Всплывающая реклама, explorer.exe

[aleksandr773]

Добрый вечер, проблема в всплывающей рекламе, также с начальной страницы перекидывает на mail.ru , также установлены ярлыки "Войны престолов" "Поиск в интернете" и т.д. , также автоматически появляются окна в браузере на всякие казино и др сайты. Нажимая на ярлык > Свойства - я так понял что проблема лежит в файле explorer.exe

AdwCleaner использовал не помогло

Win7 , Google Chrome использую

Также заметил при запуске win всплывают окна

-----

Логи скинул

CollectionLog-2016.11.02-21.12.zip

Изменено 2 ноября, 2016 пользователем aleksandr773

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[aleksandr773]

frst

Порядок оформления запроса о помощи

Исправил

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

GameRanger

ScreenUp

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\screenup\future_helper.exe');
 QuarantineFileF('c:\program files (x86)\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\screenup\future_helper.exe', '');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\nfapi.dll', '');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\ProtocolFilters.dll', '');
 QuarantineFile('C:\Users\Александр\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\Александр\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\Александр\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\Александр\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\Александр\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\Александр\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFile('C:\Users\Александр\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\Александр\AppData\Local\rightchose\regCheck.vbs', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Root Account Mgr" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\screenup\future_helper.exe', '32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\nfapi.dll', '32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\ProtocolFilters.dll', '32');
 DeleteFile('C:\Users\Александр\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\Александр\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\Александр\AppData\Local\TestMenu\regCheck.vbs', '32');
 DeleteFile('C:\Users\Александр\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\Александр\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\Александр\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\Александр\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\Александр\AppData\Local\rightchose\regCheck.vbs', '32');
 DeleteFileMask('c:\program files (x86)\screenup', '*', true);
 DeleteDirectory('c:\program files (x86)\screenup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nnyjmsryhn');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[aleksandr773]

 [KLAN-5289490520]

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

regCheck.vbs,
regCheck_0.vbs,
regCheck_1.vbs,
regCheck_2.vbs,
regCheck_3.vbs,
regCheck_4.vbs,
regCheck_5.vbs,
regCheck_6.vbs

No malicious code has been found in these files.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

Новые логи

CollectionLog-2016.11.04-16.03.zip

ClearLNK-04.11.2016_15-56.log

[Sandor]

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[aleksandr773]

Всплывающие окна пропали уже после скрипта.

 

AdwCleanerS3.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2. Соберите свежие логи FRST.