Выскакивающая реклама и другое

[CanisRabiosa]

Всем привет. Машина заражена всякой дрянью, которая не удаляется либо переустанавливается после удаления

AdwCleanerC0.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[CanisRabiosa]

Проблемма: автоустановка приложений с именами - hosts, sound +, поиск в интернете mail.ru, и т.п. А также выскакивающая реклама в браузере, замена стартовой страницы и поиска по умолчанию. ADW Cleaner находит много проблемных файлов, которые восстанавливаются после перезагрузки.  

 

CollectionLog-2016.08.31-10.29.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Social2Search

sunnyday version 1.1

WIN

youndoo - Uninstall

Zaxar Games Browser 4

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('VideoPlugin.FilterDriver');
 QuarantineFile('C:\Program Files (x86)\Lomity\krtcoresmr.exe','');
 QuarantineFile('C:\ProgramData\hdtask\hdtask.exe','');
 QuarantineFile('C:\Program Files (x86)\DPower\5CN57BD4ET.exe','');
 QuarantineFile('C:\Program Files (x86)\DPower\LBX42ZP3CO.exe','');
 QuarantineFile('C:\Program Files\VideoPlugin\FilterService\VideoPlugin.FilterDriver.sys','');
 QuarantineFile('C:\Program Files (x86)\Lomity\krtcorelrn.exe','');
 QuarantineFileF('c:\program files (x86)\win_en_77', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\win_en_77\win_en_77.exe', '');
 DeleteFile('C:\Program Files (x86)\Lomity\krtcorelrn.exe','32');
 DeleteFile('C:\Program Files\VideoPlugin\FilterService\VideoPlugin.FilterDriver.sys','32');
 DeleteFile('C:\Program Files (x86)\DPower\LBX42ZP3CO.exe','32');
 DeleteFile('C:\Program Files (x86)\DPower\5CN57BD4ET.exe','32');
 DeleteFile('C:\ProgramData\hdtask\hdtask.exe','32');
 DeleteFile('C:\Program Files (x86)\Lomity\krtcoresmr.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Kuraty Core','64');
 DeleteFile('C:\Program Files (x86)\win_en_77\win_en_77.exe', '32');
 DeleteService('VideoPlugin.FilterDriver');
 DeleteService('krtcorelrn.exe');
 DeleteFileMask('c:\program files (x86)\win_en_77', '*', true);
 DeleteDirectory('c:\program files (x86)\win_en_77');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','TGS30PH4ED');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','4R5DHQZ4UZ');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','hdtask');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','win_en_77');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[CanisRabiosa]

[KLAN-4935018017]

 

mrupdsrv.exe,

mailrusetup.exe,
wemoservice.exe,
VideoPlugin.FilterDriver.sys

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

win_en_77.exe - not-a-virus:AdWare.Win32.Eorezo.ghly

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление баз.

CollectionLog-2016.08.31-11.18.zipClearLNK-31.08.2016_11-12.log

[Sandor]

Сделайте и прикрепите еще раз лог сканирования AdwCleaner.

[CanisRabiosa]

AdwCleanerC31.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[CanisRabiosa]

Shortcut.txtAddition.txtFRST.txt

[Sandor]

youndoo - Uninstall

не удаляется?

 

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
AppInit_DLLs: C:\ProgramData\Statdex\Yearing.dll => No File
AppInit_DLLs-x32: C:\ProgramData\Statdex\Tampex.dll => No File
BHO-x32: ArcPluginIEBHO Class -> {84BFE29A-8139-402a-B2A4-C23AE9E1A75F} -> H:\Games\Neverwinter\Arc\Plugins\ArcPluginIE.dll => No File
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://mail.ru/cnt/10445?gp=820322"
CHR Extension: (Chrome Media Router) - C:\Users\CR\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-31]
S2 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X]
S2 SojusymecageClient; C:\Program Files (x86)\Tofatythamaent\phwHelper.dll [X]
S1 ojtrbniu; no ImagePath
2016-08-30 17:07 - 2016-08-31 11:12 - 00000000 ____D C:\Users\CR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sound+ 1.0
2016-08-30 17:07 - 2016-08-30 17:07 - 00000000 ____D C:\Users\CR\AppData\LocalLow\Unity
2016-08-30 17:07 - 2016-08-30 17:07 - 00000000 ____D C:\Users\CR\AppData\Local\Unity
2016-08-30 17:07 - 2016-08-30 17:07 - 00000000 ____D C:\Users\CR\AppData\Local\MailruSetup
2016-08-30 16:44 - 2016-08-30 16:44 - 00003180 _____ C:\WINDOWS\System32\Tasks\MailRuUpdater
2016-08-29 17:02 - 2016-08-29 17:02 - 00000000 ___HD C:\Program Files (x86)\x1h8871
2016-08-29 17:02 - 2016-08-29 17:02 - 00000000 ___HD C:\Program Files (x86)\t4459A1
2016-08-29 17:02 - 2016-08-29 17:02 - 00000000 ____D C:\Users\CR\AppData\Local\Wovsygogcult
2016-08-29 17:01 - 2016-08-29 17:01 - 00000000 ___HD C:\Program Files (x86)\1x7345B
2016-08-29 17:00 - 2016-08-29 17:00 - 00000000 ___HD C:\Program Files (x86)\xri85DB
2016-08-29 16:55 - 2016-08-29 17:06 - 00000000 ____D C:\Users\CR\AppData\Local\ghcerspzeceriedcoevers
2016-08-29 15:45 - 2016-08-29 15:45 - 00000004 _____ C:\Users\Все пользователи\VideoPluginDone.dat
2016-08-29 15:45 - 2016-08-29 15:45 - 00000004 _____ C:\ProgramData\VideoPluginDone.dat
2016-08-29 15:44 - 2016-08-31 11:12 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 3
2016-08-29 15:44 - 2016-08-29 15:44 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
2016-08-29 15:44 - 2016-08-29 15:44 - 00003014 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (CR)
2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\WINDOWS\IObit
2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\Users\CR\AppData\LocalLow\IObit
2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\ProgramData\ProductData
2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\ProgramData\IObit
Task: {B606ECE5-8C0C-40CA-B1EB-3B287EBE2D73} - \Kuraty Core -> No File <==== ATTENTION
Task: {DA8CDDE5-4CC3-4838-B1A6-2D6CB2432597} - System32\Tasks\Driver Booster SkipUAC (CR) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {DA9770D4-C04F-4E57-BBFD-9713B443DA01} - System32\Tasks\Microsoft\Windows\Multimedia\MailruSetup => C:\Users\CR\AppData\Local\MailruSetup\MailruSetup.exe [2016-08-30] () <==== ATTENTION
Task: {F62D43F7-43F2-452D-9E57-5F909DDDD7BB} - System32\Tasks\MailRuUpdater => C:\Users\CR\AppData\Local\Mail.Ru\MailRuUpdater.exe
FirewallRules: [{D167BC16-678E-4AE6-B285-12D49D2F32F3}] => (Allow) C:\Program Files\VideoPlugin\FilterService\VideoPlugin.FilterServer.exe
FirewallRules: [{05805F9E-5B06-42D3-AC43-2ED54E146512}] => (Allow) C:\Users\CR\AppData\Local\Temp\MPCOnline\MPCDownload.exe
FirewallRules: [{B7409132-E938-484C-869A-500963BE2463}] => (Allow) C:\Users\CR\AppData\Local\Temp\MPCOnline\MPCDownload.exe
FirewallRules: [{16A97C34-9478-46EF-9DE1-0EC6A7E1A4BF}] => (Allow) C:\Users\CR\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[CanisRabiosa]

youndoo - Uninstall:

[Sandor]

Ясно, продолжайте.

[CanisRabiosa]

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[CanisRabiosa]

Сейчас все хорошо, понаблюдаю сегодня, т.к. установка программ или открытие браузера с рекламмой могла начинаться через 2-3 часа после запуска ПК.

Изменено 31 августа, 2016 пользователем CanisRabiosa