реклама при запуске

[Irina K.]

добрый день, хелперы! с некоторых пор на другом компьютере (без вируса шифровальщика) стала появляться назойливая реклама при запуске. скрины прилагаю. запускала avz и dr.web, что-то удалялось при этом. установленный MS Essentials показывает в карантине один троян, но не может его удалить. (скрин прилагаю). помогите уничтожить эту дрянь. 

CollectionLog-2016.05.22-15.16.zip

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

SetAVZPMStatus(false);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('C:\Users\УГ\AppData\Roaming\ImageCropResize\ImageEd\ImageEd.exe','');

 DeleteFile('C:\Users\УГ\AppData\Roaming\ImageCropResize\ImageEd\ImageEd.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ImageEd');

ExecuteSysClean;

RebootWindows(true);

end. 

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи

 

[Irina K.]

Здравствуйте,

Re: "Запрос на исследование вредоносного файла" [KLAN-4314918215]

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

CollectionLog-2016.05.22-18.35.zip

[mike 1]

•  
  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  

• Прикрепите отчет к своему следующему сообщению.
  

 

Подробнее читайте в этом руководстве.

 

[Irina K.]

отчет

AdwCleanerS1.txt

[mike 1]

 

# AdwCleaner v5.004 - Отчёт создан 28/08/2015 в 17:19:26

 

Отчет старый. 

[Sandor]

@mike 1, там "слились" два отчета - старый и новый.

[Irina K.]

Выбирала старательно отчет с сегодняшней датой. На данный момент, реклама не выскакивала. Удалила essiantials, скачала KIS2016 и активировала действующей лицензией, запустила быструю проверку, отчет чистый.

Спасибо помощникам, особенно Mike.

[Sandor]

Не торопитесь.

 

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Irina K.]

Теперь уж завтра сделаю, а то полночь уже.

[Irina K.]

готово

Addition.txt

Shortcut.txt

FRST.txt

AdwCleanerC1.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821268"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B069BCA91-59FA-45A5-88AB-DC66BAB6AE09%7D&gp=821269
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Mail.Ru) - C:\Users\УГ\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb [2016-05-22]
CHR Extension: (Pushcontrol) - C:\Users\УГ\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdapmeocgbbceopcohmbeainapanicig [2016-05-01]
CHR Extension: (ScreenChromeShot) - C:\Users\УГ\AppData\Local\Google\Chrome\User Data\Default\Extensions\jebdgdginjpgphhdempgjfbambgbpbii [2016-04-30]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\УГ\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm [2016-05-22]
2016-04-30 19:31 - 2016-04-30 19:31 - 00000000 ____D C:\Users\УГ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2016-04-30 18:17 - 2016-05-21 00:29 - 00000000 ____D C:\Users\УГ\AppData\Local\cache
2016-04-30 18:15 - 2016-04-30 18:15 - 00000000 ____D C:\Users\УГ\AppData\LocalLow\Unity
2016-04-30 18:15 - 2016-04-30 18:15 - 00000000 ____D C:\Users\УГ\AppData\Local\Unity
2016-04-30 18:13 - 2016-05-22 11:26 - 00000000 ____D C:\Users\УГ\AppData\Roaming\PushControl
2016-04-30 18:13 - 2016-04-30 18:13 - 00001003 _____ C:\Users\УГ\Desktop\ImageCropResize.lnk
2016-04-30 18:13 - 2016-04-30 18:13 - 00000000 ____D C:\Users\УГ\AppData\Roaming\ScreenChromeShot
2016-04-30 18:13 - 2016-04-30 18:13 - 00000000 ____D C:\Users\УГ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PushControl
Task: {C63D66CC-B3A4-4846-A572-D3686080ACD2} - System32\Tasks\MailRuUpdater => C:\Users\УГ\AppData\Local\Mail.Ru\MailRuUpdater.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Irina K.]

спасибо за помощь!

Fixlog.txt

[Sandor]

Завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.