Вирус-расширение для браузеров

28 июля, 2016

День добрый) прошу помощи у добрых людей!

У самого не вышло удалить вирус никакими своими (дилетантскими) способами.

Суть: Вирус появился после скачки и установки фейкового "драйвера для монитора" Примерно неделю назад. (после этого я еще на вин 10 перешел.)

На рабоч столе появились ярлычки с играми, и всякой туфтой. В хроме, которым я пользуюсь и хочу пользоваться расширения разные (synсplay и всякие другие), которые блочат другие популярные расширения и добавили закладки с рекламой в браузер (другой активности плохой пока не заметил). В данный момент хром пока-что снес. но буду ставить опять (переустановки не помогали никакие всеравно).

Но вот расширения эти не пропадают, антивирусы и утилиты находили много чего-но не помогло. Есть подозрение что не только браузерный вирус стоит, на компе, но и другие... Особенно кажется что интернет соединение падает часто на короткое время...

Вообщем, помогите, пожалуйста с вирусом расширением! Прикрепляю логи Addition.txt CollectionLog-2016.07.28-22.54.zip FRST.txt

Shortcut.txt

28 июля, 2016

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Ivan\AppData\Local\Microsoft\1763809650F08B75097302D4154A71B5\2DBD10EFD0FF498F0EBC49EF13DE021B.exe','');
 QuarantineFile('C:\Users\Ivan\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\41EABF0A-5011-4691-AD94-5F8F34DF18D1\BDD97D8B-9C52-4007-A013-DA635AB5FE29.exe','');
 DeleteFile('C:\Users\Ivan\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\41EABF0A-5011-4691-AD94-5F8F34DF18D1\BDD97D8B-9C52-4007-A013-DA635AB5FE29.exe','32');
 DeleteFile('C:\Users\Ivan\AppData\Local\Microsoft\1763809650F08B75097302D4154A71B5\2DBD10EFD0FF498F0EBC49EF13DE021B.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DE021B31FE94CBE0F894FF0DFE2DBD10SB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','41EABF0A-5011-4691-AD94-5F8F34DF18D1');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10SB','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A41EABF0A-5011-4691-AD94-5F8F34DF18D1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10SB','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

29 июля, 2016

Получил ответ с номером KLAN 4762048322. (Ответ прикрепляю на скриншоте)

Прикрепляю новые логи.

Addition.txt FRST.txt Shortcut.txt CollectionLog-2016.07.29-11.05.zip

29 июля, 2016

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {1631F66C-AD51-447F-8805-D6D01960ECDF} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION
Task: {1874D717-3018-4736-AF0A-B4C0A1C408CD} - \Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10 -> No File <==== ATTENTION
Task: {28FEDAB1-912D-42C4-AECE-31497F8FE245} - \Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10 -> No File <==== ATTENTION
Task: {3113DC8B-DB55-4FA4-869A-4D71D976A292} - \Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10SB -> No File <==== ATTENTION
Task: {325D1036-2177-406C-BDD3-E1FDFA8D8100} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {3B60E985-8194-4C42-8D65-E73C548AEDC9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {40260114-8D95-4ED9-A661-308A74504563} - \Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10SB -> No File <==== ATTENTION
Task: {4F30577A-944A-47BC-95CF-0CE170BD9C66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {52B76034-5BFD-4058-AE28-1F8C7AE0B77B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {5C8071FD-D1AA-4E58-BCF7-AEEC906E1738} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {6A602BB2-CCCC-4AF0-92B2-22A61F5C74CB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {6AE56554-613A-47E3-98A1-BAE0D0A1AE34} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {6B860873-B35B-43DC-90CB-39C10C65DFFF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {71FD6288-A414-4F33-94FA-39C63A393024} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {76447098-98EF-42C3-A40F-E1C5BA3E3ACB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {9B99FA18-F2AB-4577-8E9A-0977710B03A5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {A33E888C-561F-451B-A6C4-0678430CE218} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {BAB30957-285A-4840-8C56-774F418A97B0} - \Microsoft\Windows\A41EABF0A-5011-4691-AD94-5F8F34DF18D1 -> No File <==== ATTENTION
Task: {C7BFEED5-D146-484E-A058-7CED8BB71DD1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {DBC69D55-3600-4975-BD37-A75C0AF6D9D7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {DD8B2712-AB1F-4C23-A76C-84502C60F04E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {E0D33D5A-9AE2-4C59-BCDA-F404AC30915A} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
C:\Users\Ivan\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
C:\Users\Ivan\AppData\Local\Temp\libeay32.dll
C:\Users\Ivan\AppData\Local\Temp\msvcr120.dll
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

29 июля, 2016

Fixlog.txt Сделано. прикрепляю фикслог

29 июля, 2016

Что с проблемой?

29 июля, 2016

Пока все спокойно! спасибо Тирекс! оперативная помощь)

Вирус-расширение для браузеров

Рекомендуемые сообщения

ИванКК

thyrex

ИванКК

thyrex

ИванКК

thyrex

ИванКК

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum