Вирусная реклама

[CrazY 1]

Вирусная реклама в браузере, куча левых процессов и установка левых программ (zaxsar, iobit, mailsputnik). После перезагрузки всё устанавливается заново.

CollectionLog-2016.09.27-23.03.zip

[mike 1 1 093]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\cpuminer\cpm.exe','');
 StopService('UDPnP33');
 StopService('Updater.Mail.Ru');
 StopService('UDPnP66');
 StopService('UDPnP55');
 StopService('UDPnP44');
 StopService('TCPnP6');
 StopService('TCPnP5');
 StopService('TCPnP4');
 StopService('TCPnP3');
 DeleteService('UDPnP33');
 DeleteService('Updater.Mail.Ru');
 DeleteService('UDPnP66');
 DeleteService('UDPnP55');
 DeleteService('UDPnP44');
 DeleteService('TCPnP6');
 DeleteService('TCPnP5');
 DeleteService('TCPnP4');
 DeleteService('TCPnP3');
 TerminateProcessByName('d:\program files\udpdp\udpnp6\udpdp66.exe');
 TerminateProcessByName('d:\program files\udpdp\udpnp5\udpdp55.exe');
 TerminateProcessByName('d:\program files\udpdp\udpnp4\udpdp44.exe');
 TerminateProcessByName('c:\program files (x86)\tcpnp6\tcpnp6.exe');
 TerminateProcessByName('c:\program files (x86)\tcpnp5\tcpnp5.exe');
 TerminateProcessByName('c:\program files (x86)\tcpnp4\tcpnp4.exe');
 TerminateProcessByName('c:\program files (x86)\tcpnp3\tcpnp3.exe');
 TerminateProcessByName('c:\users\Администратор\appdata\local\filterstart\filterstart.exe');
 DeleteFile('c:\users\Администратор\appdata\local\filterstart\filterstart.exe','32');
 DeleteFile('c:\program files (x86)\tcpnp3\tcpnp3.exe','32');
 DeleteFile('c:\program files (x86)\tcpnp4\tcpnp4.exe','32');
 DeleteFile('c:\program files (x86)\tcpnp5\tcpnp5.exe','32');
 DeleteFile('c:\program files (x86)\tcpnp6\tcpnp6.exe','32');
 DeleteFile('d:\program files\udpdp\udpnp4\udpdp44.exe','32');
 DeleteFile('d:\program files\udpdp\udpnp5\udpdp55.exe','32');
 DeleteFile('d:\program files\udpdp\udpnp6\udpdp66.exe','32');
 DeleteFile('C:\Program Files (x86)\TCPnp3\TCPnP3.exe','32');
 DeleteFile('C:\Program Files (x86)\TCPnp4\TCPnP4.exe','32');
 DeleteFile('C:\Program Files (x86)\TCPnp5\TCPnP5.exe','32');
 DeleteFile('C:\Program Files (x86)\TCPnp6\TCPnP6.exe','32');
 DeleteFile('D:\Program Files\UDPdp\UDPnp4\UDPdp44.exe','32');
 DeleteFile('D:\Program Files\UDPdp\UDPnp5\UDPdp55.exe','32');
 DeleteFile('D:\Program Files\UDPdp\UDPnp6\UDPdp66.exe','32');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe','32');
 DeleteFile('D:\Program Files\UDPdp\UDPnp3\UDPdp33.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MailRuUpdater');
 DeleteFile('C:\Program Files (x86)\Ckerlole\HozerghphojiyCch.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Botchzimity\Parameters','ServiceDll');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\cpuminer\cpm.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','cpuminer');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IDSCPRODUCT','command');
 DeleteFile('C:\Windows\system32\Tasks\Custom Current Mgr','64');
 DeleteFile('C:\Windows\system32\Tasks\MailRuUpdater','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\MailruSetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\ReportSender','64');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

 

[CrazY 1]

Здравствуйте. Спасибо за помощь. 

 

Ответ:

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

cpm.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

 

KLAN-5091059798

Лог

CollectionLog-2016.09.28-18.04.zip

[mike 1 1 093]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[CrazY 1]

http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner

 

по этой ссылке пишет:

 

Не удается получить доступ к сайту

Не удается найти DNS-адрес сервера general-changelog-team.fr.

DNS_PROBE_FINISHED_NXDOMAIN

[mike 1 1 093]

Скачайте отсюда  https://toolslib.net/downloads/viewdownload/1

[CrazY 1]

Отчет

 

 

AdwCleanerS0.txt

[mike 1 1 093]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[CrazY 1]

Отчеты

Удалял всё, но вроде не всё удалилось.

AdwCleanerC0.txt

AdwCleanerS2.txt

AdwCleanerC2.txt

[mike 1 1 093]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[CrazY 1]

Отчеты

 

FRST.txt

Addition.txt

[mike 1 1 093]

Антивирус Касперского 6.0 для Windows Workstations (HKLM-x32\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

Антивирус уже давно снят с поддержки. К нему и базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
OPR Extension: (No Name) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-09-22]
2016-09-25 16:31 - 2016-09-25 16:31 - 00000000 ____D C:\Users\Администратор\AppData\Local\MailruSetup
2016-09-25 13:18 - 2016-09-28 17:33 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\cpuminer
2016-09-25 13:17 - 2016-09-25 13:17 - 00000000 ___HD C:\Program Files (x86)\9bl0y5xp
2016-09-25 13:17 - 2016-09-25 13:17 - 00000000 ___HD C:\Program Files (x86)\38k599xu
2016-09-22 22:39 - 2016-09-22 22:39 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-09-22 22:38 - 2016-09-28 17:33 - 00000000 ____D C:\Users\Администратор\AppData\Local\FilterStart
2016-09-22 22:38 - 2016-09-22 22:43 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-09-22 22:38 - 2016-09-22 22:43 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-09-22 22:38 - 2016-09-22 22:43 - 00000000 ____D C:\ProgramData\ProductData
2016-09-22 22:38 - 2016-09-22 22:43 - 00000000 ____D C:\ProgramData\IObit
2016-09-22 22:38 - 2016-09-22 22:38 - 00000000 ____D C:\Program Files (x86)\ScreenUp
2016-09-22 22:37 - 2016-09-22 22:44 - 00000000 ____D C:\Program Files (x86)\adBanner
2016-09-22 22:37 - 2016-09-22 22:40 - 00000000 ____D C:\Program Files (x86)\IObit
2016-09-22 22:37 - 2016-09-22 22:37 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\MailProducts
Task: {5CB87348-BE94-4DEA-ACA6-395EA73E3DA7} - \Microsoft\Windows\Multimedia\ReportSender -> No File <==== ATTENTION
Task: {9D2C94CE-8541-41F3-9D56-FD1C748BDE4A} - \Custom Current Mgr -> No File <==== ATTENTION
Task: {BA9B9569-65EE-4BA4-A984-9A81C5053FBD} - \Microsoft\Windows\Multimedia\MailruSetup -> No File <==== ATTENTION
Task: {D364B48A-3CFC-4BF8-89EE-BD437CA9E4F6} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
FirewallRules: [{99ED34A1-3ED4-4E00-A70A-AFBE78148576}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{DDBD52C9-D8A4-44AD-8DA2-8C314CC4D823}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{421510D0-01E8-4FC8-88B5-CD9BD169E2C6}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{0B5789B7-EC02-4714-B428-E8E1C3E4C562}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{394BE708-2459-4470-BDDD-298AC840E4EC}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
FirewallRules: [{0E9719D4-3177-46CA-8992-99E79A717B52}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

[CrazY 1]

Спасибо за совет и помощь. Антивирус можно сейчас устанавливать или после всех манипуляций?

 

Отчет:

Архива на рабочем столе не появилось.

Fixlog.txt

[mike 1 1 093]

Антивирус нужно как можно скорее обновлять, а то можете пополнить ряды тех, кто словил шифровальщика себе на компьютер. Текущая версия вообще не защищает от таких угроз.

[CrazY 1]

Здравствуйте. Я не совсем понял, на этом всё или ещё будут какие-то манипуляции?