not-a-virus:AdWare.Win32.SubTab.aj

[оlег 63]

Посмотрите ,пожалуйста, компьютер после активного заражения.До сегодняшнего дня полная проверка прерывалась. Была потеря прав администратора. Сегодня полная проверка завершилась.

CollectionLog-2016.10.27-22.46.zip

[Sandor 1 253]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

desktopy.ru

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\winsaber\winsaber.exe');
 TerminateProcessByName('c:\program files (x86)\uvconverter\uvconverter.exe');
 StopService('winsaber');
 StopService('UvConverter');
 QuarantineFile('c:\program files (x86)\winsaber\winsaber.exe','');
 QuarantineFile('c:\program files (x86)\uvconverter\uvconverter.exe','');
 DeleteFile('c:\program files (x86)\uvconverter\uvconverter.exe','32');
 DeleteFile('c:\program files (x86)\winsaber\winsaber.exe','32');
 DeleteService('winsaber');
 DeleteService('UvConverter');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[оlег 63]

Re: quarantine.zip [KLAN-5252172507]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

winsaber.exe,
uvconverter.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

С уважением,Олег.

 

AdwCleanerS0.txt

[Sandor 1 253]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Прокси
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[оlег 63]

Выполнил. Логи прилагаю.

Addition.txt

Shortcut.txt

FRST.txt

AdwCleanerC0.txt

[Sandor 1 253]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Toolbar: HKLM-x32 - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1672421974-1063844691-820072964-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-1672421974-1063844691-820072964-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
FF Homepage: C:\ProgramData\Kaspersky Lab\SafeBrowser\S-1-5-21-1672421974-1063844691-820072964-1000\FireFox -> hxxp://www.nicesearches.com?type=hp&ts=1474376924&from=3eca0919&uid=st1000lm024xhn-m101mbb_s2rqj9fc510989&z=9a9dbab9991beacb74f50cag3zemfzbc9m4q7t6obo
FF NewTab: C:\ProgramData\Kaspersky Lab\SafeBrowser\S-1-5-21-1672421974-1063844691-820072964-1000\FireFox -> hxxp://www.nicesearches.com?type=hp&ts=1474376924&from=3eca0919&uid=st1000lm024xhn-m101mbb_s2rqj9fc510989&z=9a9dbab9991beacb74f50cag3zemfzbc9m4q7t6obo
FF SearchPlugin: C:\Users\Пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\3yynymsd.default-1438978085242\searchplugins\nice.xml [2016-09-12]
FF DefaultSearchEngine: Profiles\36o3yv18.default -> nice
FF SearchEngineOrder.1: Profiles\36o3yv18.default -> nice
FF SelectedSearchEngine: Profiles\36o3yv18.default -> nice
FF Extension: (GsearchFinder) - C:\Users\Пользователь\AppData\Roaming\Profiles\36o3yv18.default\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-05-23]
FF Extension: (FF Adr) - C:\Users\Пользователь\AppData\Roaming\Profiles\36o3yv18.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2016-09-12] [not signed]
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.nuesearch.com/search/?type=ds&ts=1466705019&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm0616&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC510989&q={searchTerms}
CHR DefaultSearchKeyword: ChromeDefaultData -> nuesearch
CHR Profile: C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-10-28] <==== ATTENTION
CHR Extension: (Стартовая — Яндекс) - C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2015-06-26]
2016-10-28 13:06 - 2016-10-28 13:14 - 00000000 ____D C:\Program Files (x86)\UvConverter
2016-10-28 13:06 - 2016-10-28 13:06 - 00000000 ____D C:\Users\Все пользователи\adhad
2016-10-28 13:06 - 2016-10-28 13:06 - 00000000 ____D C:\ProgramData\adhad
2016-10-28 13:03 - 2016-10-28 13:03 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Coldold
2016-10-28 13:03 - 2016-10-28 13:03 - 00000000 ____D C:\Users\Все пользователи\Tencent
2016-10-28 13:03 - 2016-10-28 13:03 - 00000000 ____D C:\ProgramData\Tencent
2016-10-28 13:03 - 2016-10-28 13:03 - 00000000 ____D C:\Program Files (x86)\Coldold
2016-10-28 13:02 - 2016-10-28 13:06 - 00000000 ____D C:\Users\Все пользователи\ttff
2016-10-28 13:02 - 2016-10-28 13:06 - 00000000 ____D C:\ProgramData\ttff
Task: {03E877DA-9837-4039-B011-9B9F3901F0C8} - System32\Tasks\Plsesh Community => C:\Program Files (x86)\Plsesh\plscmmTask.exe <==== ATTENTION
Task: {77460E28-5989-49DE-B38D-4CA2194EE6E6} - System32\Tasks\EastmyUpdateTaskMachineUA => C:\Program Files (x86)\Eastmy\Update\EastmyUpdate.exe <==== ATTENTION
Task: {E7EF316E-AADA-4C43-B174-FC464274BA12} - System32\Tasks\EastmyUpdateTaskMachineCore => C:\Program Files (x86)\Eastmy\Update\EastmyUpdate.exe <==== ATTENTION
ShortcutWithArgument: C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Coldold\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
AlternateDataStreams: C:\Users\Пользователь\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Пользователь\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Пользователь\AppData\Local\Application Data:wa [146]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[оlег 63]

Выполнил. Лог приложен

Fixlog.txt

[Sandor 1 253]

Что с проблемой?

[оlег 63]

Большое спасибо. Работает нормально

[Sandor 1 253]

Завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.