Рекламный вирус в браузере.

27 ноября, 2016

После установки одной программы, возможно забыл убрать галочку с рекламы (как обычно - амиго и т.д) но после удаления всех рекламных вирусов появилась новая проблема. Теперь кидает на разные сайты с казином... Даже когда браузер закрыт он все равно открывает казино... Происходит это раз в 15 минут так что без понятия что делать... Касперский не видит угроз. Помогите пожалуйста.

CollectionLog-2016.11.27-21.24.zip

Изменено 28 ноября, 2016 пользователем Julian223

27 ноября, 2016

Здравствуйте,

Знакома ли Вам?

O4 - HKCU\..\StartupApproved\StartupFolder: ZenMate.bat (2016/08/31)

HiJackThis профиксить

O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [D964260F-1332-4A22-A1D4-3072F4E6AF71] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe" --getupdate-ppapi-plugin
O4-32 - HKLM\..\Policies\Explorer\Run: [D964260F-1332-4A22-A1D4-3072F4E6AF71] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe" --getupdate-ppapi-plugin
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) (HKLM)
O9 - Extra button: (no name) - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - (no file) (HKLM)
O9 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) (HKLM)
O9-32 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) (HKLM)
O9-32 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) (HKLM)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('Ghostery Storage Server');
 DeleteService('Ghostery Storage Server');
 QuarantineFile('C:\Users\User\AppData\Roaming\SyManager\updater\python\pythonw.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZenMate.bat','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\53A9D70F4CD59E4A4672F20230BCDF7A\B309FE6ED9184D29439173E4D0A57162.exe','');
 QuarantineFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "SyManager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AD964260F-1332-4A22-A1D4-3072F4E6AF71" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A571620D4E37193492D4819DE6B309FESB" /F', 0, 15000, true);  
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAE" /F', 0, 15000, true);  
 DeleteFile('C:\Users\User\AppData\Roaming\SyManager\updater\python\pythonw.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\53A9D70F4CD59E4A4672F20230BCDF7A\B309FE6ED9184D29439173E4D0A57162.exe','32');
 DeleteFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','D964260F-1332-4A22-A1D4-3072F4E6AF71');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Удалите следующее, если Вам не знакома или сами не прописывали:

"C:\Users\User\Favorites\Links\Яндекс.url"
"C:\Users\User\Favorites\Links\Авиабилеты.url"
"C:\Users\User\Favorites\Amazon\AmazonBrowserBar.url"
"C:\Users\User\Favorites\Amazon\Amazon.it.url"
"C:\Users\User\Favorites\Amazon\Amazon.fr.url"
"C:\Users\User\Favorites\Amazon\Amazon.es.url"
"C:\Users\User\Favorites\Amazon\Amazon.de.url"
"C:\Users\User\Favorites\Amazon\Amazon.com.url"
"C:\Users\User\Favorites\Amazon\Amazon.co.uk.url"
"C:\Users\User\Favorites\Amazon\Amazon.co.jp.url"
"C:\Users\User\Favorites\Amazon\Amazon.cn.url"
"C:\Users\User\Favorites\Amazon\Amazon.ca.url"
"C:\Users\Default\Favorites\Amazon\AmazonBrowserBar.url"
"C:\Users\Default\Favorites\Amazon\Amazon.it.url"
"C:\Users\Default\Favorites\Amazon\Amazon.fr.url"
"C:\Users\Default\Favorites\Amazon\Amazon.es.url"
"C:\Users\Default\Favorites\Amazon\Amazon.de.url"
"C:\Users\Default\Favorites\Amazon\Amazon.com.url"
"C:\Users\Default\Favorites\Amazon\Amazon.co.uk.url"
"C:\Users\Default\Favorites\Amazon\Amazon.co.jp.url"
"C:\Users\Default\Favorites\Amazon\Amazon.cn.url"
"C:\Users\Default\Favorites\Amazon\Amazon.ca.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\AmazonBrowserBar.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.it.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.fr.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.es.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.de.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.com.url" 
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.co.uk.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.co.jp.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.cn.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.ca.url"

- Подготовьте лог AdwCleaner и приложите его в теме.

28 ноября, 2016

Все что выше сделал, вот лог

и вот

KLAN-5414048685

Здравствуйте,

Это сообщение было сгенерировано с помощью автоматической системы реагирования на сообщения. Сообщение содержит сведения о приговорах, которые были возвращены Антивирус в ответ на файлы (если таковые включены в сообщение) с последними установленными обновлениями.

ZenMate.bat

Неизвестный файл был получен. Он будет направлен в вирусную лабораторию.

С наилучшими пожеланиями, Лаборатория Касперского

и да

O4 - HKCU\..\StartupApproved\StartupFolder: ZenMate.bat (2016/08/31) Я его очень давно устанавливал и забыл удалить...

AdwCleanerS1.txt

Изменено 28 ноября, 2016 пользователем Julian223

28 ноября, 2016

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Рекламный вирус в браузере.

Рекомендуемые сообщения

Julian223

Ссылка на комментарий

Поделиться на другие сайты

SQ

Ссылка на комментарий

Поделиться на другие сайты

Julian223

Ссылка на комментарий

Поделиться на другие сайты

SQ

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum