Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

В Гугл Хром открывается страница time-to-read

Sandynist

Автор Sandynist
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandynist Гигант мысли

Sandynist

Опубликовано
Опубликовано

Добрый вечер!

 

Коллега принесла ноутбук, при старте системы запускается Гугл Хром, и в нём открывается страница time-to-read. Mbam ничего подозрительного не нашёл, установлен Аваст — также сообщает, что всё под защитой.

 

Вручную удалил в реестре в автозапуске пару подозрительных значений, вроде бы стало всё нормально запускаться, но на всякий пожарный случай сделал логи. Вдруг что-то осталось из заразы? 

CollectionLog-2016.05.13-23.55.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\user\AppData\Local\pokki\engine\launcher.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\fupdate\fupdate.exe','');
 SetServiceStart('UbarCalloutDriver', 4);
 DeleteService('UbarCalloutDriver');
 SetServiceStart('UbarPolicyProvider', 4);
 DeleteService('UbarPolicyProvider');
 QuarantineFile('C:\Program Files\UBar\UbarDriver.sys','');
 TerminateProcessByName('C:\Program Files\UBar\ubar.exe');
 TerminateProcessByName('C:\Program Files\UBar\UbarService.exe');
 QuarantineFile('C:\Program Files\UBar\UbarService.exe','');
 QuarantineFile('C:\Program Files\UBar\ubar.exe','');
 DeleteFile('C:\Program Files\UBar\ubar.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarDriver.sys','32');
 DeleteFile('C:\Users\user\AppData\Local\fupdate\fupdate.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\fupdate','64');
 DeleteFile('C:\Users\user\AppData\Local\pokki\engine\launcher.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandynist Гигант мысли

Sandynist

Опубликовано
  • Автор
Опубликовано

Новые логи сделал. А вирлаб пока отмалчивается.

 

 


Re: newvirus [KLAN-4265439567]

 

 

launcher.dll,

fupdate.exe,
ubar.exe
 
Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.
 
UbarDriver.sys,
UbarService.exe
 
Вредоносный код в файлах не обнаружен.
 
С уважением, Лаборатория Касперского

CollectionLog-2016.05.14-00.46.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\50.0.2661.102\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\50.0.2661.102\pdf.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\50.0.2661.102\gcswf32.dll => No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll => No File
CHR Plugin: (McAfee SecurityCenter) - c:\PROGRA~2\mcafee\msc\NPMCSN~1.DLL => No File
2016-05-06 00:12 - 2016-05-07 07:59 - 00000000 ____D C:\Users\user\AppData\Roaming\ImageCropResize
2016-05-06 00:12 - 2016-05-06 00:12 - 00002066 _____ C:\Users\user\Desktop\Вoйти в Интeрнет.lnk
2016-05-06 00:12 - 2016-05-06 00:12 - 00000000 ____D C:\Users\user\AppData\Local\Вoйти в Интeрнет
2016-05-06 00:10 - 2016-05-14 00:28 - 00000000 ____D C:\Users\user\AppData\Local\fupdate
2016-05-06 00:08 - 2016-05-06 00:08 - 00001658 _____ C:\Users\user\Desktop\Поиcк в Интeрнете.lnk
2016-05-06 00:08 - 2016-05-06 00:08 - 00000000 ____D C:\Users\user\AppData\Local\Поиcк в Интeрнете
2016-05-06 00:06 - 2016-05-06 00:07 - 00000000 ____D C:\Users\Все пользователи\UBar
2016-05-06 00:06 - 2016-05-06 00:07 - 00000000 ____D C:\ProgramData\UBar
2016-05-06 00:06 - 2016-05-06 00:07 - 00000000 ____D C:\Program Files\UBar
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
Sandynist Гигант мысли

Sandynist

Опубликовано
  • Автор
Опубликовано

Удалил. Странно, но в результате так и не заработал просмотр сообщений в Гугл Хроме на сайте Одноклассники. Работает только в Мозилле. В хрооподобной Опере сообщения тоже не открываются.

 

Возможно, что проблема никак не связана с заразой и нужно создать тему в компьютерной помощи.

 

За помощь в лечении огромное спасибо!

Ссылка на комментарий
Поделиться на другие сайты
Sandynist Гигант мысли

Sandynist

Опубликовано
  • Автор
Опубликовано

Нет, появляется пустое окно и в нём вращается индикатор загрузки до бесконечности.

 

Отключение экранов Аваста, внесение в исключение блокировщика всплывающих окон Гугл Хрома, а также стандартные очистки (временных файлов, куков и пр.) не помогают.

 

post-860-0-23596100-1463241420_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Shooky27
      [РЕШЕНО] CHROMIUM.PAGE.MALWARE.URL? Хром закрывается сам по себе
      Автор Shooky27
      Заметил что при запуске Google Chrome он грузится ~ 10-15 секунд и закрывается, после повторного запуска браузер открывается без расширений (с предустановленным расширением PDF Viewer?) и из-за синхронизации расширения устанавливаются обратно.
      При сканировании антивирусом PRO32 ничего не выскакивает, сканировал все диски в том числе все папки на рабочем столе и ничего не нашло, Dr.Web Cureit находит упомянутый в заголовке CHROMIUM.PAGE.MALWARE.URL, но при попытке вылечить выскакивает "Ошибка при лечении".
      Пробовал исправить данную проблему с помощью AvBr, ADWcleaner, FRST. Пробовал даже скопировать скрипты с различных тем с такой же проблемой, но ничего не помогло. Также пробовал отключать синхронизацию, поскольку некоторые пользователи сталкивавшиеся с такой же проблемой ссылались на проблему синхронизации, но это тоже не помогло. 
      Логи прикрепляю.
      CollectionLog-2025.06.28-22.48.zip
    • Василий Васильев
      READ-ME-Nullhexxx.txt
      Автор Василий Васильев
      Добрый день. под шифровку попали 2сервера. терминальный и где стоял sql сервер.
      READ-ME-Nullhexxx.txt
      \\\\ All your files are encrypted...
              All your files have been encrypted !!!
              To decrypt them send e-mail to this address : nullhex@2mail.co
              If you do not receive a response within 24 hours, Send a TOX message
              TOX ID :
              5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE
              You can access it from here.
              https://tox.chat

      \\\\ Your ID :  {**********}
              Enter the ID of your files in the subject !

      \\\\  What is our decryption guarantee ?
              Before paying you can send us up to 2 test files for free decryption !
              The total size of files must be less than 2Mb.(non archived) !
              Files should not contain valuable information.(databases,backups) !
       
    • Lorgan
      Шифровальщик READ-ME-Nullhexxx
      Автор Lorgan
      Здравствуйте!
      Подобрали пароль к RDP и подселили вирус в локальную сеть.
      READ-ME-Nullhexxx.txt
      \\\\ All your files are encrypted... All your files have been encrypted !!! To decrypt them send e-mail to this address : nullhex@2mail.co If you do not receive a response within 24 hours, Send a TOX message TOX ID : 5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE You can access it from here. https://tox.chat \\\\ Your ID : {*********} Enter the ID of your files in the subject ! \\\\ What is our decryption guarantee ? Before paying you can send us up to 2 test files for free decryption ! The total size of files must be less than 2Mb.(non archived) ! Files should not contain valuable information.(databases,backups) ! Compress the file with zip or 7zip or rar compression programs and send it to us  
      Во вложении логи сканирования зашифрованной директории. Сканирование зараженной системы не доступно по причине ее изолирования и удаления.
      Заранее благодарю за помощь!
      Virus.rar
    • АндрейП
      Шифровальщик READ-ME-Nullhexxx
      Автор АндрейП
      Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.
       
      файлы.rar
    • rancol347
      [РЕШЕНО] Появляются рекламные вирусы по мнению КВРТ в файлах расширений для хрома и называются bg.js. Хром не использую
      Автор rancol347
      Иногда проверяю компьютер КВРТ и он выдал 2 рекламных вируса/расширения. После лечения с перезагрузкой всё вроде нормально, но если через 2-3 дня проверить снова появляется 1-2 расширения (not-a-virus:HEUR:AdWare.js.extredirect.gen и ещё какой-то, но по названию самый обычный адварь). И могу ли запустить автологгер вместе с защитником виндовс? (я не понял как выгрузить) и компьютер теоретически должен выдержать.
×
×
  • Создать...