Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Рекламный вирус в браузере.

Julian223

Автор Julian223
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Julian223

Julian223

Опубликовано
Опубликовано (изменено)

После установки одной программы, возможно забыл убрать галочку с рекламы (как обычно - амиго и т.д) но после удаления всех рекламных вирусов появилась новая проблема. Теперь кидает на разные сайты с казином... Даже когда браузер закрыт он все равно открывает казино... Происходит это раз в 15 минут так что без понятия что делать... Касперский не видит угроз. Помогите пожалуйста.

CollectionLog-2016.11.27-21.24.zip

Изменено пользователем Julian223
Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

Знакома ли Вам?

O4 - HKCU\..\StartupApproved\StartupFolder: ZenMate.bat (2016/08/31)

HiJackThis профиксить

O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [D964260F-1332-4A22-A1D4-3072F4E6AF71] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe" --getupdate-ppapi-plugin
O4-32 - HKLM\..\Policies\Explorer\Run: [D964260F-1332-4A22-A1D4-3072F4E6AF71] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe" --getupdate-ppapi-plugin
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) (HKLM)
O9 - Extra button: (no name) - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - (no file) (HKLM)
O9 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) (HKLM)
O9-32 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) (HKLM)
O9-32 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) (HKLM)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('Ghostery Storage Server');
 DeleteService('Ghostery Storage Server');
 QuarantineFile('C:\Users\User\AppData\Roaming\SyManager\updater\python\pythonw.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZenMate.bat','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\53A9D70F4CD59E4A4672F20230BCDF7A\B309FE6ED9184D29439173E4D0A57162.exe','');
 QuarantineFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "SyManager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AD964260F-1332-4A22-A1D4-3072F4E6AF71" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A571620D4E37193492D4819DE6B309FESB" /F', 0, 15000, true);  
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAE" /F', 0, 15000, true);  
 DeleteFile('C:\Users\User\AppData\Roaming\SyManager\updater\python\pythonw.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\53A9D70F4CD59E4A4672F20230BCDF7A\B309FE6ED9184D29439173E4D0A57162.exe','32');
 DeleteFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\1646F863-A980-4677-BC4F-67DDC0188047.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','D964260F-1332-4A22-A1D4-3072F4E6AF71');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Удалите следующее, если Вам не знакома или сами не прописывали:

"C:\Users\User\Favorites\Links\Яндекс.url"
"C:\Users\User\Favorites\Links\Авиабилеты.url"
"C:\Users\User\Favorites\Amazon\AmazonBrowserBar.url"
"C:\Users\User\Favorites\Amazon\Amazon.it.url"
"C:\Users\User\Favorites\Amazon\Amazon.fr.url"
"C:\Users\User\Favorites\Amazon\Amazon.es.url"
"C:\Users\User\Favorites\Amazon\Amazon.de.url"
"C:\Users\User\Favorites\Amazon\Amazon.com.url"
"C:\Users\User\Favorites\Amazon\Amazon.co.uk.url"
"C:\Users\User\Favorites\Amazon\Amazon.co.jp.url"
"C:\Users\User\Favorites\Amazon\Amazon.cn.url"
"C:\Users\User\Favorites\Amazon\Amazon.ca.url"
"C:\Users\Default\Favorites\Amazon\AmazonBrowserBar.url"
"C:\Users\Default\Favorites\Amazon\Amazon.it.url"
"C:\Users\Default\Favorites\Amazon\Amazon.fr.url"
"C:\Users\Default\Favorites\Amazon\Amazon.es.url"
"C:\Users\Default\Favorites\Amazon\Amazon.de.url"
"C:\Users\Default\Favorites\Amazon\Amazon.com.url"
"C:\Users\Default\Favorites\Amazon\Amazon.co.uk.url"
"C:\Users\Default\Favorites\Amazon\Amazon.co.jp.url"
"C:\Users\Default\Favorites\Amazon\Amazon.cn.url"
"C:\Users\Default\Favorites\Amazon\Amazon.ca.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\AmazonBrowserBar.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.it.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.fr.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.es.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.de.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.com.url" 
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.co.uk.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.co.jp.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.cn.url"
"C:\Users\DefaultAppPool\Favorites\Amazon\Amazon.ca.url"


- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты
Julian223

Julian223

Опубликовано
  • Автор
Опубликовано (изменено)

Все что выше сделал, вот лог


и вот 

KLAN-5414048685

Здравствуйте, 

Это сообщение было сгенерировано с помощью автоматической системы реагирования на сообщения. Сообщение содержит сведения о приговорах, которые были возвращены Антивирус в ответ на файлы (если таковые включены в сообщение) с последними установленными обновлениями. 

ZenMate.bat 

Неизвестный файл был получен. Он будет направлен в вирусную лабораторию. 

С наилучшими пожеланиями, Лаборатория Касперского 
 

и да 

O4 - HKCU\..\StartupApproved\StartupFolder: ZenMate.bat (2016/08/31) Я его очень давно устанавливал и забыл удалить... 

AdwCleanerS1.txt

Изменено пользователем Julian223
Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • rancol347
      [РЕШЕНО] Появляются рекламные вирусы по мнению КВРТ в файлах расширений для хрома и называются bg.js. Хром не использую
      Автор rancol347
      Иногда проверяю компьютер КВРТ и он выдал 2 рекламных вируса/расширения. После лечения с перезагрузкой всё вроде нормально, но если через 2-3 дня проверить снова появляется 1-2 расширения (not-a-virus:HEUR:AdWare.js.extredirect.gen и ещё какой-то, но по названию самый обычный адварь). И могу ли запустить автологгер вместе с защитником виндовс? (я не понял как выгрузить) и компьютер теоретически должен выдержать.
    • PiGeMa
      Не открывается защищенный режим браузера Firefox
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
    • Jacket45
      При запуске компьютера и браузера самостоятельно скачивается ablock
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
    • moretti
      вирус не даёт снести Винду и закрывает вкладки с антивирусом в браузере
      Автор moretti
      начал замечать что ФПС в играх упал и просто комп стал работать не так как раньше очень насторожило решил проверить антивирусом но скачать не смог так как просто напросто выбрасывало с браузера, далее хотел по простому снести Винду но и тут ничего не вышло. помогитеее
×
×
  • Создать...