Как вы хотите открывать ссылки такого типа (http)?

[Ewgeny]

Добрый день (вечер). Появилось периодически всплывающее окно как в заголовке темы. Вот логи сделанные FRST64 и AutoLoger. Зарание спасибо за помощь.

 

 

CollectionLog-2016.12.28-01.40.zip

FRST64.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetEC" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MS" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Ewgeny]

Добрый день. Произвел все действия. Всплывающие окно пропало. Спасибо. Вот отчеты. 

1. От лаборатории Касперского klan-5579462542

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
libEGL.dll
libGLESV2.dll
libjson.dll
Qt5WebSockets.dll
qtaudio_windows.dll
qsvgicon.dll
jquery-1.7.2.js
dsengine.dll
qtmedia_audioengine.dll
wmfengine.dll
qtmultimedia_m3u.dll
qtposition_positionpoll.dll
windowsprintersupport.dll
qtsensorgestures_plugin.dll
qtsensorgestures_shakeplugin.dll
qsqlmysql.dll
qsqlodbc.dll
qsqlpsql.dll

Программа Riskware, которая может причинить вред вашему устройству, найдена в файлах
Messanger.dll - not-a-virus:Downloader.Win32.ZxrLoader.el
ZaxarGameBrowser.exe - not-a-virus:Downloader.Win32.ZxrLoader.el
ZaxarLoader.exe - not-a-virus:Downloader.Win32.ZxrLoader.el

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

2. Очет ClearLNK

3. Отчет Автологера.

ClearLNK-28.12.2016_21-32.log

CollectionLog-2016.12.29-09.03.zip

[Sandor]

1. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=818408
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:4444;https=127.0.0.1:4445;ftp=127.0.0.1:4444

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Ewgeny]

Пофиксил. Вот лог.

Спасибо.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18098 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 15.12 (x64) v.15.12 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

TeamViewer 9 v.9.0.24951 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.28 v.7.28.101 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43057 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

---------------------------- [ UnwantedApps ] -----------------------------

HaoZip, версия 4.0.1.9380 v.4.0.1.9380 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

MyFreeCodec Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО