Сайт с рекламой каждые двадцать минут, удаление файлов из папки

[bennylava]

19.12.16 12:47

Скачал файл с сайта (не помню сам сайт), запустил, установились маил агенты, амиго, иконка ВК появилась на панели быстрого доступа. 
Я быстро всё это потёр через программы и компоненты, затёр оставшиеся файлы различными программами, просканировал систему программой avz4. Вирусов не найдено.

Через двадцать минут пользования гугл хромом стал открываться сайт http://app-news.ru/weigarsm - перенаправляющий на сайт вулкан. 

Мною были предприняты следующие шаги:
1. сканирование системы avz4, kaspersky Virus Removal Tool. Вирусов не обнаружено.

2. Поиск в реестре данных по словам app-news.ru app-news weigarsm. Ничего не найдено.
3. Собрал логи программой AutoLogginer, прикрепляю ниже.

Спустя день.

 

Файлы в одной из папок были удалены. Там располагались различные нестандартные программы по типу avz4, daemon tools, photoshop, плееры для музыки, записи экрана, отслеживание температуры процессора/видеокарты. И было несколько элементов видеоряда. Папка была полностью вычищена кроме программы puuush.exe - для screenshot Экрана.  Однофайловая программа.

Вернуть данные в папку не получилось. Точки восстановления файлы не вернули. 

Сам заражённый файл имеется. Могу предоставить для ознакомления.

CollectionLog-2016.12.20-16.34.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Windows\system32\tasks\{AB4F75DA-50E1-4AD2-B1D6-5E2DE35EA6BD}', '');
 QuarantineFile('C:\Windows\system32\tasks\InternetEB', '');
 QuarantineFile('C:\Users\buooonee\AppData\Local\Temp\{830A008B-46B7-44AF-9231-657B58345E0E}.cmd', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу sandor<at>avp.su (<at> замените на @) Изменено 20 декабря, 2016 пользователем Sandor

[bennylava]

Скрипт был выполнен.

 

"Пофиксить" в приложении HiJackThis 2.0.6 не получилось из-за отсутствия данной строки (04-32) 

 

Логи повторил по правилам. Запустил AutoLogger, затем запустил приложение RSIT, т.к. автоматически не запустилось.

 

Всё было проделано по инструкции. Если чего-то не хватает, следовательно, нужные приложения не запускаются автоматически.

После обновления chrome (скачал - установил поверх прошлой установки) вирусный сайт больше не появляется. Но самовольное удаление приложений из папки и то, что причина перехода на вирусный

 

сайт не была найдена, боюсь, что проблема была решена лишь поверхностно, а сам вирус притаился в глубине системы. 

CollectionLog-2016.12.20-16.34.zip

Изменено 20 декабря, 2016 пользователем bennylava

[Sandor]

Скрипт был выполнен

Жаль, это я поторопился))

 

Всё было проделано по инструкции

Вы прикрепили прежний лог, сделайте его еще раз. (Или прикрепите свежий)

[bennylava]

Извиняюсь, не из той папки прикрепил.

 

Этот подойдёт? Сделан до скрипта:
 

 

 

begin
QuarantineFile('C:\Windows\system32\tasks\{AB4F75DA-50E1-4AD2-B1D6-5E2DE35EA6BD}', '');
QuarantineFile('C:\Windows\system32\tasks\InternetEB', '');
QuarantineFile('C:\Users\buooonee\AppData\Local\Temp\{830A008B-46B7-44AF-9231-657B58345E0E}.cmd', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

 

Quarantine.7z отправил по адресу sandor<at>avp.su

CollectionLog-2016.12.20-17.15.zip

Изменено 20 декабря, 2016 пользователем bennylava

[Sandor]

Сайт с рекламой каждые двадцать минут

Что сейчас с этим?

[bennylava]

Не появляется. Пропал после установки Chrome поверх старой установки. 

Боюсь, что остаточные файлы от вируса могли остаться. 

Файлы то в папке явно не из-за рекламы в браузере удалились. При чём на следующий день. 

Можно это как-то проверить? Удаление программ из папки.

Изменено 20 декабря, 2016 пользователем bennylava

[Sandor]

Пропал после установки Chrome поверх старой установки

Рискну все же предположить, что пропал после выполнения скрипта

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[bennylava]

Прикрепляю архив с тремя файлами.

Scan.7z

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-12-19 12:49 - 2016-12-19 12:50 - 00000000 ____D C:\Users\buooonee\AppData\Local\Amigo
2016-12-19 12:48 - 2016-12-19 12:48 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2016-12-19 12:48 - 2016-12-19 12:48 - 00000000 ____D C:\ProgramData\Mail.Ru
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[bennylava]

Что можно сказать теперь?

Fixlog.txt

[Sandor]

По отчету видно, что фикс выполнился успешно. Почему была удалена вышеуказанная папка с файлами - сказать сложно. Не думаю, что это результат вредоносной программы.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[bennylava]

Прикрепляю лог.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

LibreOffice 5.2.1.2 v.5.2.1.2 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.29 v.7.29.102 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43085 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО