Как уничтожить Porewer by Provider (рекламный браузерный вирус).

[Иван Богатов]

Windows 10 Pro x64 JP Non activation, Kaspersky Free, Edge//

 

Пару недель назад впервые столкнулся с этим вирусом. Откуда он появился, я не знаю, так как я открывал только безопасные сайты, на которые не подумаешь.

Поведение:

1. Блокирует "metro-шные" приложения, типа клиентов соцсетей.

2. Блокирует Cortana, она говорит, что не удалось получить доступ к Интернету.

3. Тормозит загрузку сайтов.

4. В 3 из 4 случаев активирует маленькое окошко в углу, оповещающее о рекламе через 5 сек с обратным отсчётом. Закрыть его можно, но пока сайт ещё грузится, оно не реагирует, поэтому редко удаётся успеть его закрыть. Есть не успеть, перенаправляет на разные рекламные сайты, а в новой вкладке открывает изначальную страницу, причём быстро.

5. Иногда просто обрывает связь с загружаемым сайтом - сайт не загружается.

Среди предложенных в интернете способов по его уничтожению есть:

1. Удалить все неизвестные загруженные программы, у меня таких нет, все знакомы.

2. Удалить один файлик в реестре, у меня его не было.

3. Очистка и сведение к настройкам по-умолчанию всех браузеров на компьютере (у меня это IE и Edge). Именно этот способ тогда помог мне избавится от вируса, как я думаю.

Но сегодня он появился снова. Повторная очистка браузера не помогла, да и надоедает его так часто снова настраивать. На этот раз я запомнил, на каком сайте он появился впервые (не советую открывать всем подряд, это для специалистов): http://lingust.ru/japanese/japanese-lessons/

Как убить этот вирус навсегда? И вопрос к искушенным и рискованным местным: этот сайт действительно - источник вируса (в защиту сайта могу сказать, что я знаю его давно, раньше вирусы он не распространял)?

Изменено 5 октября, 2016 пользователем Иван Богатов

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Иван Богатов]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Итак. Пока это всё запиливал, вспомнил, что утилитой от Касперского я уже пользовался, не помогла. А также эта фича никогда не выходила за пределы моего пользователя - другой пользователь ноутбука не был заражён.

Сейчас же Касперский выпилил архив с лекциями из ВУЗа, заподозрив в вирусе (он уже не нужен был).

Веб-сан выпилил программу proxiroty, которая у меня даже в программах не отображалась.

Ничего это не помогло, но из-за той программки я решил посмотреть свои настройки прокси. Прокси был включён и даже настроен (не мной), я его отключил. И вот это помогло. Но, полагаю, это только симптом, а не сам вирус. Так что вот логи от третьей программы.

 

CollectionLog-2016.10.05-21.45.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\PC Installer\PCInstaller.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "chrome5" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\PC Installer\PCInstaller.exe','32');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Иван Богатов]

@Sandor,

 

"Re: [KLAN-5125428084]

Hello,

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.  

 

PCInstaller.exe

 

An unknown file has been received. It will be sent to the Virus Lab.

 

Best Regards, Kaspersky Lab

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.comhttp://www.viruslist.com"

--------------------------------------------------------------------------------"

Addition.txt

FRST.txt

Shortcut.txt

Изменено 6 октября, 2016 пользователем Иван Богатов

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Task: {1969175B-B3F3-44C9-A400-1B0FA99774D2} - System32\Tasks\AFC Secure Net Worker => C:\Program Files (x86)\AFC Secure Net\amjob.exe [2016-10-05] (North CH Prog) <==== ATTENTION
Task: {75272595-BE55-480B-A972-E75209365900} - System32\Tasks\Windows Defrag => C:\Users\IvanB\AppData\Roaming\Windows Defrag\Windows Defrag.exe [2016-09-29] () <==== ATTENTION
Task: {FFBBC7F0-5F87-4DAF-8804-CB4A0C0131AA} - System32\Tasks\Windows Defrag Logon => C:\Users\IvanB\AppData\Roaming\Windows Defrag\Windows Defrag.exe [2016-09-29] ()
FirewallRules: [{9FB83FAF-1A31-4B7A-B68F-BD2359DE4157}] => (Allow) C:\Users\IvanB\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{F5D52C48-8FA2-479F-B3CA-BD0F94617AB1}] => (Allow) C:\Users\IvanB\AppData\Local\MediaGet2\mediaget.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Сообщите что с проблемой.

[Иван Богатов]

@Sandor,

"Fix result of Farbar Recovery Scan Tool (x64) Version: 04-10-2016
Ran by IvanB (06-10-2016 12:16:56) Run:1
Running from C:\Users\IvanB\Desktop
Loaded Profiles: IvanB (Available Profiles: defaultuser0 & IvanB & alt-i)
Boot Mode: Normal
==============================================

fixlist content:
*****************
start
CreateRestorePoint:
Task: {1969175B-B3F3-44C9-A400-1B0FA99774D2} - System32\Tasks\AFC Secure Net Worker => C:\Program Files (x86)\AFC Secure Net\amjob.exe [2016-10-05] (North CH Prog) <==== ATTENTION
Task: {75272595-BE55-480B-A972-E75209365900} - System32\Tasks\Windows Defrag => C:\Users\IvanB\AppData\Roaming\Windows Defrag\Windows Defrag.exe [2016-09-29] () <==== ATTENTION
Task: {FFBBC7F0-5F87-4DAF-8804-CB4A0C0131AA} - System32\Tasks\Windows Defrag Logon => C:\Users\IvanB\AppData\Roaming\Windows Defrag\Windows Defrag.exe [2016-09-29] ()
FirewallRules: [{9FB83FAF-1A31-4B7A-B68F-BD2359DE4157}] => (Allow) C:\Users\IvanB\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{F5D52C48-8FA2-479F-B3CA-BD0F94617AB1}] => (Allow) C:\Users\IvanB\AppData\Local\MediaGet2\mediaget.exe
EmptyTemp:
Reboot:
end
*****************

Restore point was successfully created.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1969175B-B3F3-44C9-A400-1B0FA99774D2}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1969175B-B3F3-44C9-A400-1B0FA99774D2}" => key removed successfully
C:\Windows\System32\Tasks\AFC Secure Net Worker => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AFC Secure Net Worker" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{75272595-BE55-480B-A972-E75209365900}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{75272595-BE55-480B-A972-E75209365900}" => key removed successfully
C:\Windows\System32\Tasks\Windows Defrag => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows Defrag" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FFBBC7F0-5F87-4DAF-8804-CB4A0C0131AA}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FFBBC7F0-5F87-4DAF-8804-CB4A0C0131AA}" => key removed successfully
C:\Windows\System32\Tasks\Windows Defrag Logon => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows Defrag Logon" => key removed successfully
HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{9FB83FAF-1A31-4B7A-B68F-BD2359DE4157} => value removed successfully
HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{F5D52C48-8FA2-479F-B3CA-BD0F94617AB1} => value removed successfully

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 85195354 B
Java, Flash, Steam htmlcache => 766 B
Windows/system/drivers => 177291 B
Edge => 300241166 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 17834 B
NetworkService => -524 B
defaultuser0 => 595093 B
IvanB => 19911953 B
alt-i => 31660513 B

RecycleBin => 1058916031 B
EmptyTemp: => 1.4 GB temporary data Removed.

================================

The system needed a reboot.

==== End of Fixlog 12:17:29 ===="

Наверное, всё нормально, я не в курсе.) Выглядит спокойным. Спасибо большое!

[Sandor]

Для проверки уязвимых мест:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Иван Богатов]

@Sandor,

 

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 06.10.2016 12:45:08
Path starting: C:\Users\IvanB\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: IvanB
VersionXML: 3.40is-01.10.2016
___________________________________________________________________________

Windows 10(6.3.14393) (x64) Professional Lang: 0411
Installation date OS: 07.09.2016 22:00:57
LicenseStatus: Windows®, Professional edition Windows is in Notification mode
Boot Mode: Normal
Default Browser: Microsoft Edge (C:\Windows\system32\LaunchWinApp.exe)
SystemDrive: C: FS: [NTFS] Capacity: [465.2 Gb] Used: [56.1 Gb] Free: [409.1 Gb]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.187.14393.0
User Account Control enabled

Windows Update (wuauserv) - The service has stopped
Security Center (wscsvc) - The service is running
Remote Registry (RemoteRegistry) - The service has stopped
SSDP Discovery (SSDPSRV) - The service is running
Remote Desktop Services (TermService) - The service is running
Windows Remote Management (WS-Management) (WinRM) - The service has stopped
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Internet Security (enabled and up to date)
Windows Defender (disabled and up to date)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (enabled)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (enabled and up to date)
Windows Defender (disabled and up to date)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Dr.Web KATANA v.1.0.1.07290
Kaspersky Secure Connection v.17.0.0.611
Kaspersky Password Manager v.8.0.5.485
Kaspersky Internet Security v.17.0.0.611
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50709.0
LibreOffice 5.2.1.2 v.5.2.1.2 Warning! Download Update
--------------------------------- [ IM ] ----------------------------------
Telegram Desktop version 0.10.11 v.0.10.11 [+]
--------------------------- [ RunningProcess ] ----------------------------
C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.14393.206
------------------ [ AntivirusFirewallProcessServices ] -------------------
Dr.Web KATANA Service (DrWebAVService) - The service is running
C:\Program Files\DrWeb\dwservice.exe v.11.1.3.9151
C:\Program Files\DrWeb\spideragent.exe v.11.0.4.9200
Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - The service is running
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe v.17.0.0.611
klvssbrigde64 (klvssbrigde64) - The service has stopped
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avpui.exe v.17.0.0.643
Windows Defender Service (WinDefend) - The service has stopped
Windows Defender Network Inspection Service (WdNisSvc) - The service has stopped
----------------------------- [ End of Log ] ------------------------------

[Sandor]

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[Иван Богатов]

@Sandor, написано не пользоваться "чистыми антивирусами". А разве такие ещё остались в 2016?

[Sandor]

не пользоваться "чистыми антивирусами"

?

Поясните

[Иван Богатов]

@Sandor, http://safezone.cc/threads/10-sovetov-po-bezopasnosti-v-internete.4857/

пункт 3.

Изменено 6 октября, 2016 пользователем Иван Богатов

[Sandor]

Ах, вот Вы о чем

Ну почему же, бесплатные версии и есть нечто подобное.