рекламная программа Not-a-virus:HEUR:AdWare.Win32.Amonetize.gen.

[Константин32]

Здравствуйте!

Ежедневно, примерно в одно и то же время (21:40) Антивирус Касперского постоянно обнаруживает Not-a-virus:HEUR:AdWare.Win32.Amonetize.gen,Not-a-virus:HEUR:Downloader: Win32.Adload.gen. После обнаружения данные файлы удаляются антивирусом. Так же антивирус находит непонятные файлы в папке на жестком диске AppData\Local\Temp, \programm data\ и многие другие.

После удаления вирусов Антивирусом Касперского была сделана полное сканирование системы - вирусов обнаружено не было.

 

Файл с логами прикладываю.

 

CollectionLog-2016.05.24-00.11.zip

[Sandor]

Здравствуйте!

 

Ace Stream Media 3.1.2 рекомендую деинсталлировать.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\konstantin\appdata\roaming\freevpn', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Konstantin\AppData\Roaming\FreeVPN\FreeVPN.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true);
 DeleteFile('C:\Users\Konstantin\AppData\Roaming\FreeVPN\FreeVPN.exe', '32');
 DeleteFileMask('c:\users\konstantin\appdata\roaming\freevpn', '*', true);
 DeleteDirectory('c:\users\konstantin\appdata\roaming\freevpn');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Константин32]

Здравствуйте. Получил ответ от Касперского. 

 

"Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

quarantine.zip

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"  [KLAN-4322115975]

 

Заранее извиняюсь, если предоставил не ту информацию, т.к. запрос формирую впервые. 

Файл с новыми логами прикладываю.

 

Также сегодня Касперский начал сам блокировать программы, которые раньше были в доверенных, например Steam.

CollectionLog-2016.05.24-19.06.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Free VPN version 3.2

Затем:

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве. Изменено 26 мая, 2016 пользователем Sandor

[Константин32]

Файл прилагаю. [S3] потому что не сразу заметил, что вы меня попросили удалить нежелательное ПО. 

 

AdwCleanerS3.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс настроек Proxy
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Константин32]

Файлы во вложении.

AdwCleanerC1.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
CHR Extension: (Google Search) - C:\Users\Konstantin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-23]
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)
2016-05-26 18:47 - 2016-05-26 18:47 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-05-26 18:47 - 2016-05-26 18:47 - 00000000 ____D C:\ProgramData\IObit
2016-05-18 20:35 - 2016-05-18 20:35 - 00000000 ____D C:\Users\Konstantin\AppData\Roaming\ProductData
2016-05-18 20:34 - 2016-05-26 19:34 - 00000008 __RSH C:\Users\Konstantin\ntuser.pol
2016-05-18 20:34 - 2016-05-25 23:48 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-05-18 20:34 - 2016-05-25 23:48 - 00000000 ____D C:\ProgramData\ProductData
2016-05-18 20:34 - 2016-05-18 20:36 - 00000000 ____D C:\Program Files (x86)\IObit
2016-05-18 20:34 - 2016-05-18 20:34 - 00000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled
2016-05-18 20:34 - 2016-05-18 20:34 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-05-18 20:34 - 2016-05-18 20:34 - 00000000 ____D C:\Users\Konstantin\AppData\Roaming\IObit
2016-05-18 20:34 - 2016-05-18 20:34 - 00000000 ____D C:\Users\Konstantin\AppData\LocalLow\IObit
2016-05-18 20:34 - 2016-05-18 20:34 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-05-18 20:33 - 2016-05-18 20:33 - 00000000 ____D C:\Users\Все пользователи\VideoFetcher
2016-05-18 20:33 - 2016-05-18 20:33 - 00000000 ____D C:\Users\Konstantin\AppData\LocalLow\Unity
2016-05-18 20:33 - 2016-05-18 20:33 - 00000000 ____D C:\Users\Konstantin\AppData\Local\Unity
2016-05-18 20:33 - 2016-05-18 20:33 - 00000000 ____D C:\ProgramData\VideoFetcher
Task: {984EABD1-3A2B-4426-93D3-F9B14ECFDFDC} - System32\Tasks\Microsoft\Windows\Multimedia\FreeVPN => C:\Users\Konstantin\AppData\Roaming\FreeVPN\FreeVPN.exe <==== ATTENTION
Task: {D00E5405-F7E2-4D35-B5AC-E544EFED2EEE} - System32\Tasks\Microsoft\Windows\Media Center\VideoFetcher => C:\ProgramData\VideoFetcher\VideoFetcher.exe [2016-05-13] () <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Константин32]

Лог файл прикладываю.

Fixlog.txt

[Sandor]

Проблема решена?

[Константин32]

Благодарю Вас. Больше ничего подозрительного Касперский не ловит.

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Константин32]

Добрый вечер. 

 

Прикладываю лог-файл.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.10240.16841 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено (-1)

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 16.00 (x64) v.16.00 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления

Foxit Reader v.7.2.5.930 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

TeamViewer 11 v.11.0.56083 Внимание! Скачать обновления

VLC media player v.2.2.2 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО