как вы хотите открывать ссылки такого типа (http)

[Рома Мустафинъ]

Доброго времени суток. Примерно каждые 20-30 минут всплывает вирусное окно поверх других окон. Очень надеюсь на вашу помощь.

CollectionLog-2016.12.28-20.57.zip

[SQ]

Здравствуйте,


HiJackThis (из каталога автологгера) профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfE-_K-Nksx9goQTxiEZcVKQya4a___PVS3XFJ-q41S0Nehvz3-6jryOOL2zCF-E-Kbq7z3UYS1xJIOUaiOii-Dve5DZOuac4Z66S_jNTg3ybMFVV_K70AiKhv57VmMzBzV8nWwMZ9QVr2LQ,,&q={
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfE-_K-Nksx9goQTxiEZcVKQya4a___PVS3XFJ-q41S0Nehvz3-6jryOOL2zCF-E-Kbq7z3UYS1xJIOUaiOii-Dve5DZOuac4Z66S_jNTg3ybMFVV_K70AiKhv57VmMzBzV8nWwMZ9QVr2LQ,,&q={searchTerms}
O22 - ScheduledTask: (Ready) FreeVPN - \Microsoft\Windows\SystemRestore - C:\Users\Roman\AppData\Roaming\FreeVPN\FreeVPN.exe 604C4206-B430-43E1-A102-8BF11249AEC2 (file missing)
O22 - ScheduledTask: (Ready) InternetEA - {root} - "C:\Windows\system32\OpenWith.exe" http://puklusi.ru/webarsm

Удалите чледующий ярлык:

"C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser.lnk"

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 StopService('BugreportW');
 StopService('QMUdisk');
 StopService('SRepairDrv');
 StopService('SstrprSrv');
 StopService('TS888x64');
 StopService('TSDefenseBt');
 StopService('TSSysKit');
 DeleteService('BugreportW');
 DeleteService('QMUdisk');
 DeleteService('QQPCRTP');
 DeleteService('QQSysMonX64');
 DeleteService('SstrprSrv');
 DeleteService('TS888x64');
 DeleteService('TSDefenseBt');
 DeleteService('TSSysKit');
 QuarantineFile('C:\Program Files (x86)\hohobnd\ghabuk.exe','');
 QuarantineFile('C:\Program Files (x86)\Sosition\SstrprSrv.exe','');
 QuarantineFile('C:\Program Files (x86)\Sosition\SstrprTsk.exe','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQSysMonX64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TS888x64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TSDefenseBT64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TSSysKit64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv','');
 QuarantineFile('C:\ProgramData\Doubleing\Kaysiltech.dll','');
 QuarantineFileF('C:\ProgramData\Doubleing', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Users\Roman\AppData\Local\PPTAssist\assistupdate.exe','');
 QuarantineFile('C:\Users\Roman\AppData\Local\PPTAssist\notify.exe','');
 QuarantineFile('C:\Users\Roman\AppData\Roaming\FreeVPN\FreeVPN.exe','');
 DeleteFile('C:\Program Files (x86)\hohobnd\ghabuk.exe','32');
 DeleteFile('C:\Program Files (x86)\Sosition\SstrprSrv.exe','32');
 DeleteFile('C:\Program Files (x86)\Sosition\SstrprTsk.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQSysMonX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TS888x64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TSDefenseBT64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TSSysKit64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv','32');
 DeleteFile('C:\ProgramData\Doubleing\Fixit.dll','32');
 DeleteFile('C:\ProgramData\Doubleing\Kaysiltech.dll','32');
 DeleteFile('C:\Users\Roman\AppData\Local\PPTAssist\assistupdate.exe','32');
 DeleteFile('C:\Users\Roman\AppData\Local\PPTAssist\notify.exe','32');
 DeleteFile('C:\Users\Roman\AppData\Roaming\FreeVPN\FreeVPN.exe','32');
 DeleteFileMask('C:\ProgramData\Doubleing', '*', true, ' ');
 DeleteDirectory('C:\ProgramData\Doubleing');
 DeleteFileMask('C:\Users\Roman\AppData\Roaming\FreeVPN', '*', true, ' ');
 DeleteDirectory('C:\Users\Roman\AppData\Roaming\FreeVPN');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetEA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SystemRestore\FreeVPN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PPTAssistantNotifyTask_Roman" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PPTAssistantUpdateTask_Roman" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Sosition Reports" /F', 0, 15000, true);
 DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_Roman.job','32');
 DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_Roman.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.

[Рома Мустафинъ]

KLAN-5583825379

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
Fixit.dll

Программа Riskware, которая может причинить вред вашему устройству, найдена в файлах
Techstrong.exe - not-a-virus:WebToolbar.Win64.Linkury.a
Zumma-Flex.exe - not-a-virus:HEUR:WebToolbar.Win32.Linkury.gen

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

Спасибо большое, все вернулось в норму.

AdwCleanerS1.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.