 DeleteFile('c:\users\elmario\appdata\roaming\fapiculx\fapiculx.exe','32');
 DeleteFile('c:\program files (x86)\2a23ad19-1461831329-ad4d-9269-d808a21af1f4\knsr4d0f.tmp','32');
 DeleteFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe','32');
 DeleteFile('C:\Users\Elmario\AppData\Roaming\Fapiculx\Seihegoqi.exe','32');
 DeleteFile('c:\users\elmario\appdata\roaming\fapiculx\tischem.exe','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\LpcManager.dll','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\Report.dll','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\Support.dll','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\Utility.dll','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\WinService.dll','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\XProcessBus.dll','32');
 DeleteFile('C:\Users\Elmario\AppData\Roaming\Fapiculx\Tischem.dll','32');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\vc32.dll','32');
 DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32');
 DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys','32');
 DeleteFile('C:\Users\Elmario\AppData\Roaming\ASPackage\ASPackage.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Update');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll','32');
 DeleteFile('C:\Program Files (x86)\Hostify\idscservice.exe','32');
 DeleteFile('C:\Program Files (x86)\mybestofferstoday\wincom_ZKY.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WINCOMZKY');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll','32');
 DeleteFile('C:\Users\Elmario\AppData\Local\bvyvavay\bvyvavay.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\bvyvavay','64');
 DeleteFile('C:\Windows\system32\Tasks\ksv3026','64');
 DeleteFile('C:\Program Files (x86)\QuickSearch\ksv3026.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SMW_P','64');
 DeleteFile('C:\ProgramData\smp2.exe','32');
 DeleteFile('C:\ProgramData\SearchModule\smhe.js','32');
 DeleteFile('C:\Windows\system32\Tasks\SMW_UpdateTask_Time_323232303535323132362d232d783232575b5a34452d2a','64');
 DeleteFile('C:\Windows\system32\Tasks\{4B37B992-31FB-4555-89F9-47F9A22EBD67}','64');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorupdate.exe','32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nfregdrv.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
Elmario Новичок

Elmario

Опубликовано
  • Автор
Опубликовано

Thyrex, спасибо!

 

Прилагаю результаты.

 

Ответ на письмо ниже. KLAN-4191316729

 

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

certutil.exe,
nfregdrv.exe,
import_root_cert.exe,
contentprotectorupdate.exe,
contentprotectorconrol.exe,
condefclean.exe,
smp2.exe,
ksv3026.exe,
bvyvavay.exe,
MPCKpt.sys,
Tischem.dll,
wizzcaster.exe,
tischem.exe,
Seihegoqi.exe,
msnpl.exe,
mpcprotectservice.exe,
knsr4d0f.tmp,
fapiculx.exe,
cloudprinter.exe,
BitTorrent.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

conprotsetup.exe - not-a-virus:NetTool.Win64.NetFilter.l

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

smhe.js

Вредоносный код в файле не обнаружен.

VC64Loader.dll,
VC32Loader.dll,
vc32.dll,
cltmngui.exe,
cltmngsvc.exe,
cltmng.exe - not-a-virus:AdWare.Win32.SearchProtect.tt
wincom_zky.exe - not-a-virus:AdWare.Win32.Eorezo.gbeq

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление баз.

С уважением, Лаборатория Касперского

CollectionLog-2016.04.30-16.16.zip

ClearLNK-30.04.2016_16-08.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
C:\Users\Elmario\AppData\Local\Temp\4RJ25EGGF2.exe
C:\Users\Elmario\AppData\Local\Temp\i4jdel0.exe
C:\Users\Elmario\AppData\Local\Temp\JR8P4ZKDTF.exe
C:\Users\Elmario\AppData\Local\Temp\KD2TVUPNUD.exe
C:\Users\Elmario\AppData\Local\Temp\tu17p84.exe
C:\Users\Elmario\AppData\Local\Temp\ytb.exe
CHR HomePage: Default -> hxxp://www-searching.com/?s=G4Szftpbl0cshmoAO,2cfd896f-25f6-4547-97c7-69ef6168d6f0,&prd=smw
CHR StartupUrls: Default -> "hxxp://www-searching.com/?s=G4Szftpbl0cshmoAO,2cfd896f-25f6-4547-97c7-69ef6168d6f0,&prd=smw"
CHR DefaultSearchURL: Default -> hxxp://www-searching.com/search.aspx?s=G4Szftpbl0cshmoAO,2cfd896f-25f6-4547-97c7-69ef6168d6f0,&prd=smw&q={searchTerms}
CHR DefaultSearchKeyword: Default -> www-searching.com
CHR DefaultSuggestURL: Default -> hxxp://api.searchpredict.com/api/?rqtype=ffplugin&siteID=8661&dbCode=1&command={searchTerms}
S2 xifs; C:\ProgramData\\xifs\\xifs.exe -f "C:\ProgramData\\xifs\\xifs.dat" -l -a
2016-04-28 18:03 - 2016-04-30 15:17 - 00000000 ____D C:\Program Files\BitTorrent
2016-04-28 18:01 - 2016-04-28 18:01 - 00000002 _____ C:\END
2016-04-28 17:58 - 2016-04-28 18:17 - 00000000 ____D C:\Program Files (x86)\QuickSearch
2016-04-28 17:59 - 2016-04-28 17:56 - 00934400 _____ C:\Users\Elmario\AppData\Roaming\Saoing.exe
2016-04-28 17:58 - 2016-04-30 15:35 - 00000000 ____D C:\Users\Elmario\AppData\Roaming\Fapiculx
2016-04-28 09:21 - 2016-05-02 10:10 - 00000000 ____D C:\Program Files (x86)\mobilepcstarterkit
2016-04-28 09:21 - 2016-04-28 09:21 - 00000000 ____D C:\ProgramData\Service1104
2016-04-28 09:21 - 2016-04-28 09:21 - 00000000 ____D C:\ProgramData\19a87fa1ec024bbcbb41931263354405
Task: {781894A8-FA42-4BE6-B71B-7E3EFFBB2497} - \{4B37B992-31FB-4555-89F9-47F9A22EBD67} -> Brak pliku <==== UWAGA
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Камиль Махмутянов
      KIS обнаружил рекламные программы
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • Ant666
      Автозапуск браузера
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • Ta2i4
      Темы открываются не с первого раза
      От Ta2i4
      Со вчерашнего дня регулярно - при открытии любой темы выдается ошибка "Извините, возникла проблема. Что-то пошло не так. Пожалуйста, попробуйте еще раз".
       
      Проблему решает рефреш страницы (F5), но это нужно теперь делать всякий раз при открытии какой-либо темы, чтобы ознакомиться с ее содержимым.
       
      UPD: После создания новой темы выскакивает такая же ошибка. Но тема при этом создается.
       

    • 123343545646
      Автозапуск браузера
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • John-80
      [РЕШЕНО] Переадресация в браузере на sweetgain.top
      От John-80
      Добрый день.
      Во время работы, при переходе на некоторые страницы в браузере (яндекс браузер для организаций) происходит переадресация на страницу sweetgain.top
      Проверка машины антивирусом ничего не дает. Собран лог-файл... можете подсказать как удалить лишнее?
      avz_log.txt
×
×
  • Создать...