Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

В Гугл Хром открывается страница time-to-read

Sandynist

Автор Sandynist
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandynist Гигант мысли

Sandynist

Опубликовано
Опубликовано

Добрый вечер!

 

Коллега принесла ноутбук, при старте системы запускается Гугл Хром, и в нём открывается страница time-to-read. Mbam ничего подозрительного не нашёл, установлен Аваст — также сообщает, что всё под защитой.

 

Вручную удалил в реестре в автозапуске пару подозрительных значений, вроде бы стало всё нормально запускаться, но на всякий пожарный случай сделал логи. Вдруг что-то осталось из заразы? 

CollectionLog-2016.05.13-23.55.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\user\AppData\Local\pokki\engine\launcher.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\fupdate\fupdate.exe','');
 SetServiceStart('UbarCalloutDriver', 4);
 DeleteService('UbarCalloutDriver');
 SetServiceStart('UbarPolicyProvider', 4);
 DeleteService('UbarPolicyProvider');
 QuarantineFile('C:\Program Files\UBar\UbarDriver.sys','');
 TerminateProcessByName('C:\Program Files\UBar\ubar.exe');
 TerminateProcessByName('C:\Program Files\UBar\UbarService.exe');
 QuarantineFile('C:\Program Files\UBar\UbarService.exe','');
 QuarantineFile('C:\Program Files\UBar\ubar.exe','');
 DeleteFile('C:\Program Files\UBar\ubar.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarDriver.sys','32');
 DeleteFile('C:\Users\user\AppData\Local\fupdate\fupdate.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\fupdate','64');
 DeleteFile('C:\Users\user\AppData\Local\pokki\engine\launcher.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandynist Гигант мысли

Sandynist

Опубликовано
  • Автор
Опубликовано

Новые логи сделал. А вирлаб пока отмалчивается.

 

 


Re: newvirus [KLAN-4265439567]

 

 

launcher.dll,

fupdate.exe,
ubar.exe
 
Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.
 
UbarDriver.sys,
UbarService.exe
 
Вредоносный код в файлах не обнаружен.
 
С уважением, Лаборатория Касперского

CollectionLog-2016.05.14-00.46.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\50.0.2661.102\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\50.0.2661.102\pdf.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\50.0.2661.102\gcswf32.dll => No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll => No File
CHR Plugin: (McAfee SecurityCenter) - c:\PROGRA~2\mcafee\msc\NPMCSN~1.DLL => No File
2016-05-06 00:12 - 2016-05-07 07:59 - 00000000 ____D C:\Users\user\AppData\Roaming\ImageCropResize
2016-05-06 00:12 - 2016-05-06 00:12 - 00002066 _____ C:\Users\user\Desktop\Вoйти в Интeрнет.lnk
2016-05-06 00:12 - 2016-05-06 00:12 - 00000000 ____D C:\Users\user\AppData\Local\Вoйти в Интeрнет
2016-05-06 00:10 - 2016-05-14 00:28 - 00000000 ____D C:\Users\user\AppData\Local\fupdate
2016-05-06 00:08 - 2016-05-06 00:08 - 00001658 _____ C:\Users\user\Desktop\Поиcк в Интeрнете.lnk
2016-05-06 00:08 - 2016-05-06 00:08 - 00000000 ____D C:\Users\user\AppData\Local\Поиcк в Интeрнете
2016-05-06 00:06 - 2016-05-06 00:07 - 00000000 ____D C:\Users\Все пользователи\UBar
2016-05-06 00:06 - 2016-05-06 00:07 - 00000000 ____D C:\ProgramData\UBar
2016-05-06 00:06 - 2016-05-06 00:07 - 00000000 ____D C:\Program Files\UBar
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
Sandynist Гигант мысли

Sandynist

Опубликовано
  • Автор
Опубликовано

Удалил. Странно, но в результате так и не заработал просмотр сообщений в Гугл Хроме на сайте Одноклассники. Работает только в Мозилле. В хрооподобной Опере сообщения тоже не открываются.

 

Возможно, что проблема никак не связана с заразой и нужно создать тему в компьютерной помощи.

 

За помощь в лечении огромное спасибо!

Ссылка на комментарий
Поделиться на другие сайты
Sandynist Гигант мысли

Sandynist

Опубликовано
  • Автор
Опубликовано

Нет, появляется пустое окно и в нём вращается индикатор загрузки до бесконечности.

 

Отключение экранов Аваста, внесение в исключение блокировщика всплывающих окон Гугл Хрома, а также стандартные очистки (временных файлов, куков и пр.) не помогают.

 

post-860-0-23596100-1463241420_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Василий Васильев
      READ-ME-Nullhexxx.txt
      Автор Василий Васильев
      Добрый день. под шифровку попали 2сервера. терминальный и где стоял sql сервер.
      READ-ME-Nullhexxx.txt
      \\\\ All your files are encrypted...
              All your files have been encrypted !!!
              To decrypt them send e-mail to this address : nullhex@2mail.co
              If you do not receive a response within 24 hours, Send a TOX message
              TOX ID :
              5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE
              You can access it from here.
              https://tox.chat

      \\\\ Your ID :  {**********}
              Enter the ID of your files in the subject !

      \\\\  What is our decryption guarantee ?
              Before paying you can send us up to 2 test files for free decryption !
              The total size of files must be less than 2Mb.(non archived) !
              Files should not contain valuable information.(databases,backups) !
       
    • Lorgan
      Шифровальщик READ-ME-Nullhexxx
      Автор Lorgan
      Здравствуйте!
      Подобрали пароль к RDP и подселили вирус в локальную сеть.
      READ-ME-Nullhexxx.txt
      \\\\ All your files are encrypted... All your files have been encrypted !!! To decrypt them send e-mail to this address : nullhex@2mail.co If you do not receive a response within 24 hours, Send a TOX message TOX ID : 5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE You can access it from here. https://tox.chat \\\\ Your ID : {*********} Enter the ID of your files in the subject ! \\\\ What is our decryption guarantee ? Before paying you can send us up to 2 test files for free decryption ! The total size of files must be less than 2Mb.(non archived) ! Files should not contain valuable information.(databases,backups) ! Compress the file with zip or 7zip or rar compression programs and send it to us  
      Во вложении логи сканирования зашифрованной директории. Сканирование зараженной системы не доступно по причине ее изолирования и удаления.
      Заранее благодарю за помощь!
      Virus.rar
    • АндрейП
      Шифровальщик READ-ME-Nullhexxx
      Автор АндрейП
      Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.
       
      файлы.rar
    • ns.rassvet
      [РЕШЕНО] Открывается страница с сайтом при включении ПК и Банер с погодой!
      Автор ns.rassvet
      При включении ПК, всегда открывается страница с незагружаемым сайтом, а так же появился банер с погодой в правом нижнем углу, который не могу убрать. Посмотрите пожалуйста логи, буду очень благодарен.

      DESKTOP-OEHJQIP_2025-01-24_18-22-48_v4.13.7z
    • NoVirusAvailable
      Окно CMD при старте windows, вирус открывает страницу в браузере
      Автор NoVirusAvailable
      Здравствуйте! Вероятно компьютер требует лечения.
       
      При запуске windows запускается три(!) окна CMD и мигом закрываются. Так происходит несколько месяцев.
       
      Сегодня в браузере начал открываться сайт с рекламой. Заходить на него не пробовал. Начал искать решение на форуме.
       
      Еще у меня подозрение, что на моем компьютере что-то запускается в фоне, так как иногда загрузка процессора достигает 80%, хотя фактически нагрузки нет. В диспетчере задач не нахожу ничего подозрительного.
       
      Система Windows 10 x64
       
      Что сделал:
      Скачал AutoLogger.exe, но с первого (пятого) раза программа не запустилась: "Ошибка при выполнении AV_Z.exe "Скрипт=AV\script2.txt hidden mode=0". Не удается найти указанный файл."
      Поэтому скачал FRST, запустил, получил 3 лога: FRST, addition, shortcut. Вероятно, поторопился, но такие советы также встретил.
       
      Снова начал искать AutoLogger, который запустился и создал файл CollectionLog-2025.01.18-00.36, его и прилагаю.
       
      Какие дальнейшие действия, чтобы вылечить компьютер? Спасибо за советы.
      CollectionLog-2025.01.18-00.36.zip
×
×
  • Создать...