yxo.warmportrait.com

[Данил Валерьевич]

Здравствуйте , дело в том что при переходе по какой либо ссылке в браузере. Выскакивает новое окно yxo.warmportrait.com . Программы вирус не находит удаление браузеров чистка реестра не помогает.

CollectionLog-2016.06.03-13.04.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DisccOuNtLocatoor

DNS Unlocker version 1.4

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\gmsd_ru_223', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_231', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\user\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\gmsd_ru_223\gmsd_ru_223.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_231\gmsd_ru_231.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFile('C:\Program Files\Google\chrome.bat', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk', '');
 QuarantineFile('C:\iexplore.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\gmsd_ru_223\gmsd_ru_223.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_231\gmsd_ru_231.exe', '32');
 DeleteFile('C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFile('C:\Program Files\Google\chrome.bat', '32');
 DeleteFile('C:\iexplore.bat', '');
 DeleteFileMask('c:\program files\gmsd_ru_223', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_231', '*', true);
 DeleteFileMask('c:\users\user\appdata\local\smartweb', '*', true);
 DeleteDirectory('c:\program files\gmsd_ru_223');
 DeleteDirectory('c:\program files\gmsd_ru_231');
 DeleteDirectory('c:\users\user\appdata\local\smartweb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_223','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_231','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Данил Валерьевич]

Запрос на исследование вредоносного файла [KLAN-4387317954] 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

Gооglе Сhrоmе.lnk,
Gооglе Сhrоmе_0.lnk,
Internet Explorer.lnk,
Internet Explorer (No Add-ons).lnk,
Launch Internet Explorer Browser.lnk,
Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk,
Google Chrome.lnk,
Google Chrome_0.lnk,
Менеджер браузеров.lnk,
bcqr00011.dat,
bcqr00012.dat,
bcqr00013.dat,
bcqr00014.dat,
bcqr00015.dat,
bcqr00016.dat,
bcqr00017.dat,
bcqr00018.dat,
bcqr00019.dat,
bcqr00020.dat,
bcqr00021.dat,
bcqr00022.dat,
bcqr00023.dat,
bcqr00024.dat,
bcqr00025.dat,
bcqr00026.dat

CollectionLog-2016.06.03-16.06.zip

ClearLNK-03.06.2016_15-55.log

[Sandor]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Данил Валерьевич]

Добрый день.

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Данил Валерьевич]

Вот логи

AdwCleanerC1.txt

FRST.rar

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO: BlockAndSurf -> {A48B4C75-4567-897A-1E31-66933AA4F0B3} -> C:\Program Files\version92BlockAndSurf\191.dll => No File
FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2015-04-15]
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
FF HKU\S-1-5-21-3319586995-253883444-883016642-1000\...\Firefox\Extensions: [{7C10B482-E8C9-2FA4-1C66-6838014B07EC}] - C:\Program Files\version92BlockAndSurf\191.xpi => not found
CHR Extension: (PrinceCouapaon) - C:\ProgramData\ehdhdgmlmgcoigfalojadjapbhjdofkg\ []
CHR Extension: (Документы Google) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-06-18] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION
CHR Extension: (Диск Google) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-06-18] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION
CHR Extension: (YouTube) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-06-18] [UpdateUrl: hxxp://mynamedomain.koko/00] <==== ATTENTION
CHR Extension: (Google Search) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-06-18] [UpdateUrl: hxxp://mynamedomain.koko/00] <==== ATTENTION
CHR Extension: (Google Кошелек) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-06-18] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Crome установлен тестовой версии. Сохраните нужные закладки и удалите. Скачайте актуальную версию и установите заново.

[Данил Валерьевич]

Сделано.

Fixlog.txt

[Sandor]

Что с проблемой?

[Данил Валерьевич]

Проблема осталась, плюс начали открываться пустые странички. 

[Sandor]

В каком именно браузере, в Хроме?

 

Crome установлен тестовой версии. Сохраните нужные закладки и удалите. Скачайте актуальную версию и установите заново.

Это сделали?

[Данил Валерьевич]

Яндекс браузер, Нет пропустил сейчас сделаю.

Так сделал вроде все нормально. Спасибо за помощь. ! И еще вопрос при аналогичной ситуации на другой машине можно ли будет устранить проблему самому? Или придется вновь обратиться за помощью к вам?

[Sandor]

Завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

при аналогичной ситуации на другой машине

Да, нужно будет создать отдельную тему и приложить логи. Причины могут быть разные.

[Данил Валерьевич]

Спасибо за разъяснения 

SecurityCheck.txt