Не могу справиться с ghostery storage server и онлайн казино

[neosapiens]

Здравствуйте. С установкой какого-то софта встал браузер Амиго и куча сопутствующего мусора + периодически самопроизвольно открываются ссылки на онлайн казино. После удалил все неиспользуемые мной программы через панель управления, удалил через диспетчер задач ghost32.exe, удалил папку ghostery storage server. Почистил компьютер AdwCleaner, удалил неиспользуемые расширения в Chrome (браузер по умолчанию). Провел проверку KIS. Проблема не исчезла, раз в 10-15 минут выскакивает окно с очередным онлайн казино, только в google chrome. После переустановки chrome постоянно выскакивает сообщение, что какое-то приложение добавило расширение "поиск mail.ru".

AdwCleanerS0.txt

CollectionLog-2016.11.23-12.13.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAA" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zaxar','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[neosapiens]

Файл quarantine.zip в папке утилиты AVZ пустой: размер 22 байта, на диске 4 килобайта. Пустой файл отсылать все равно? Повторные логи во вложении.

P.S. За 40 минут не выскочило ни одной рекламы. Какие должны быть мои дальнейшие действия?

CollectionLog-2016.11.23-16.43.zip

[Sandor]

Пустой файл отсылать все равно?

Не нужно, значит ничего не попало.

 

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[neosapiens]

Благодарю! Рекламы больше нет

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18230 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления

Foxit Reader v.8.0.6.909 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО