jollywallet всплывающие окна в Гугл Хром

[Игорь Головко]

Добрый день. 

Утилитой проверил, логером просканил, логи прикрепил.

jollywallet - вылазит сверху страницы в гугл хром.

CollectionLog-2016.09.13-15.49.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\eastmy\eastmy.exe');
 TerminateProcessByName('C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe');
 TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpctray.exe');
 TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe');
 TerminateProcessByName('c:\program files (x86)\interhop\interhop.exe');
 StopService('MPCKpt');
 StopService('MPCProtectService');
 StopService('InterHop');
 StopService('EastmyP');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\MpcSafeDll.dll','');
 QuarantineFile('C:\Program Files (x86)\Bagbin\Update\BagbinUpdate.exe','');
 QuarantineFile('C:\Users\Ксения\AppData\Roaming\MyDesktop\qweeeCL.exe','');
 QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','');
 QuarantineFile('c:\programdata\eastmy\eastmy.exe','');
 DeleteFile('c:\programdata\eastmy\eastmy.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32');
 DeleteFile('C:\Users\Ксения\AppData\Roaming\MyDesktop\qweeeCL.exe','32');
 DeleteFile('C:\Program Files (x86)\Bagbin\Update\BagbinUpdate.exe','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\MpcSafeDll.dll','32');
 ExecuteFile('schtasks.exe', '/delete /TN "BagbinUpdateTaskMachineCore" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "BagbinUpdateTaskMachineUA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "EastmyUpdateTaskMachineCore" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "EastmyUpdateTaskMachineUA" /F', 0, 15000, true);
 DeleteService('MPCKpt');
 DeleteService('EastmyU');
 DeleteService('BagbinU');
 DeleteService('BagbinP');
 DeleteService('MPCProtectService');
 DeleteService('InterHop');
 DeleteService('EastmyP');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Игорь Головко]

 [KLAN-5014509477]

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

 

MpcSafeDll.dll,

MPCKpt.sys,

eastmy.exe

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

[Sandor]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger

Жду.

[Игорь Головко]

Вот файл. Все равно эта зараза jollywallet выскакивает во всех окнах 

CollectionLog-2016.09.14-12.35.zip

[Sandor]

Наберитесь терпения, мы только в начале.

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Игорь Головко]

СПАСИБО!

Вот отчет.

AdwCleanerS1.txt

[Sandor]

Файл C:\AdwCleaner\AdwCleaner[C0].txt тоже покажите.

 

1. В безопасном режиме (!):

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
  • Политики IE
  • Политики Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2. В обычном режиме:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 14 сентября, 2016 пользователем Sandor

[Игорь Головко]

Вот.

Вот в безопасном режиме.

AdwCleanerC2.txt

AdwCleanerC3.txt

AdwCleanerS2.txt

[Sandor]

Жду п.2

[Игорь Головко]

Вот отчеты.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [gmsd_re_005010206] => [X]
HKLM-x32\...\Run: [gmsd_re_005010212] => [X]
HKLM-x32\...\Run: [gmsd_re_005010213] => [X]
HKLM-x32\...\Run: [gmsd_re_005010214] => [X]
HKLM-x32\...\Run: [gmsd_re_005010216] => [X]
HKLM-x32\...\Run: [gmsd_re_005010219] => [X]
HKLM-x32\...\Run: [mpck_en_005030252] => [X]
HKLM-x32\...\Run: [rec_ua_212] => [X]
HKLM-x32\...\Run: [sun21] => [X]
HKLM-x32\...\Run: [rec_ua_225] => [X]
HKLM-x32\...\Run: [rec_ua_226] => [X]
Toolbar: HKU\S-1-5-21-550136531-3945175798-528600352-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF Homepage: hxxp://mail.ru/cnt/10445?gp=822358
FF Extension: (No Name) - C:\Users\Ксения\AppData\Roaming\Mozilla\Firefox\Profiles\szw3x37w.default\extensions\sovetnik@metabar.ru.xpi [not found]
FF Extension: (No Name) - C:\Users\Ксения\AppData\Roaming\Mozilla\Firefox\Profiles\szw3x37w.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Ксения\AppData\Local\Google\Chrome\User Data\Default\Extensions\aeembeejekghkopiabadonpmfpigojok [2016-02-16]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Ксения\AppData\Local\Google\Chrome\User Data\Default\Extensions\iflppbjnpneiigcbdfjpnkebidmkjmoi [2015-12-22]
CHR Extension: (webarchive.pro) - C:\Users\Ксения\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfljpkcacgcnnnipmdlgmlnmckmcpoef [2015-06-30]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Ксения\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aeembeejekghkopiabadonpmfpigojok [2016-09-07]
FirewallRules: [{4146483F-F13D-45E7-91C4-D502FF7D5103}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{54A7223E-E06E-4455-A03A-98960E927A0A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{EFBE93EE-F1C7-49EF-BC08-A5FF18D9604E}] => (Allow) C:\Users\Ксения\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{CF3763B2-5CA2-42D6-AA0B-D6BBD5C4BA14}] => (Allow) C:\Program Files (x86)\Eastmy\Update\EastmyUpdate.exe
FirewallRules: [{EC5F2237-0A16-4A43-ADF5-4C5D35BC8B90}] => (Allow) C:\Program Files (x86)\Eastmy\Application\chrome.exe
FirewallRules: [{FD4B009A-0C42-43B5-88D2-5471AE7CF9F9}] => (Allow) C:\ProgramData\Eastmy\Eastmy.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

[Игорь Головко]

Вот п.1

Вот п. 2

Fixlog.txt

ИГОРЬ-ПК_2016-09-14_14-43-04.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v3.87.4 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v388c
  BREG
  zoo %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCTRAY64.EXE
  bl 72E8A68709C3A2A1BDC63023D7FABE5C 105952
  addsgn BA6F9BB2BD6D48720B9C2D754C219CF9DA75303AC173535C8D8B4450D8D6714C6B9ACEFE25559DB63E838F9F465AC2E7E9C3E8721953EC08753297EF8F8B7657 15 MPC
  
  addsgn 1A7A729A5583C28CF42B627DA804DEC9E946303A45369F81C5B0D03CA9F6024A2CBA1384D496168B1852047E59C5A1394E1FDBA09616D81C7E3EA44B38332273 8 Adware.Mutabaha.1969 [DrWeb]
  
  zoo %SystemDrive%\PROGRAM FILES (X86)\EASTMY\APPLICATION\CHROME.EXE
  bl 69F2F9FC625F378E4E7D6122C63A5657 1384024
  delref HTTP://WWW.STARTGO123.COM/SEARCH/INDEX
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\FDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG\3.1.1.71_0\U0421\U043E\U0432\U0435\U0442\U043D\U0438\U043A \U042F\U043D\U0434\U0435\U043A\U0441.\U041C\U0430\U0440\U043A\U0435\U0442\U0430
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.0_0\U041F\U043B\U0430\U0442\U0435\U0436\U043D\U0430\U044F \U0441\U0438\U0441\U0442\U0435\U043C\U0430 \U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D\U0430 CHROME
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GPDJOJDKBBMDFJFAHJCGIGFPMKOPOGIC\1.37_0\U041A\U043D\U043E\U043F\U043A\U0430 PIN IT
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\AAPOCCLCGOGKMNCKOKDOPFMHONFMGOEK\0.9_0\GOOGLE \U041F\U0440\U0435\U0437\U0435\U043D\U0442\U0430\U0446\U0438\U0438
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAPOCCLCGOGKMNCKOKDOPFMHONFMGOEK\0.9_0\GOOGLE \U041F\U0440\U0435\U0437\U0435\U043D\U0442\U0430\U0446\U0438\U0438
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\IFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI\5.0.1_0\U0412\U0438\U0437\U0443\U0430\U043B\U044C\U043D\U044B\U0435 \U0417\U0430\U043A\U043B\U0430\U0434\U043A\U0438 MAIL.RU
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\AEEMBEEJEKGHKOPIABADONPMFPIGOJOK\7.0.40_0\U0412\U0438\U0437\U0443\U0430\U043B\U044C\U043D\U044B\U0435 \U0417\U0430\U043A\U043B\U0430\U0434\U043A\U0438 MAIL.RU
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI\5.0.1_0\U0412\U0438\U0437\U0443\U0430\U043B\U044C\U043D\U044B\U0435 \U0417\U0430\U043A\U043B\U0430\U0434\U043A\U0438 MAIL.RU
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AEEMBEEJEKGHKOPIABADONPMFPIGOJOK\6.0.1_0\U0412\U0438\U0437\U0443\U0430\U043B\U044C\U043D\U044B\U0435 \U0417\U0430\U043A\U043B\U0430\U0434\U043A\U0438 MAIL.RU
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\0.1.1.0_0\GOOGLE \U041A\U043E\U0448\U0435\U043B\U0435\U043A
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\APDFLLCKAAHABAFNDBHIEAHIGKJLHALF\14.1_0\U0414\U0438\U0441\U043A GOOGLE
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\APDFLLCKAAHABAFNDBHIEAHIGKJLHALF\6.4_0\U0414\U0438\U0441\U043A GOOGLE
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE \U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B \U043E\U0444\U043B\U0430\U0439\U043D
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\43.0.2357.130\RESOURCES\WEB_STORE\U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D CHROME
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\38.0.2125.104\RESOURCES\WEB_STORE\U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D CHROME
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\GEIDJEEFDDHGEFEPLHDLEGOLDLGIODON\1.2.0.2_0\U041F\U043E\U0438\U0441\U043A \U0438 \U0441\U0442\U0430\U0440\U0442\U043E\U0432\U0430\U044F  \U2013 \U042F\U043D\U0434\U0435\U043A\U0441
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\1.2.0.2_0\U0421\U0442\U0430\U0440\U0442\U043E\U0432\U0430\U044F \U2014 \U042F\U043D\U0434\U0435\U043A\U0441
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\JDFONANKHFNHIHDCPAAGPABBAOCLNJFP\1.2.0.1_0\U041F\U043E\U0438\U0441\U043A  \U042F\U043D\U0434\U0435\U043A\U0441A
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\FELCAALDNBDNCCLMGDCNCOLPEBGIEJAP\1.1_0\GOOGLE \U0422\U0430\U0431\U043B\U0438\U0446\U044B
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FELCAALDNBDNCCLMGDCNCOLPEBGIEJAP\1.1_0\GOOGLE \U0422\U0430\U0431\U043B\U0438\U0446\U044B
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\AOHGHMIGHLIEIAINNEGKCIJNFILOKAKE\0.9_0\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B GOOGLE
  delref %SystemDrive%\USERS\КСЕНИЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOHGHMIGHLIEIAINNEGKCIJNFILOKAKE\0.9_0\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B GOOGLE
  chklst
  delvir
  
  deldir %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\
  
  czoo
  restart
  
   

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
• Подробнее читайте в этом руководстве.

Повторите контрольный образ автозапуска uVS.

[Игорь Головко]

Файл отправил на почту.

С помощью формы отправить не смог.