Раклама в хроме

[Drukar]

Доброй ночи, начала доставать реклама в Хроме, лог прилагается.
Сам exe рекламщика я зашиб и реклама пропала, но вполне возможно остались не явные пакости
Причем Каспер тотал сикюрити и в антивирусном режиме и в режиме поиска уязвимостьей молчит как партизан,
помогите разобраться откуда ноги растут

CollectionLog-2016.10.02-01.21.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Ask Toolbar

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\{2aacea7b-9d07-5dd0-2323-938c9b89e9a7}\adb049b4-1a1b-fe1f-5cb8-73eea29f642d.exe');
 QuarantineFile('c:\programdata\{2aacea7b-9d07-5dd0-2323-938c9b89e9a7}\adb049b4-1a1b-fe1f-5cb8-73eea29f642d.exe','');
 QuarantineFile('C:\PROGRA~3\a9b4df49\f333d32a.dll', '');
 QuarantineFile('R:\autorun.inf', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{3A41BC2C-85D7-35F0-AE5D-86265399D968}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{CAC26394-7D69-D43F-095B-394EB7253F8D}" /F', 0, 15000, true);
 DeleteFile('C:\PROGRA~3\a9b4df49\f333d32a.dll', '32');
 DeleteFile('c:\programdata\{2aacea7b-9d07-5dd0-2323-938c9b89e9a7}\adb049b4-1a1b-fe1f-5cb8-73eea29f642d.exe','32');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteRepair(22);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU',2,2,true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Drukar]

Re: вирус [KLAN-5108704767]

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

ADB049B4-1A1B-FE1F-5CB8-73EEA29F642D.exe

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

PS Как я писал выше, этот фаил  я далил сам еще вчера  потому архив в я создал из   корзины вручную 

CollectionLog-2016.10.03-00.50.zip

[Sandor]

Для выполнения скрипта AVZ запускали правой кнопкой от имени администратора?

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

@Drukar, определитесь, где будете (и будете ли вообще) продолжать лечение - здесь или на cyberforum.

Одновременное лечение в разных местах может Вам же повредить и сбить с толку консультанта.

[Drukar]

@Sandor,

Лечение в плане удаления  симптомов и  вредоносного кода, я уже провел сам,  насколько эффективно не знаю но симптомы пропали логи выше.

Меня больше тут интересует 2 вопроса 

1) какие данные компромитирует эта штука и на каком уровне (у меня в касперском пас менеджере наверно 1000 логин паролей ) ну я ими не пользовался наверно месяц 

2) как она вообще пролезла в последние время я ничего не ставил а в инете я лажу исключительно через обновленный хором с отключенными модулями и тулбарами да у меня есть куча потенцально уязвимого софта но он не загружался и не использовался сидит за фаерволом, всякие старые версии флеш, тулбары и прочая нечисть подключены к другим броузерам я ими если пользуюсь то только там где они нужны и где нет риска заражения, у меня в этот период времени вообще комп  просто включенный стоял  (он у меня всегда включен) и тут я сажусь бац вирусня на каждый клик по окну открывает  

AdwCleanerC0.txt

AdwCleanerS0.txt

[Sandor]

определитесь, где будете (и будете ли вообще) продолжать лечение

Не ответили.

[Drukar]

 

определитесь, где будете (и будете ли вообще) продолжать лечение

Не ответили.

Ну если вы видите что там еще лечить ?  давайте лечить 

 

[Sandor]

На кибер-форуме тему закрываем?

 

давайте лечить

В таком случае, выполняйте, пожалуйста, все рекомендации. А не только те, которые Вы считаете нужными.

[Drukar]

На кибер-форуме тему закрываем?

 

давайте лечить

В таком случае, выполняйте, пожалуйста, все рекомендации. А не только те, которые Вы считаете нужными.

 

Я и их все и выполнил кроме тех выполнение которых было невозможно, а именно запуск скипта так  как еще до того как вы прислали скрипт я уже провел действия описанные в нем (простите но когда я вижу  в системе  однозначно зловредный процесс я его грохаю до рекомендаций и чижу реестр ) а как  поведет  себя скрипт  в системе  где уже  были произведены изменения я не знаю но вряд ли он сможет удалить то что я уже удалил, я повторил сбор  логов и выложил  их с  изменениями которые я провел 

PS ну давайте  одну тему закроем например на кибер форуме  скорость реакции примерно одинаковая а тут вроде  более профильный форум так как  у меня какраз стоят продукты касперсокого  

[Sandor]

еще до того как вы прислали скрипт я уже провел действия описанные в нем

Как же по-вашему мне стало известно об удаленном файле? Ответ простой - следы его еще видны в системе. Они также видны в повторном логе. Поэтому, выполните скрипт (ничего страшного не произойдет) и повторите CollectionLog.

[Drukar]

 

еще до того как вы прислали скрипт я уже провел действия описанные в нем

Как же по-вашему мне стало известно об удаленном файле? Ответ простой - следы его еще видны в системе. Они также видны в повторном логе. Поэтому, выполните скрипт (ничего страшного не произойдет) и повторите CollectionLog.

 

 

выполнил скрипт, повторил лог 

CollectionLog-2016.10.04-15.13.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Drukar]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Готово 

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1465084270-1407627002-2453512572-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Task: {09DF93DD-01D9-4CFA-80B5-BC0292AF845C} - \{13B6B2FB-C60E-43CF-AF70-003AB5F181B0} -> No File <==== ATTENTION
Task: {334054A9-92CF-4D91-855E-0A0349431684} - \{FCB163B9-678A-43EB-9F37-1353BDA3F1BA} -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows\win.ini:s1 [4]
AlternateDataStreams: C:\Users\Geleon:id [66]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Drukar]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1465084270-1407627002-2453512572-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Task: {09DF93DD-01D9-4CFA-80B5-BC0292AF845C} - \{13B6B2FB-C60E-43CF-AF70-003AB5F181B0} -> No File <==== ATTENTION
Task: {334054A9-92CF-4D91-855E-0A0349431684} - \{FCB163B9-678A-43EB-9F37-1353BDA3F1BA} -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows\win.ini:s1 [4]
AlternateDataStreams: C:\Users\Geleon:id [66]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Да кстати  эти действия вывели из строя драйвера  клавиатуры и мыши G 710 G 700 макросы действий по одному клику не работают сет понит не может перехватывать и имитировать нажатия клавиш 

Fixlog.txt