Julian223 0 Опубликовано 27 ноября, 2016 Share Опубликовано 27 ноября, 2016 (изменено) После установки одной программы, возможно забыл убрать галочку с рекламы (как обычно - амиго и т.д) но после удаления всех рекламных вирусов появилась новая проблема. Теперь кидает на разные сайты с казином... Даже когда браузер закрыт он все равно открывает казино... Происходит это раз в 15 минут так что без понятия что делать... Касперский не видит угроз. Помогите пожалуйста. CollectionLog-2016.11.27-21.24.zip Изменено 28 ноября, 2016 пользователем Julian223 Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 27 ноября, 2016 Share Опубликовано 27 ноября, 2016 Здравствуйте,Знакома ли Вам? O4 - HKCU\..\StartupApproved\StartupFolder: ZenMate.bat (2016/08/31) HiJackThis профиксить O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file) O4 - HKLM\..\Policies\Explorer\Run: [D964260F-1332-4A22-A1D4-3072F4E6AF71] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe" --getupdate-ppapi-plugin O4-32 - HKLM\..\Policies\Explorer\Run: [D964260F-1332-4A22-A1D4-3072F4E6AF71] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe" --getupdate-ppapi-plugin O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) (HKLM) O9 - Extra button: (no name) - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - (no file) (HKLM) O9 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) (HKLM) O9-32 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) (HKLM) O9-32 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) (HKLM) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('Ghostery Storage Server'); DeleteService('Ghostery Storage Server'); QuarantineFile('C:\Users\User\AppData\Roaming\SyManager\updater\python\pythonw.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZenMate.bat',''); QuarantineFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Microsoft\53A9D70F4CD59E4A4672F20230BCDF7A\B309FE6ED9184D29439173E4D0A57162.exe',''); QuarantineFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe',''); QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe',''); ExecuteFile('schtasks.exe', '/delete /TN "SyManager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AD964260F-1332-4A22-A1D4-3072F4E6AF71" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A571620D4E37193492D4819DE6B309FESB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "InternetAE" /F', 0, 15000, true); DeleteFile('C:\Users\User\AppData\Roaming\SyManager\updater\python\pythonw.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Microsoft\53A9D70F4CD59E4A4672F20230BCDF7A\B309FE6ED9184D29439173E4D0A57162.exe','32'); DeleteFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','32'); DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','D964260F-1332-4A22-A1D4-3072F4E6AF71'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)Удалите следующее, если Вам не знакома или сами не прописывали: "C:\Users\User\Favorites\Links\Яндекс.url" "C:\Users\User\Favorites\Links\Авиабилеты.url" "C:\Users\User\Favorites\Amazon\AmazonBrowserBar.url" "C:\Users\User\Favorites\Amazon\Amazon.it.url" "C:\Users\User\Favorites\Amazon\Amazon.fr.url" "C:\Users\User\Favorites\Amazon\Amazon.es.url" "C:\Users\User\Favorites\Amazon\Amazon.de.url" "C:\Users\User\Favorites\Amazon\Amazon.com.url" "C:\Users\User\Favorites\Amazon\Amazon.co.uk.url" "C:\Users\User\Favorites\Amazon\Amazon.co.jp.url" "C:\Users\User\Favorites\Amazon\Amazon.cn.url" "C:\Users\User\Favorites\Amazon\Amazon.ca.url" "C:\Users\Default\Favorites\Amazon\AmazonBrowserBar.url" "C:\Users\Default\Favorites\Amazon\Amazon.it.url" "C:\Users\Default\Favorites\Amazon\Amazon.fr.url" "C:\Users\Default\Favorites\Amazon\Amazon.es.url" "C:\Users\Default\Favorites\Amazon\Amazon.de.url" "C:\Users\Default\Favorites\Amazon\Amazon.com.url" "C:\Users\Default\Favorites\Amazon\Amazon.co.uk.url" "C:\Users\Default\Favorites\Amazon\Amazon.co.jp.url" "C:\Users\Default\Favorites\Amazon\Amazon.cn.url" "C:\Users\Default\Favorites\Amazon\Amazon.ca.url" "C:\Users\DefaultAppPool\Favorites\Amazon\AmazonBrowserBar.url" "C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.it.url" "C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.fr.url" "C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.es.url" "C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.de.url" "C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.com.url" "C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.co.uk.url" "C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.co.jp.url" "C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.cn.url" "C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.ca.url" - Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Julian223 0 Опубликовано 28 ноября, 2016 Автор Share Опубликовано 28 ноября, 2016 (изменено) Все что выше сделал, вот лог и вот KLAN-5414048685 Здравствуйте, Это сообщение было сгенерировано с помощью автоматической системы реагирования на сообщения. Сообщение содержит сведения о приговорах, которые были возвращены Антивирус в ответ на файлы (если таковые включены в сообщение) с последними установленными обновлениями. ZenMate.bat Неизвестный файл был получен. Он будет направлен в вирусную лабораторию. С наилучшими пожеланиями, Лаборатория Касперского и да O4 - HKCU\..\StartupApproved\StartupFolder: ZenMate.bat (2016/08/31) Я его очень давно устанавливал и забыл удалить... AdwCleanerS1.txt Изменено 28 ноября, 2016 пользователем Julian223 Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 28 ноября, 2016 Share Опубликовано 28 ноября, 2016 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.