Вирус удаляет Adblock после перезагрузки ПК.

[Supertrolyaso]

Добрый день. После перезагрузки ПК удаляется расширение Adblock из Google Chrome и Yandex Browser.

Также заметил, при включении\перезагрузке ПК появляется подозрительный процесс "ADDDCAD1D0F6BEF62B50555A457FCCFA.exe", который находится по пути: "C:\Users\supertrolyaso\AppData\Local\Microsoft\889AE4ADED72882D82865A3C4379D411", удалить файл не получается, через примерно минуту файл пропадает.

Также ранее появлялась другая стартовая страница, но это проблема уже решена.

Проверял ПК Kaspersky Virus Removal Tool, ADWCleaner, Anti Malware ничего не помогло.

Заранее спасибо. Файл отчета AutoLogger прикрепил.

CollectionLog-2016.07.25-11.59.zip

Изменено 25 июля, 2016 пользователем Supertrolyaso

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\supertrolyaso\appdata\roaming\adobe\nativeplugin\ooba\ppapi\5503ea19-d179-46d7-806e-ac5d641e47aa', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\supertrolyaso\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\5503EA19-D179-46D7-806E-AC5D641E47AA\C972D105-6FCB-4831-94F0-2D8ABCE86EEA.exe', '');
 QuarantineFile('C:\Users\supertrolyaso\AppData\Local\Microsoft\889AE4ADED72882D82865A3C4379D411\ADDDCAD1D0F6BEF62B50555A457FCCFA.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\9CB5543E86583F63FA613AAD0BC61B8F\0B878B9C6C46E7E0D8A7CD4C548F50E9.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\7FCCFA54A55505B26FEB6F0D1DADDDCA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\7FCCFA54A55505B26FEB6F0D1DADDDCASB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8F50E945C4DC7A8D0E7E64C6C90B878B" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8F50E945C4DC7A8D0E7E64C6C90B878BSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\7FCCFA54A55505B26FEB6F0D1DADDDCA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\7FCCFA54A55505B26FEB6F0D1DADDDCASB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8F50E945C4DC7A8D0E7E64C6C90B878B" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8F50E945C4DC7A8D0E7E64C6C90B878BSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A5503EA19-D179-46D7-806E-AC5D641E47AA" /F', 0, 15000, true);
 DeleteFile('C:\Users\supertrolyaso\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\5503EA19-D179-46D7-806E-AC5D641E47AA\C972D105-6FCB-4831-94F0-2D8ABCE86EEA.exe', '32');
 DeleteFile('C:\Users\supertrolyaso\AppData\Local\Microsoft\889AE4ADED72882D82865A3C4379D411\ADDDCAD1D0F6BEF62B50555A457FCCFA.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Microsoft\9CB5543E86583F63FA613AAD0BC61B8F\0B878B9C6C46E7E0D8A7CD4C548F50E9.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','5503EA19-D179-46D7-806E-AC5D641E47AA');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','7FCCFA54A55505B26FEB6F0D1DADDDCASB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','8F50E945C4DC7A8D0E7E64C6C90B878BSB');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 25 июля, 2016 пользователем Sandor

[Supertrolyaso]

Пришел ответ: 

[KLAN-4732102559]

 

C972D105-6FCB-4831-94F0-2D8ABCE86EEA.exe,
0B878B9C6C46E7E0D8A7CD4C548F50E9.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

ADDDCAD1D0F6BEF62B50555A457FCCFA.exe

No malicious code was found in this file.

 

Новые логи прикрепил. Подозрительного процесса больше нет, но Anti Malware, уведомляет о том что что то пыталось открыть сайт wowpro.ru, скриншот прикрепил, хотелось бы долечить.

 

Забыл сказать, также в Google Chrome и Yandex Browser пропала возможность просмотреть код элемента (Ctrl + Shift + I).

Сторонних расширений не установлено.

 

Заранее большое спасибо.

CollectionLog-2016.07.25-12.44.zip

Изменено 25 июля, 2016 пользователем Supertrolyaso

[Sandor]

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Supertrolyaso]

Сканирование выполнил, отчет AdwCleaner прикрепил.

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки и отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Supertrolyaso]

Согласно вашей инструкции сделал сканирование в AdwCleaner.

AdwCleanerC2.txt

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CHR Extension: (Google Sheets) - C:\Users\supertrolyaso\AppData\Local\Google\Chrome\User Data\Default\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-07-13]
OPR Extension: (Google Sheets) - C:\Users\supertrolyaso\AppData\Roaming\Opera Software\Opera Stable\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-07-13]
OPR Extension: (timesafe) - C:\Users\supertrolyaso\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-07-20]
2016-07-07 01:28 - 2016-07-07 01:28 - 00003246 _____ C:\WINDOWS\System32\Tasks\MailRuUpdater
2016-07-06 23:33 - 2016-07-06 23:33 - 00000000 ____D C:\Users\supertrolyaso\AppData\Local\Вoйти в Интeрнет
2016-07-06 23:31 - 2016-07-06 23:31 - 00000000 ____D C:\WINDOWS\system32\appmgmt
2016-07-06 23:30 - 2016-07-06 23:30 - 00000000 ____D C:\Users\supertrolyaso\AppData\Roaming\Awesomium
2016-07-06 23:29 - 2016-07-06 23:29 - 00000000 ____D C:\Users\supertrolyaso\AppData\Local\Поиcк в Интeрнете
2016-07-06 23:28 - 2016-07-06 23:28 - 00000000 ____D C:\Users\supertrolyaso\AppData\LocalLow\Unity
2016-07-06 23:28 - 2016-07-06 23:28 - 00000000 ____D C:\Users\supertrolyaso\AppData\Local\Unity
Task: {A153C37D-D8AF-4088-BCDF-D382E01A7564} - System32\Tasks\MailRuUpdater => C:\Users\supertrolyaso\AppData\Local\Mail.Ru\MailRuUpdater.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Supertrolyaso]

Сделал.

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[Supertrolyaso]

С расширением проблем нет после выполнения 1го скрипта, Anti Malware пока тоже молчит. Судя по всему все отлично. Спасибо огромное.

[Sandor]

Anti Malware пока тоже молчит

Он как правило слишком подозрителен, поэтому в качестве постоянного антивируса не советуем его использовать.

 

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Supertrolyaso]

Все сделал.

SecurityCheck.txt

[Sandor]

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.30 (64-разрядная) v.5.30.0 Внимание! Скачать обновления

Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 71 (64-bit) v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u102-windows-x64.exe)^

Java 8 Update 71 v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u102-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 22 NPAPI v.22.0.0.192 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[Supertrolyaso]

Огромное Вам спасибо!