Перейти к содержанию

Вирус рекламщик открывающий браузер каждые 20 минут


Рекомендуемые сообщения

Добрый день!

 

Попался какой-то стойкий вирус который открывает рекламу каждые(примерно) 20 минут. При этом не важно открыт браузер или закрыт. Открывает браузер по умолчанию с рекламой казино или какого-нибудь сайта а-ля "от нищеброда до миллионера". Касперский и др веб, а так же adwcleaner, к сожалению, не спасают. 

Еще из примечательного, то что не открывается диспечер задач, но если быстро и много жать Shift+Esc он начинает работать и работает после первого открытия нормально до перезагрузки. 

 

 

Помогите, пожалуйста, вылечить эту болячку

CollectionLog-2016.07.26-08.51.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Program Files (x86)\WMIprovider\WMI Providers.exe');
 QuarantineFile('C:\Program Files (x86)\WMIprovider\WMI Providers.exe','');
 QuarantineFileF('C:\Program Files (x86)\WMIprovider', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files (x86)\WMIprovider\WMI Providers.exe','32');
 DeleteFile('C:\windows\system32\Tasks\Microsoft\Windows\Application Experience\RenewalService','64');
 DeleteFileMask('C:\Program Files (x86)\WMIprovider', '*', true);
 DeleteDirectory('C:\Program Files (x86)\WMIprovider');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WMIproviders');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

Запрос на адрес отправил, пока жду ответа.

 

Прикладываю результаты повторного сканирования

 

 


Получил ответ  [KLAN-4735560571]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

WMI Providers.exe,
WatiN.Core.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

avformat-53.dll,
avutil-51.dll

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

 

CollectionLog-2016.07.26-09.33.zip

Ссылка на комментарий
Поделиться на другие сайты

У Вас запущены несколько программ удаленного доступа:

Ammyy Admin

TeamViewer 10

и подобный инструмент Хрома.

Вы об этом знаете?

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Добрый день!

 

Про тимвьювер и аммиадмин вкурсе. Хрома службу удалил.

 

Вот результаты сканирования.

 

Не знаю, что случилось, но уже второй день как реклама перестала выскакивать.

 

 

frst.zip

Изменено пользователем Бай
Ссылка на комментарий
Поделиться на другие сайты

Так мы же тут не в бирюльки играем ;)

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File
CHR Extension: (Google Документы офлайн) - C:\Users\BEG_STadm\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-07-25]
CHR Extension: (Яндекс) - C:\Users\BEG_STadm\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp [2016-07-26]
2016-07-11 16:03 - 2016-07-12 09:08 - 00000000 ____D C:\Users\Все пользователи\RenewalService
2016-07-11 16:03 - 2016-07-12 09:08 - 00000000 ____D C:\ProgramData\RenewalService
2016-07-11 16:00 - 2016-07-11 16:00 - 00000000 ____D C:\Users\BEG_STadm\AppData\Roaming\ProductData
2016-07-11 15:58 - 2016-07-11 15:58 - 00000000 ____D C:\windows\Tasks\ImCleanDisabled
2016-07-11 15:58 - 2016-07-11 15:58 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-07-11 15:58 - 2016-07-11 15:58 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-07-11 15:57 - 2016-07-15 09:09 - 00000000 ____D C:\Users\BEG_STadm\AppData\Local\Unity
2016-07-11 15:57 - 2016-07-12 09:49 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-07-11 15:57 - 2016-07-12 09:49 - 00000000 ____D C:\ProgramData\ProductData
2016-07-11 15:57 - 2016-07-12 09:49 - 00000000 ____D C:\Program Files (x86)\IObit
2016-07-11 15:57 - 2016-07-11 16:00 - 00000000 ____D C:\Users\BEG_STadm\AppData\LocalLow\IObit
2016-07-11 15:57 - 2016-07-11 15:59 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-07-11 15:57 - 2016-07-11 15:59 - 00000000 ____D C:\ProgramData\IObit
2016-07-11 15:57 - 2016-07-11 15:58 - 00027552 _____ (REALiX(tm)) C:\windows\SysWOW64\Drivers\HWiNFO64A.SYS
2016-07-11 15:57 - 2016-07-11 15:57 - 00000000 ____D C:\windows\IObit
Task: {177367AA-9206-4AA2-9392-ABB761577CF7} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {A32D57E7-F58A-4C08-8848-9A1EAFB3D799} - \Microsoft\Windows\Application Experience\RenewalService -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Вот это

C:\Users\BEG_STadm\Downloads\ComboFix.exe

без специального указания не рекомендуется запускать!
Ссылка на комментарий
Поделиться на другие сайты

Хорошо. В завершение:

 

1. Деинсталлируйте ComboFix:

 

Скачайте OTCleanIt, запустите, нажмите Clean up.

 

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • PiGeMa
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
    • Quattro
      Автор Quattro
      Поймал откуда то фейковый Adblock, он установился во все браузеры. Самостоятельно удалил все расширения, вроде кое как почистил реестр, удалил из планировщика заданий, проверил несколькими программами и бестолку. Все равно при каждом запуске системы создаются вот такие файлы как на скрине. Каждый раз разное название, лежат одинаково в одном и том же месте для каждого браузера. Пользователи - Юзернейм - Appdata - Local - yandex - Default - extensions. Помогите удалить, уже всю голову изломал себе

      CollectionLog-2025.07.24-20.21.zip
    • korenis
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • reliance
      Автор reliance
      Диспетчер устройств никакую ошибку не выдает, просто не открывается. При открытии Редактора реестра (regedit) появляется ошибка 0xc0000017CollectionLog-2025.06.22-16.40.zip
    • Jacket45
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
×
×
  • Создать...