Перейти к содержанию

Троян, проявляется в хроме.


Alexey Tikhonov

Рекомендуемые сообщения

Добрый день.

 

Пару дней назад начали подгружаться в хроме самостоятельно страницы:

1. http://foryourweb.net/- с поисковиком.

2. favbet - ставки на спорт.

3. Ну и изредка разная реклама.

 

Вылазят на любой открытой закладке случайным способом. Могут выскочить при нажатии на диалоговое окно поиска в гугле.

 

Проверка KVRT.exe - нашла 2 вируса и удалила. Но проблема осталась.

 

Результаты AvtoLogger прикладываю.

 

Заранее спасибо за помощь.

CollectionLog-2016.05.25-23.05.zip

Изменено пользователем Alexey Tikhonov
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

Знакома ли Вам?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unstops.biz/wpad.dat?05880c0ec51f6f2729bc9e54f06dbdb910205128



HiJackThis профиксить

O2 - BHO: uTorrentControl2 - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file)
O3 - Toolbar: uTorrentControl2 Toolbar - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file)


- Подготовьте лог AdwCleaner и приложите его в теме.
Ссылка на комментарий
Поделиться на другие сайты

 

Здравствуйте,

 

Знакома ли Вам?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unstops.biz/wpad.dat?05880c0ec51f6f2729bc9e54f06dbdb910205128

 

HiJackThis профиксить

O2 - BHO: uTorrentControl2 - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file)
O3 - Toolbar: uTorrentControl2 Toolbar - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.

 

 

По порядку:

 

R1 - не знакома.

 

02 и 03 - пофиксил.

 

Лог AdwCleaner прикладываю.

AdwCleanerS1.txt

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Удалил все строчки. Перегрузился, ещё раз запустился, удалил после проверки ещё одну строчку.

 

Высылаю лог.

 

У меня есть С2 и S2 логи. Высылаю на всякий случай оба.

 

Ну и S1 (Я так понимаю что лог с обозначением S - это лог после удаления?).

 

Проблема не ушла, хром странички подсовывает.

AdwCleanerC2.txt

AdwCleanerS2.txt

AdwCleanerS1.txt

Изменено пользователем Alexey Tikhonov
Ссылка на комментарий
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на комментарий
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    ManualProxies: 0hxxp://unstops.biz/wpad.dat?05880c0ec51f6f2729bc9e54f06dbdb910205128
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKU\S-1-5-21-2313699468-2991612184-498701599-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    FF Plugin: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll [No File]
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Extension: No Name -  C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [not found]
    FF Extension: No Name -  C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\support@videoadd.ru.xpi [not found]
    FF Extension: No Name -  C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\paulsaintuzb@gmail.com.xpi [not found]
    FF Extension: No Name -  C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
    CHR Plugin: (Native Client) - C:\Users\Pix\AppData\Local\Google\Chrome\Application\50.0.2661.102\ppGoogleNaClPluginChrome.dll => No File
    CHR Plugin: (Chrome PDF Viewer) - C:\Users\Pix\AppData\Local\Google\Chrome\Application\50.0.2661.102\pdf.dll => No File
    CHR Plugin: (Shockwave Flash) - C:\Users\Pix\AppData\Local\Google\Chrome\Application\50.0.2661.102\gcswf32.dll => No File
    CHR Plugin: (Google Update) - C:\Users\Pix\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
    CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll => No File
    Folder: C:\Program Files\Cijidom
    Folder: C:\Users\Pix\AppData\Local\converter
    2016-05-16 22:32 - 2016-05-16 22:32 - 00000016 _____ C:\ProgramData\mntemp
    Folder: C:\Users\Pix\AppData\Roaming\mydive
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.29.5\psuser.dll => No File
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.29.1\psuser.dll => No File
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{D166BD15-03AF-413A-BEFD-0679FF410B49}\InprocServer32 -> C:\Users\Pix\AppData\Local\Dropbox\Update\1.3.27.29\psuser.dll => No File
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{D4AAF2A6-F6D1-49A5-BA1A-B20735DF1955}\InprocServer32 -> C:\Users\Pix\AppData\LocalLow\uTorrentControl2\prxtbuTo2.dll => No File
    CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
    Task: {4CE14183-FCD7-4EAB-B85C-B7A45081B034} - \Tefosevafoing Mapper -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
    AlternateDataStreams: C:\Users\Pix\Local Settings:wa [146]
    AlternateDataStreams: C:\Users\Pix\AppData\Local:wa [146]
    AlternateDataStreams: C:\Users\Pix\AppData\Local\Application Data:wa [146]
    EmptyTemp:
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635)

 

Всё выполнил как по ссылке сказано, в конце отработал CCleaner'ом.

 

Перегрузился, после чего сбросил настройки Хрома.

 

Проблема не ушла. Тут же загрузился "https://www.favbet.com"...

 

Через пару минут вылезло казино какое-то...

Изменено пользователем Alexey Tikhonov
Ссылка на комментарий
Поделиться на другие сайты

В процессе подвесился комп, потом отвалился диск D. Диск показывается теперь как не отформатированный. С ним после сам разберусь.

 

При перезагрузке пришлось откатится на точку иначе комп не запускался.

 

Образ реестра с горем пополам сохранил. Прикладываю к письму.

 

Возможно это поможет.

В диспетчере висят файлы:

 

prismsvr.exe

GWX.exe

 

Есть подозрение, что именно призма содержала троян. Жена сказала, что качала с таким названием программу для редактирования видео.

PIX-PC_2016-05-29_16-04-00.7z

Ссылка на комментарий
Поделиться на другие сайты

Важно понимать, в случае отката системы на предыдущую точку восстановления, возможен возврат зараженного состояния системы.

Знакома ли Вам?

C:\PROGRAM FILES\UTORRENTCONTROL2

Выполните скрипт в uVS:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
BREG
delref 0HTTP://UNSTOPS.BIZ/WPAD.DAT?05880C0EC51F6F2729BC9E54F06DBDB910205128
delref HTTP://UNSTOPS.BIZ/WPAD.DAT?05880C0EC51F6F2729BC9E54F06DBDB910205128
delref %SystemDrive%\USERS\PIX\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
zoo D:\USERS\PIX\APPDATA\ROAMING\UBISOFT\MMDOC-PDCLIVE\GAMEDATA\GAME.EXE
deltmp
restart    
Ссылка на комментарий
Поделиться на другие сайты

 Если это не просто торрент - то не знакома. Если надо стереть - я за стирание. Установить торрент всегда можно снова.

 

C:\PROGRAM FILES\UTORRENTCONTROL2

 

 

Скрипт выполнил. В папке ZOO - пусто. Но с текущей датой и временем есть текстовый файл, я его прикладываю.

 

Пока рекламы больше нет. Завтра ещё погоняю, но обычно она проявляется сразу. Так что скорее всего результат достигнут.

2016-05-30_03-31-29_log.txt

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • Tetis
      От Tetis
      Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.
       
    • vlad12332114
      От vlad12332114
      Троян обнаружен антивирусом, удаляется, но после перезагрузки возращается
      CollectionLog-2024.10.22-13.12.zip
    • Namnayshka
      От Namnayshka
      Помогите, пожалуйста, поймал где-то heur trojan multi genbadur и касперский не справляется сам. Говорит что для лечения надо перезагрузка и после нее опять через 5 минут выдает предлагаемое лечение, и так по кругу. 
      Addition.txt Fixlog.txt FRST.txt
×
×
  • Создать...