Удаляются блокировщики рекламы после перезапуска системы

[Влад Кузьмин]

Засел вирус,dr.Cureit не помог.

Возникла проблема после скачивания файлов.В автозапуске еще что-то появилось.Также при установке файлов,на раб.столе появились "левые ярлыки"

CollectionLog-2016.06.14-12.59.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\e3249ff3-c6a0-49f7-8212-b956009ebc9c', '*', true, '', 0 ,0);
 QuarantineFileF('c:\users\v l a d\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\E3249FF3-C6A0-49F7-8212-B956009EBC9C\517D1707-3103-40E4-BD0B-0A45A3F62883.exe', '');
 QuarantineFile('C:\Users\V L A D\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeBrowser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "AE3249FF3-C6A0-49F7-8212-B956009EBC9C" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\E3249FF3-C6A0-49F7-8212-B956009EBC9C\517D1707-3103-40E4-BD0B-0A45A3F62883.exe', '32');
 DeleteFile('C:\Users\V L A D\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\users\v l a d\appdata\local\microsoft\extensions', '*', true);
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','E3249FF3-C6A0-49F7-8212-B956009EBC9C');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - BHO: (no name) - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-64 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [SafeBrowser] "C:\Users\V L A D\AppData\Local\Microsoft\Extensions\extsetup.exe" /S --safebrowser
O4 - HKLM\..\Run: [Kinoroom Browser] "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg
O4-64 - HKLM\..\Policies\Explorer\Run: [SafeBrowser] "C:\Users\V L A D\AppData\Local\Microsoft\Extensions\extsetup.exe" /S --safebrowser

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Влад Кузьмин]

Ждать ответа или 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

[Sandor]

Фиксить и делать новые логи.

[Влад Кузьмин]

Возникла проблема.Отсутствуют данные строки:

 

O4 - HKLM\..\Policies\Explorer\Run: [SafeBrowser] "C:\Users\V L A D\AppData\Local\Microsoft\Extensions\extsetup.exe" /S --safebrowser
O4 - HKLM\..\Run: [Kinoroom Browser] "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg
O4-64 - HKLM\..\Policies\Explorer\Run: [SafeBrowser] "C:\Users\V L A D\AppData\Local\Microsoft\Extensions\extsetup.exe" /S --safebrowser

[Sandor]

Это не проблема)) Об этом и было написано

некоторые строки могут отсутствовать

Фиксите что есть и делайте повторный CollectionLog.

[Влад Кузьмин]

Пофиксил.

 

Логи прикреплены.

CollectionLog-2016.06.14-13.39.zip

[Sandor]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Влад Кузьмин]

Подошли ответы [KLAN-4447153107]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

517D1707-3103-40E4-BD0B-0A45A3F62883.exe,
extsetup.exe,
extsetup.log,
le

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

eula.txt

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ru http://www.viruslist.ru"

Загружаю полученный отчёт

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки и отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Влад Кузьмин]

Пункт 1.

 

Пункт 2.

 

 

AdwCleanerC1.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
CHR Extension: (News Tab) - C:\Users\V L A D\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-06-10]
CHR Extension: (boxgoogle) - C:\Users\V L A D\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocggccaacacpienfcgmgcihoombokbbj [2016-06-14]
OPR Extension: (boxgoogle) - C:\Users\V L A D\AppData\Roaming\Opera Software\Opera Stable\Extensions\ocggccaacacpienfcgmgcihoombokbbj [2016-06-14]
OPR Extension: (Google Sheets) - C:\Users\V L A D\AppData\Roaming\Opera Software\Opera Stable\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-06-14]
2016-06-08 17:21 - 2016-06-08 17:21 - 00000000 ____D C:\Users\V L A D\AppData\Local\Вoйти в Интeрнет
2016-06-08 17:19 - 2016-06-08 17:19 - 00000000 ____D C:\Users\V L A D\AppData\Local\Поиcк в Интeрнете
2016-06-08 17:18 - 2016-06-08 17:18 - 00000000 ____D C:\Users\V L A D\AppData\Roaming\Awesomium
FirewallRules: [{A4ED628E-E918-4EC0-94A1-11799B7F70DA}] => (Allow) C:\Users\V L A D\AppData\Local\Temp\7zS698C\Installer\hpbcsiInstaller.exe
FirewallRules: [{B2C246E4-9C89-4C1D-BCC1-6CDA158384C2}] => (Allow) C:\Users\V L A D\AppData\Local\Temp\7zS698C\Installer\hpbcsiInstaller.exe
FirewallRules: [{681232BF-5F51-4CA0-AEB6-3AC4205322BB}] => (Allow) C:\Program Files\DrWeb\dwnetfilter.exe
FirewallRules: [{F920C1FB-6F2B-494F-ABC0-79C7E5316CA2}] => (Allow) C:\Program Files\DrWeb\dwservice.exe
FirewallRules: [{3A72E87E-152B-4E6E-857A-B368B2AE3977}] => (Allow) C:\Program Files\DrWeb\spideragent.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Влад Кузьмин]

Готово

Fixlog.txt

[Sandor]

Что с проблемой?

[Влад Кузьмин]

Вроде,всё решено.

Чтобы не сглазить.

 

 

Спасибо за помощь)

Что это могло быть?

 

И что бы вы посоветовали.Что делать с этими вирусами проклятыми?