реклама в браузере

[natawa-x]

Здравствуйте. После скачивания подозрительного файла начала открываться новая вкладка с рекламой в браузере. Открывается с определенной периодичностью (каждые 10 минут), даже если браузер закрыт. Заранее спасибо

CollectionLog-2016.11.25-14.17.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

etranslator

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAB" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[natawa-x]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

etranslator

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAB" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

Вот что мне ответили

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

 

quarantine.zip

 

Вредоносный код в файле не обнаружен.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"

 

прикрепляю отчет

ClearLNK-26.11.2016_21-20.log

Изменено 26 ноября, 2016 пользователем natawa-x

[Roman_Five]

 

 

Повторите логи по правилам.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

[natawa-x]

вот логи

CollectionLog-2016.11.26-21.59.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

 ClearQuarantine;

 DeleteFile('C:\Users\Наташа\AppData\Roaming\newnext.me\nengine.dll',' ');

 DelAutorunByFileName('C:\Users\Наташа\AppData\Roaming\newnext.me\nengine.dll ');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится. 

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [NextLive] C:\Windows\SysWOW64\rundll32.exe "C:\Users\Наташа\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l

 

 

Сделайте новые логи по правилам (только пункт 2).

Изменено 27 ноября, 2016 пользователем Roman_Five

[Sandor]

+

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[natawa-x]

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
 ClearQuarantine;
 DeleteFile('C:\Users\Наташа\AppData\Roaming\newnext.me\nengine.dll',' ');
 DelAutorunByFileName('C:\Users\Наташа\AppData\Roaming\newnext.me\nengine.dll ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [NextLive] C:\Windows\SysWOW64\rundll32.exe "C:\Users\Наташа\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
 

 

Сделайте новые логи по правилам (только пункт 2).

 

скрипт выполнен нормально

а вот строки этой нету чтоб пофиксить в HijackThis

+

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Отчет есть. Что после этого нужно? 

удалять это нужно?

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[natawa-x]

Вроде все правильно получилось

Спасибо большое! Рекламы больше нет

 

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Дочистим мусор:

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D0123838-675F-43DC-9D4C-58498D4D84C9} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3129371296-400804749-3586647826-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF user.js: detected! => C:\Users\Наташа\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2015-06-01]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=818409
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B9E7068E6-5142-42BC-9867-A899EBB508D2%7D&gp=811041
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Наташа\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-11-23]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Наташа\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-11-23]
FF Extension: (No Name) - C:\Users\Наташа\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-11-23] [not signed]
FF Extension: (No Name) -  C:\Users\Наташа\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: (No Name) - C:\Users\Наташа\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\iobitascsurfingprotection@iobit.com [not found]
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B34EA9645-C7ED-4215-B92E-9930CD5204D7%7D&gp=811041
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Яндекс) - C:\Users\Наташа\AppData\Local\Google\Chrome\User Data\Default\Extensions\akkhkcocfnopiccplnimkefmaejepdlj [2014-05-09]
2016-11-24 09:06 - 2014-06-19 22:43 - 00000000 ____D C:\Users\Все пользователи\AVAST Software
2016-11-24 09:06 - 2014-06-19 22:43 - 00000000 ____D C:\ProgramData\AVAST Software
2016-11-23 19:00 - 2015-06-01 17:49 - 00000000 ____D C:\Program Files (x86)\IObit
2016-11-23 08:27 - 2015-06-01 17:50 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-11-23 08:27 - 2015-06-01 17:50 - 00000000 ____D C:\ProgramData\ProductData
Task: {228471BA-6681-492C-9306-90F6AE10974F} - System32\Tasks\ASC8_SkipUac_Наташа => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe
Task: {31F88DDA-F9A0-4EAB-A5FF-86B416932B39} - System32\Tasks\ASC8_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare 8\Monitor.exe
Task: {B1A4B4AD-D417-4A05-86BB-C5C25D9C7EC7} - System32\Tasks\MailRuUpdateTask => C:\Users\Наташа\AppData\Local\Mail.Ru\MailRuUpdater.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[natawa-x]

Это второй файл. А первый пропал

Fixlog.txt

[Sandor]

Что сейчас с рекламой?

[natawa-x]

Рекламы уже нету, вкладки не впоявляются. И компьютер стал лучше работать.

[Sandor]

Завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.