Вирус showad.js

[DubBox]

Здравствуйте. 
Недавно начало выскакивать окно со скачиванием showad.js из ads.pubmatic.com. Скорее всего связано с uTorrent. Потому что при его запуске выскакивает это окно. Касперский ничего не находит.

Логи прикрепляю. Заранее спасибо за помощь. 

CollectionLog-2016.08.01-13.35.zip

Addition.txt

FRST.txt

report1.log

report2.log

Изменено 1 августа, 2016 пользователем DubBox

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\admin\appdata\roaming\bandisoft\ctfhost', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\admin\AppData\Roaming\BANDISOFT\Ctfhost\ctfhost.exe', '');
 QuarantineFile('C:\Windows\SysWow64\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\DefaultTabBHO.dll', '');
 DeleteFile('C:\Users\admin\AppData\Roaming\BANDISOFT\Ctfhost\ctfhost.exe', '32');
 DeleteFile('C:\Windows\SysWow64\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\DefaultTabBHO.dll', '32');
 DeleteFileMask('c:\users\admin\appdata\roaming\bandisoft\ctfhost', '*', true);
 DeleteDirectory('c:\users\admin\appdata\roaming\bandisoft\ctfhost');
 DelBHO('{7F6AFBF1-E065-4627-A2FD-810366367D01}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CTF');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[DubBox]

Полученный ответ:
 

[KLAN-4775210268]
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

ctfhost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.aaz

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

libcurl.dll,
libmicrohttpd-dll.dll

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

 

[Sandor]

Жду повторные логи.

[DubBox]

Извините, не заметил. Вот повторные логи. 

CollectionLog-2016.08.01-14.48.zip

[Sandor]

Теперь, пожалуйста, удалите старые и соберите и прикрепите новые логи FRST.

[DubBox]

Вот.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2873818774-559255832-241712898-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2873818774-559255832-241712898-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-2873818774-559255832-241712898-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
2016-07-21 23:24 - 2013-01-09 06:56 - 00000000 ___HD C:\Users\admin\AppData\Local\pYEDFgYsHi
Task: {71D86220-B716-44DA-B53F-C0C453147EDC} - \DTReg -> No File <==== ATTENTION
Task: {80951909-BD85-4B51-BEA7-55212558A758} - System32\Tasks\DefaultCheck => c:\Users\All Users\dtdata\R002.exe [2014-11-05] () <==== ATTENTION
Task: {FB887442-A26A-4D95-84DA-991FA7F6DD54} - System32\Tasks\DefaultReg => c:\Users\All Users\dtdata\R001.exe [2014-11-05] () <==== ATTENTION
Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_admin.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
AlternateDataStreams: C:\Users\admin\Cookies:JFoBTRKb10tAYDEMcohdk [2464]
AlternateDataStreams: C:\Users\admin\AppData\Local\pYEDFgYsHi:YkonvziwVG7mcKQYjMMxSgdi [2426]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[DubBox]

Вот.

Fixlog.txt

[Sandor]

Что с проблемой?

[DubBox]

Теперь просто пишет, что "не удалось скачать" и закрывается.

 

Думаю, что решена, потому что вероятности скачать ее нет.

 

Спасибо большое.

[Sandor]

Скорее всего связано с uTorrent

Похоже) Вариант решения.

 

В завершение:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.