Вирус-расширение для браузеров

28 июля, 2016

День добрый) прошу помощи у добрых людей!

У самого не вышло удалить вирус никакими своими (дилетантскими) способами.

Суть: Вирус появился после скачки и установки фейкового "драйвера для монитора" Примерно неделю назад. (после этого я еще на вин 10 перешел.)

На рабоч столе появились ярлычки с играми, и всякой туфтой. В хроме, которым я пользуюсь и хочу пользоваться расширения разные (synсplay и всякие другие), которые блочат другие популярные расширения и добавили закладки с рекламой в браузер (другой активности плохой пока не заметил). В данный момент хром пока-что снес. но буду ставить опять (переустановки не помогали никакие всеравно).

Но вот расширения эти не пропадают, антивирусы и утилиты находили много чего-но не помогло. Есть подозрение что не только браузерный вирус стоит, на компе, но и другие... Особенно кажется что интернет соединение падает часто на короткое время...

Вообщем, помогите, пожалуйста с вирусом расширением! Прикрепляю логи Addition.txt CollectionLog-2016.07.28-22.54.zip FRST.txt

Shortcut.txt

28 июля, 2016

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Ivan\AppData\Local\Microsoft\1763809650F08B75097302D4154A71B5\2DBD10EFD0FF498F0EBC49EF13DE021B.exe','');
 QuarantineFile('C:\Users\Ivan\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\41EABF0A-5011-4691-AD94-5F8F34DF18D1\BDD97D8B-9C52-4007-A013-DA635AB5FE29.exe','');
 DeleteFile('C:\Users\Ivan\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\41EABF0A-5011-4691-AD94-5F8F34DF18D1\BDD97D8B-9C52-4007-A013-DA635AB5FE29.exe','32');
 DeleteFile('C:\Users\Ivan\AppData\Local\Microsoft\1763809650F08B75097302D4154A71B5\2DBD10EFD0FF498F0EBC49EF13DE021B.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DE021B31FE94CBE0F894FF0DFE2DBD10SB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','41EABF0A-5011-4691-AD94-5F8F34DF18D1');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10SB','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A41EABF0A-5011-4691-AD94-5F8F34DF18D1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10SB','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

29 июля, 2016

Получил ответ с номером KLAN 4762048322. (Ответ прикрепляю на скриншоте)

Прикрепляю новые логи.

Addition.txt FRST.txt Shortcut.txt CollectionLog-2016.07.29-11.05.zip

29 июля, 2016

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {1631F66C-AD51-447F-8805-D6D01960ECDF} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION
Task: {1874D717-3018-4736-AF0A-B4C0A1C408CD} - \Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10 -> No File <==== ATTENTION
Task: {28FEDAB1-912D-42C4-AECE-31497F8FE245} - \Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10 -> No File <==== ATTENTION
Task: {3113DC8B-DB55-4FA4-869A-4D71D976A292} - \Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10SB -> No File <==== ATTENTION
Task: {325D1036-2177-406C-BDD3-E1FDFA8D8100} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {3B60E985-8194-4C42-8D65-E73C548AEDC9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {40260114-8D95-4ED9-A661-308A74504563} - \Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10SB -> No File <==== ATTENTION
Task: {4F30577A-944A-47BC-95CF-0CE170BD9C66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {52B76034-5BFD-4058-AE28-1F8C7AE0B77B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {5C8071FD-D1AA-4E58-BCF7-AEEC906E1738} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {6A602BB2-CCCC-4AF0-92B2-22A61F5C74CB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {6AE56554-613A-47E3-98A1-BAE0D0A1AE34} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {6B860873-B35B-43DC-90CB-39C10C65DFFF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {71FD6288-A414-4F33-94FA-39C63A393024} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {76447098-98EF-42C3-A40F-E1C5BA3E3ACB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {9B99FA18-F2AB-4577-8E9A-0977710B03A5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {A33E888C-561F-451B-A6C4-0678430CE218} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {BAB30957-285A-4840-8C56-774F418A97B0} - \Microsoft\Windows\A41EABF0A-5011-4691-AD94-5F8F34DF18D1 -> No File <==== ATTENTION
Task: {C7BFEED5-D146-484E-A058-7CED8BB71DD1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {DBC69D55-3600-4975-BD37-A75C0AF6D9D7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {DD8B2712-AB1F-4C23-A76C-84502C60F04E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {E0D33D5A-9AE2-4C59-BCDA-F404AC30915A} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
C:\Users\Ivan\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
C:\Users\Ivan\AppData\Local\Temp\libeay32.dll
C:\Users\Ivan\AppData\Local\Temp\msvcr120.dll
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

29 июля, 2016

Fixlog.txt Сделано. прикрепляю фикслог

29 июля, 2016

Что с проблемой?

29 июля, 2016

Пока все спокойно! спасибо Тирекс! оперативная помощь)

Вирус-расширение для браузеров

Рекомендуемые сообщения

ИванКК

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ИванКК

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ИванКК

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ИванКК

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum