Профилактика

[Roma1]

Вчера залез куда не следовало бы. Сразу же все почистил, но боюсь, что где то остались следы. Проверьте меня.

CollectionLog-2016.07.04-18.49.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\roma\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Users\Roma\AppData\Local\Temp\yupdate.exe-{D8D37FE7-6F70-464E-9C7D-87A4F7294051}', '');
 QuarantineFile('C:\Users\Roma\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Users\Roma\Desktop\Вoйти в Интeрнет.lnk', '');
 QuarantineFile('C:\Users\Roma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет\Войти в Интернет.lnk', '');
 QuarantineFile('C:\Users\Roma\Favorites\Links\Интернет.url', '');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\Roma\AppData\Local\Temp\yupdate.exe-{D8D37FE7-6F70-464E-9C7D-87A4F7294051}', '32');
 DeleteFile('C:\Users\Roma\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\users\roma\appdata\local\fupdate', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 DeleteDirectory('c:\users\roma\appdata\local\fupdate');
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sbptonvcmn');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ClearTemp','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Roma1]

ClearLNK-04.07.2016_19-43.log

CollectionLog-2016.07.04-19.55.zip

KLAN-4610533525:

fupdate.exe - Trojan-Downloader.Win32.Agent.hgsy

Детектирование файла будет добавлено в следующее обновление.

Вoйти в Интeрнет.lnk,
Войти в Интернет.lnk,
Интернет.url

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

 

Изменено 4 июля, 2016 пользователем Roma1

[Sandor]

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Roma1]

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки и отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Roma1]

AdwCleanerC1.txt

Addition.txt

FRST.txt

Shortcut.txt

 

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-526605954-3162478966-720401421-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-526605954-3162478966-720401421-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF NewTab: about:newtab
FF Extension: No Name - C:\Users\Roma\AppData\Roaming\Mozilla\Firefox\Profiles\ci1k96g7.default\extensions\yasearch@yandex.ru [not found]
FF Extension: No Name - C:\Users\Roma\AppData\Roaming\Mozilla\Firefox\Profiles\ci1k96g7.default\extensions\vb@yandex.ru [not found]
2016-07-03 19:57 - 2016-07-04 19:43 - 00001520 _____ C:\Users\Roma\Desktop\Войти в Интернет.LNK
2016-07-03 19:57 - 2016-07-03 19:57 - 00000000 ____D C:\Users\Roma\AppData\Local\Вoйти в Интeрнет
2016-07-03 19:53 - 2016-07-03 19:53 - 00000000 ____D C:\Users\Roma\AppData\Roaming\Awesomium
2016-07-03 19:53 - 2016-07-03 19:53 - 00000000 ____D C:\Users\Roma\AppData\Local\Поиcк в Интeрнете
2016-07-04 19:43 - 2013-09-10 18:37 - 00002112 _____ C:\Users\Roma\Desktop\Искать в Интернете.lnk
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Roma1]

Fixlog.txt

[Sandor]

Как самочувствие системы?

[Roma1]

 

 

Как самочувствие системы?

Самочувствие отличное. Спасибо! Но вот после чистки только один день браузер хром был в приличном состоянии. А сейчас опять вместо нормального гугла всякие скрины от него вылазят.  Ну да ладно... А много заразы было?

[Sandor]

А много заразы было?

 

Достаточно

 

опять вместо нормального гугла всякие скрины от него вылазят

 

Отключите в нем все расширения и проверьте. Если будет нормально, включайте по одному, пока не найдете виновника. Название сообщите.

[Roma1]

Не помогло. Мне кажется, что это сам гугл устанавливает. Он у меня поисковик по умолчанию.

Вот такая картинка сегодня.

[Sandor]

Так сегодня у всех такая картинка.

 

Завершаем:

1.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Roma1]

SecurityCheck.txt