Вирус удаляет Adblock после перезагрузки ПК.

25 июля, 2016

Добрый день. После перезагрузки ПК удаляется расширение Adblock из Google Chrome и Yandex Browser.

Также заметил, при включении\перезагрузке ПК появляется подозрительный процесс "ADDDCAD1D0F6BEF62B50555A457FCCFA.exe", который находится по пути: "C:\Users\supertrolyaso\AppData\Local\Microsoft\889AE4ADED72882D82865A3C4379D411", удалить файл не получается, через примерно минуту файл пропадает.

Также ранее появлялась другая стартовая страница, но это проблема уже решена.

Проверял ПК Kaspersky Virus Removal Tool, ADWCleaner, Anti Malware ничего не помогло.

Заранее спасибо. Файл отчета AutoLogger прикрепил.

CollectionLog-2016.07.25-11.59.zip

Изменено 25 июля, 2016 пользователем Supertrolyaso

25 июля, 2016

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\supertrolyaso\appdata\roaming\adobe\nativeplugin\ooba\ppapi\5503ea19-d179-46d7-806e-ac5d641e47aa', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\supertrolyaso\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\5503EA19-D179-46D7-806E-AC5D641E47AA\C972D105-6FCB-4831-94F0-2D8ABCE86EEA.exe', '');
 QuarantineFile('C:\Users\supertrolyaso\AppData\Local\Microsoft\889AE4ADED72882D82865A3C4379D411\ADDDCAD1D0F6BEF62B50555A457FCCFA.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\9CB5543E86583F63FA613AAD0BC61B8F\0B878B9C6C46E7E0D8A7CD4C548F50E9.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\7FCCFA54A55505B26FEB6F0D1DADDDCA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\7FCCFA54A55505B26FEB6F0D1DADDDCASB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8F50E945C4DC7A8D0E7E64C6C90B878B" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8F50E945C4DC7A8D0E7E64C6C90B878BSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\7FCCFA54A55505B26FEB6F0D1DADDDCA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\7FCCFA54A55505B26FEB6F0D1DADDDCASB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8F50E945C4DC7A8D0E7E64C6C90B878B" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8F50E945C4DC7A8D0E7E64C6C90B878BSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A5503EA19-D179-46D7-806E-AC5D641E47AA" /F', 0, 15000, true);
 DeleteFile('C:\Users\supertrolyaso\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\5503EA19-D179-46D7-806E-AC5D641E47AA\C972D105-6FCB-4831-94F0-2D8ABCE86EEA.exe', '32');
 DeleteFile('C:\Users\supertrolyaso\AppData\Local\Microsoft\889AE4ADED72882D82865A3C4379D411\ADDDCAD1D0F6BEF62B50555A457FCCFA.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Microsoft\9CB5543E86583F63FA613AAD0BC61B8F\0B878B9C6C46E7E0D8A7CD4C548F50E9.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','5503EA19-D179-46D7-806E-AC5D641E47AA');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','7FCCFA54A55505B26FEB6F0D1DADDDCASB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','8F50E945C4DC7A8D0E7E64C6C90B878BSB');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 25 июля, 2016 пользователем Sandor

25 июля, 2016

Пришел ответ:

[KLAN-4732102559]

C972D105-6FCB-4831-94F0-2D8ABCE86EEA.exe,
0B878B9C6C46E7E0D8A7CD4C548F50E9.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

ADDDCAD1D0F6BEF62B50555A457FCCFA.exe

No malicious code was found in this file.

Новые логи прикрепил. Подозрительного процесса больше нет, но Anti Malware, уведомляет о том что что то пыталось открыть сайт wowpro.ru, скриншот прикрепил, хотелось бы долечить.

Забыл сказать, также в Google Chrome и Yandex Browser пропала возможность просмотреть код элемента (Ctrl + Shift + I).

Сторонних расширений не установлено.

Заранее большое спасибо.

CollectionLog-2016.07.25-12.44.zip

Изменено 25 июля, 2016 пользователем Supertrolyaso

25 июля, 2016

Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

25 июля, 2016

Сканирование выполнил, отчет AdwCleaner прикрепил.

AdwCleanerS1.txt

25 июля, 2016

1.

Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки и отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

25 июля, 2016

Согласно вашей инструкции сделал сканирование в AdwCleaner.

25 июля, 2016

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CHR Extension: (Google Sheets) - C:\Users\supertrolyaso\AppData\Local\Google\Chrome\User Data\Default\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-07-13]
OPR Extension: (Google Sheets) - C:\Users\supertrolyaso\AppData\Roaming\Opera Software\Opera Stable\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-07-13]
OPR Extension: (timesafe) - C:\Users\supertrolyaso\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-07-20]
2016-07-07 01:28 - 2016-07-07 01:28 - 00003246 _____ C:\WINDOWS\System32\Tasks\MailRuUpdater
2016-07-06 23:33 - 2016-07-06 23:33 - 00000000 ____D C:\Users\supertrolyaso\AppData\Local\Вoйти в Интeрнет
2016-07-06 23:31 - 2016-07-06 23:31 - 00000000 ____D C:\WINDOWS\system32\appmgmt
2016-07-06 23:30 - 2016-07-06 23:30 - 00000000 ____D C:\Users\supertrolyaso\AppData\Roaming\Awesomium
2016-07-06 23:29 - 2016-07-06 23:29 - 00000000 ____D C:\Users\supertrolyaso\AppData\Local\Поиcк в Интeрнете
2016-07-06 23:28 - 2016-07-06 23:28 - 00000000 ____D C:\Users\supertrolyaso\AppData\LocalLow\Unity
2016-07-06 23:28 - 2016-07-06 23:28 - 00000000 ____D C:\Users\supertrolyaso\AppData\Local\Unity
Task: {A153C37D-D8AF-4088-BCDF-D382E01A7564} - System32\Tasks\MailRuUpdater => C:\Users\supertrolyaso\AppData\Local\Mail.Ru\MailRuUpdater.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

25 июля, 2016

Сделал.

Fixlog.txt

25 июля, 2016

Что сейчас с проблемой?

25 июля, 2016

С расширением проблем нет после выполнения 1го скрипта, Anti Malware пока тоже молчит. Судя по всему все отлично. Спасибо огромное.

25 июля, 2016

Anti Malware пока тоже молчит

Он как правило слишком подозрителен, поэтому в качестве постоянного антивируса не советуем его использовать.

В завершение:

1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

25 июля, 2016

Все сделал.

SecurityCheck.txt

25 июля, 2016

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.30 (64-разрядная) v.5.30.0 Внимание! Скачать обновления

Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 71 (64-bit) v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u102-windows-x64.exe)^

Java 8 Update 71 v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u102-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 22 NPAPI v.22.0.0.192 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

25 июля, 2016

Огромное Вам спасибо!

Вирус удаляет Adblock после перезагрузки ПК.

Рекомендуемые сообщения

Supertrolyaso

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Supertrolyaso

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Supertrolyaso

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Supertrolyaso

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Supertrolyaso

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Supertrolyaso

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Supertrolyaso

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Supertrolyaso

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum