Неудаляемый плагин браузера Fast Search с рекламой

9 декабря, 2016

С просторов интернета был скачан файл с "Электронным приложением к учебнику русского языка" для школы. При запуске поставилось некоторое количество игрушек, плагины Мэйл.ру и прочий мусор. Это все было удалено вручную. Осталась проблема с назойливым плагином Fast Search и трояном, детектируемом Защитником Windows при загрузке системы.

Вирус добавляет рекламу в открываемые страницы, спонтанно открывает новые страницы с рекламой, подменяет стартовую страницу и поисковую систему в Chome, IE и Firefox. Плагин можно удалить, но он снова появляется при запуске браузера.

Логи прикрепляю.

CollectionLog-2016.12.09-09.35.zip

Изменено 9 декабря, 2016 пользователем Aduk

9 декабря, 2016

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('D:\programs\lazarus\lazarus.exe','');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\swEXT\ml.py','');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\SafeWeb\ml.py','');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\SafeWeb\python\pythonw.exe','');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\PBot\ml.py','');
 ExecuteFile('schtasks.exe', '/delete /TN "PBot" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PBot2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "swEXT" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "swEXT2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{89482DDD-4056-474F-90C4-A92773D5AFC5}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{F6C4BB89-A222-4A84-BEE3-767FF6E77699}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Андрей\AppData\Roaming\PBot\ml.py','32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\SafeWeb\python\pythonw.exe','32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\SafeWeb\ml.py','32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\swEXT\ml.py','32');
 DeleteFile('D:\programs\lazarus\lazarus.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','swEXT');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

9 декабря, 2016

Ответ:
Re: quarantine.zip [KLAN-5472271061]
...
No malware detected in files:
lazarus.exe

-----------

AdwCleaner запустил, отчет прикрепляю.

Пока все по-прежнему. Плагин в Хроме восстанавливается при запуске браузера, троян Win32/AgentBypass.gen!G ловится после каждой перезагрузки.

AdwCleanerS0.txt

10 декабря, 2016

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

11 декабря, 2016

Готово.

11 декабря, 2016

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
Startup: C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PBot.lnk [2016-12-07]
ShortcutTarget: PBot.lnk -> C:\Users\Андрей\AppData\Roaming\PBot\python\pythonw.exe (No File)
Startup: C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SafeWeb.lnk [2016-12-07]
ShortcutTarget: SafeWeb.lnk -> C:\Users\Андрей\AppData\Roaming\SafeWeb\python\pythonw.exe (No File)
Startup: C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\swEXT.lnk [2016-12-07]
ShortcutTarget: swEXT.lnk -> C:\Users\Андрей\AppData\Roaming\swEXT\python\pythonw.exe ()
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-841106915-3809750941-2404185512-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B6CC55739-2985-4755-B029-8DE94560AE7B%7D&gp=820332
CHR Extension: (No Name) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\alelhddbbhepgpmgidjdcjakblofbmce [2015-04-28]
CHR Extension: (Fast search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-09]
CHR Extension: (Fast search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-07]
CHR Extension: (Fast search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-09]
CHR Extension: (Fast search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-09]
CHR Extension: (Fast search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-07]
OPR Extension: (Fast search) - C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-07]
2016-12-09 22:49 - 2016-12-09 22:49 - 00000001 _RHOT C:\Users\Андрей\AppData\Roaming\PBot
2016-12-07 22:11 - 2016-12-07 22:40 - 00000000 ____D C:\Users\Андрей\AppData\Roaming\swEXT
2016-12-07 22:11 - 2016-12-07 22:11 - 04200395 _____ C:\Users\Андрей\AppData\Roaming\swEXT.exe
2016-12-07 22:11 - 2016-12-07 22:11 - 00000040 _____ C:\Users\Андрей\AppData\Roaming\swEXT.exe.sha1
AlternateDataStreams: C:\Users\Андрей\Desktop\1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\Андрей\Desktop\1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Андрей\Desktop\11.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\Андрей\Desktop\11.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Андрей\Desktop\детектив хагел.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\Андрей\Desktop\детектив хагел.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Андрей\Desktop\зоя.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\Андрей\Desktop\зоя.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Андрей\Desktop\Шерилконец.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\Андрей\Desktop\Шерилконец.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

12 декабря, 2016

Готово.

Все чисто, спасибо!

Fixlog.txt

12 декабря, 2016

В завершение:

1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

12 декабря, 2016

Готово

SecurityCheck.txt

12 декабря, 2016

--------------------------- [ OtherUtilities ] ----------------------------

Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

---------------------------- [ UnwantedApps ] -----------------------------

Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Неудаляемый плагин браузера Fast Search с рекламой

Рекомендуемые сообщения

Aduk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Aduk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Aduk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Aduk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Aduk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum