Перейти к содержанию

рекламная программа Not-a-virus:HEUR:AdWare.Win32.Amonetize.gen.


Константин32

Рекомендуемые сообщения

Здравствуйте!

Ежедневно, примерно в одно и то же время (21:40) Антивирус Касперского постоянно обнаруживает Not-a-virus:HEUR:AdWare.Win32.Amonetize.gen,Not-a-virus:HEUR:Downloader: Win32.Adload.gen. После обнаружения данные файлы удаляются антивирусом. Так же антивирус находит непонятные файлы в папке на жестком диске AppData\Local\Temp, \programm data\ и многие другие.

После удаления вирусов Антивирусом Касперского была сделана полное сканирование системы - вирусов обнаружено не было.

 

Файл с логами прикладываю.

 

CollectionLog-2016.05.24-00.11.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Ace Stream Media 3.1.2 рекомендую деинсталлировать.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\konstantin\appdata\roaming\freevpn', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Konstantin\AppData\Roaming\FreeVPN\FreeVPN.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true);
 DeleteFile('C:\Users\Konstantin\AppData\Roaming\FreeVPN\FreeVPN.exe', '32');
 DeleteFileMask('c:\users\konstantin\appdata\roaming\freevpn', '*', true);
 DeleteDirectory('c:\users\konstantin\appdata\roaming\freevpn');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте. Получил ответ от Касперского. 

 

"Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

quarantine.zip

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"  [KLAN-4322115975]

 

Заранее извиняюсь, если предоставил не ту информацию, т.к. запрос формирую впервые. 

Файл с новыми логами прикладываю.

 

Также сегодня Касперский начал сам блокировать программы, которые раньше были в доверенных, например Steam.

CollectionLog-2016.05.24-19.06.zip

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Free VPN version 3.2

Затем:
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс настроек Proxy
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
CHR Extension: (Google Search) - C:\Users\Konstantin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-23]
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)
2016-05-26 18:47 - 2016-05-26 18:47 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-05-26 18:47 - 2016-05-26 18:47 - 00000000 ____D C:\ProgramData\IObit
2016-05-18 20:35 - 2016-05-18 20:35 - 00000000 ____D C:\Users\Konstantin\AppData\Roaming\ProductData
2016-05-18 20:34 - 2016-05-26 19:34 - 00000008 __RSH C:\Users\Konstantin\ntuser.pol
2016-05-18 20:34 - 2016-05-25 23:48 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-05-18 20:34 - 2016-05-25 23:48 - 00000000 ____D C:\ProgramData\ProductData
2016-05-18 20:34 - 2016-05-18 20:36 - 00000000 ____D C:\Program Files (x86)\IObit
2016-05-18 20:34 - 2016-05-18 20:34 - 00000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled
2016-05-18 20:34 - 2016-05-18 20:34 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-05-18 20:34 - 2016-05-18 20:34 - 00000000 ____D C:\Users\Konstantin\AppData\Roaming\IObit
2016-05-18 20:34 - 2016-05-18 20:34 - 00000000 ____D C:\Users\Konstantin\AppData\LocalLow\IObit
2016-05-18 20:34 - 2016-05-18 20:34 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-05-18 20:33 - 2016-05-18 20:33 - 00000000 ____D C:\Users\Все пользователи\VideoFetcher
2016-05-18 20:33 - 2016-05-18 20:33 - 00000000 ____D C:\Users\Konstantin\AppData\LocalLow\Unity
2016-05-18 20:33 - 2016-05-18 20:33 - 00000000 ____D C:\Users\Konstantin\AppData\Local\Unity
2016-05-18 20:33 - 2016-05-18 20:33 - 00000000 ____D C:\ProgramData\VideoFetcher
Task: {984EABD1-3A2B-4426-93D3-F9B14ECFDFDC} - System32\Tasks\Microsoft\Windows\Multimedia\FreeVPN => C:\Users\Konstantin\AppData\Roaming\FreeVPN\FreeVPN.exe <==== ATTENTION
Task: {D00E5405-F7E2-4D35-B5AC-E544EFED2EEE} - System32\Tasks\Microsoft\Windows\Media Center\VideoFetcher => C:\ProgramData\VideoFetcher\VideoFetcher.exe [2016-05-13] () <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.10240.16841 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено (-1)

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 16.00 (x64) v.16.00 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления

Foxit Reader v.7.2.5.930 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

TeamViewer 11 v.11.0.56083 Внимание! Скачать обновления

VLC media player v.2.2.2 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...