Перейти к содержанию
Правила раздела

Рекламный вирус в браузере.

Julian223

От Julian223
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Julian223 Новичок

Julian223

Опубликовано
Опубликовано (изменено)

После установки одной программы, возможно забыл убрать галочку с рекламы (как обычно - амиго и т.д) но после удаления всех рекламных вирусов появилась новая проблема. Теперь кидает на разные сайты с казином... Даже когда браузер закрыт он все равно открывает казино... Происходит это раз в 15 минут так что без понятия что делать... Касперский не видит угроз. Помогите пожалуйста.

CollectionLog-2016.11.27-21.24.zip

Изменено пользователем Julian223
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Знакома ли Вам?

O4 - HKCU\..\StartupApproved\StartupFolder: ZenMate.bat (2016/08/31)

HiJackThis профиксить

O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [D964260F-1332-4A22-A1D4-3072F4E6AF71] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe" --getupdate-ppapi-plugin
O4-32 - HKLM\..\Policies\Explorer\Run: [D964260F-1332-4A22-A1D4-3072F4E6AF71] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe" --getupdate-ppapi-plugin
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) (HKLM)
O9 - Extra button: (no name) - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - (no file) (HKLM)
O9 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) (HKLM)
O9-32 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) (HKLM)
O9-32 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) (HKLM)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('Ghostery Storage Server');
 DeleteService('Ghostery Storage Server');
 QuarantineFile('C:\Users\User\AppData\Roaming\SyManager\updater\python\pythonw.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZenMate.bat','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\53A9D70F4CD59E4A4672F20230BCDF7A\B309FE6ED9184D29439173E4D0A57162.exe','');
 QuarantineFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "SyManager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AD964260F-1332-4A22-A1D4-3072F4E6AF71" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A571620D4E37193492D4819DE6B309FESB" /F', 0, 15000, true);  
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAE" /F', 0, 15000, true);  
 DeleteFile('C:\Users\User\AppData\Roaming\SyManager\updater\python\pythonw.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\53A9D70F4CD59E4A4672F20230BCDF7A\B309FE6ED9184D29439173E4D0A57162.exe','32');
 DeleteFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','D964260F-1332-4A22-A1D4-3072F4E6AF71');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Удалите следующее, если Вам не знакома или сами не прописывали:

"C:\Users\User\Favorites\Links\Яндекс.url"
"C:\Users\User\Favorites\Links\Авиабилеты.url"
"C:\Users\User\Favorites\Amazon\AmazonBrowserBar.url"
"C:\Users\User\Favorites\Amazon\Amazon.it.url"
"C:\Users\User\Favorites\Amazon\Amazon.fr.url"
"C:\Users\User\Favorites\Amazon\Amazon.es.url"
"C:\Users\User\Favorites\Amazon\Amazon.de.url"
"C:\Users\User\Favorites\Amazon\Amazon.com.url"
"C:\Users\User\Favorites\Amazon\Amazon.co.uk.url"
"C:\Users\User\Favorites\Amazon\Amazon.co.jp.url"
"C:\Users\User\Favorites\Amazon\Amazon.cn.url"
"C:\Users\User\Favorites\Amazon\Amazon.ca.url"
"C:\Users\Default\Favorites\Amazon\AmazonBrowserBar.url"
"C:\Users\Default\Favorites\Amazon\Amazon.it.url"
"C:\Users\Default\Favorites\Amazon\Amazon.fr.url"
"C:\Users\Default\Favorites\Amazon\Amazon.es.url"
"C:\Users\Default\Favorites\Amazon\Amazon.de.url"
"C:\Users\Default\Favorites\Amazon\Amazon.com.url"
"C:\Users\Default\Favorites\Amazon\Amazon.co.uk.url"
"C:\Users\Default\Favorites\Amazon\Amazon.co.jp.url"
"C:\Users\Default\Favorites\Amazon\Amazon.cn.url"
"C:\Users\Default\Favorites\Amazon\Amazon.ca.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\AmazonBrowserBar.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.it.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.fr.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.es.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.de.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.com.url" 
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.co.uk.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.co.jp.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.cn.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.ca.url"


- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты
Julian223 Новичок

Julian223

Опубликовано
  • Автор
Опубликовано (изменено)

Все что выше сделал, вот лог


и вот 

KLAN-5414048685

Здравствуйте, 

Это сообщение было сгенерировано с помощью автоматической системы реагирования на сообщения. Сообщение содержит сведения о приговорах, которые были возвращены Антивирус в ответ на файлы (если таковые включены в сообщение) с последними установленными обновлениями. 

ZenMate.bat 

Неизвестный файл был получен. Он будет направлен в вирусную лабораторию. 

С наилучшими пожеланиями, Лаборатория Касперского 
 

и да 

O4 - HKCU\..\StartupApproved\StartupFolder: ZenMate.bat (2016/08/31) Я его очень давно устанавливал и забыл удалить... 

AdwCleanerS1.txt

Изменено пользователем Julian223
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • оlег
      "Яндекс" выпустил браузер
      От оlег
      "..."Яндекс.Браузер" обладает "самым минималистичным интерфейсом на рынке", заявил дизайнер "Яндекса" Константин Горский. В верхней части веб-обозревателя, судя по показанным на презентации скриншотам, находятся поисковая строка (при введении запроса она становится желтой), панель вкладок, кнопка "Яндекс" и кнопка "Назад"; прочие элементы управления отсутствуют. ..."
       
      http://www.lenta.ru/news/2012/10/01/yabrowser/
       
      Первую версию браузера (как для Windows, так и для Mac OS X) можно загрузить по этому адресу начиная с 17:00 1 октября.
      http://browser.yandex.ru/?all
    • Камиль Махмутянов
      KIS обнаружил рекламные программы
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • Sapfira
      Безопасный браузер не открывается повторно
      От Sapfira
      В общем, такая ситуация. Открываю, допустим, сбербанк-онлайн через безопасные платежи, в первый раз открывается всё нормально, но если закрыть браузер и попытаться снова открыть, то он уже не открывается (тыкаешь на ссылку в безопасных платежах и ничего не происходит). Помогает выход из системы или перезагрузка компьютера.
      У всех так?
    • Ant666
      Автозапуск браузера
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • jiil
      [РЕШЕНО] Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

×
×
  • Создать...