Поймал рекламный вирус

[boredom009]

Прошу вашей помощи, т.к. сам уже не в силах что-либо сделать.
Постоянно открывается реклама в браузере chrome и при запуске браузера открывалась начальная страница mail.ru., удалил все расширения в настройках и пропало. Но бывает браузер сам открывается, далее открывается вкладка с рекламой...

CollectionLog-2016.12.12-16.52.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\ghostery storage server', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetCFC" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe', '32');
 DeleteFileMask('c:\program files (x86)\ghostery storage server', '*', true);
 DeleteDirectory('c:\program files (x86)\ghostery storage server');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('Ghostery Storage Server');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[boredom009]

"Вредоносные программы не найдены в файлах: ghstore.exe 
Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней."
[KLAN-5483922480]
 

Отчет

ClearLNK-12.12.2016_18-17.log

Изменено 12 декабря, 2016 пользователем boredom009

[Sandor]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Это тоже, пожалуйста. Сообщите что с проблемой.

[boredom009]

проблема исчезла, спасибо за помощь) 

[Sandor]

В завершение:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[boredom009]

я тут с опозданием, не делал это, но сегодня словил тот же вирус, создам тему, если ещё нужно запустить эту утилиту сделаю.

[boredom009]

Постоянно открывается реклама в браузере chrome и при запуске браузера открывалась начальная страница mail.ru., удалил все расширения в настройках и пропало. Не заметил галочку амиго... могу приложить фото как они его прячут между строк(галка автоматом стоит, говорил по телефону не обратил внимания)

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

CollectionLog-2016.12.27-21.08.zip

[Sandor]

Новую тему не нужно. Соберите свежий CollectionLog и на этот раз постарайтесь довести до конца.

[boredom009]

вот лог

CollectionLog-2016.12.27-21.08.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('schtasks.exe', '/delete /TN "find-mans" /F', 0, 15000, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[boredom009]

ниже лог через шифт кину

готово

ClearLNK-28.12.2016_14-13.log

CollectionLog-2016.12.28-14.25.zip

Изменено 28 декабря, 2016 пользователем boredom009

[Sandor]

На этот раз обязательно:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[boredom009]

вот

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR (64-bit) v.5.00 Внимание! Скачать обновления

7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.28 v.7.28.101 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43085 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 23 ActiveX v.23.0.0.185 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО