Вирус открывает рекламу

[RomaGomzar]

Здраствуйте.

Около месяца назад как-то поймал вирус, который с периодичностью 3-10 минут открывает вкладки с разными сайтами и рекламой. Когда пытаюсь найти что-то в поисковике гугла перенаправляет в поисковик snapdo или amisites.

Прошу вашей помощи ибо не понимаю как исправить проблему, вроде ничего подозрительного не качал, т.к. компьютеру только месяц.

CollectionLog-2016.12.30-04.27.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

amuleC

DPower version 1.0

hd task

IconRunner version 1.0

My Web Shield

Unity Web Player

Video and Audio Plugin UBar

YAC(Yet Another Cleaner!)

Youtube AdBlock

Zaxar Games Browser 4

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Program Files (x86)\DPower\5VRFD8.exe');
 TerminateProcessByName('C:\Windows\Temp\DPTF\esif_assist_64.exe');
 TerminateProcessByName('c:\program files (x86)\d181bb77-1482795925-6047-9c38-306f7827f6b1\kns132b.tmp');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 StopService('buqobosu');
 StopService('wfpgameprotect');
 QuarantineFileF('c:\program files (x86)\dpower', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\asus\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\DPower\5VRFD8.exe', '');
 QuarantineFile('c:\program files (x86)\d181bb77-1482795925-6047-9c38-306f7827f6b1\kns132b.tmp', '');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe', '');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe', '');
 QuarantineFile('C:\Users\ASUS\AppData\Local\Temp\4CBC.tmp.sys', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Users\ASUS\appdata\local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\ASUS\appdata\local\searchgo\searchgo.exe', '');
 QuarantineFile('C:\Users\ASUS\appdata\roaming\adobe\manager.exe', '');
 QuarantineFile('C:\Users\ASUS\appdata\roaming\mydesktop\linkme.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VCore" /F', 0, 15000, true);
 DeleteFile('C:\Users\ASUS\appdata\roaming\mydesktop\linkme.exe');
 DeleteFile('C:\Users\ASUS\appdata\roaming\adobe\manager.exe');
 DeleteFile('C:\Program Files (x86)\DPower\5VRFD8.exe', '32');
 DeleteFile('c:\program files (x86)\d181bb77-1482795925-6047-9c38-306f7827f6b1\kns132b.tmp', '32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe', '32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe', '32');
 DeleteFile('C:\Users\ASUS\AppData\Local\Temp\4CBC.tmp.sys', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Users\ASUS\appdata\local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\ASUS\appdata\local\searchgo\searchgo.exe', '32');
 DeleteFileMask('c:\program files (x86)\dpower', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\users\asus\appdata\local\fupdate', '*', true);
 DeleteDirectory('c:\program files (x86)\dpower');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\users\asus\appdata\local\fupdate');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IconRunner');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OMEWPRODUCT_L6Q76');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\ucdrv', 'Start', 2);
 DeleteService('buqobosu');
 DeleteService('wfpgameprotect');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[chinvladi]

KLAN-5589801315

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

 

Антивирус Касперского проверил файлы.

 

Вредоносные программы не найдены в файлах:

quarantine.zip

 

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com"

[Sandor]

Следующие два лога, пожалуйста.

[chinvladi]

KLAN-5590423208

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
Check_Browsers_LNK.log

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

------------------------------

--------------------------------------------------
From: 
Sent: 12/30/2016 11:33:00 PM
To: newvirus@kaspersky.com
Subject:

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.
 

KLAN-5590423099

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
ClearLNK-30.12.2016_23-30.log

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

но вкладки с рекламой все равно продолжают открываться! :help: :eyes:

[RomaGomzar]

Почистил с помощью Revo Uninstaller и панели управления.
При открытии браузера теперь открывает какой-то index поисковик.
Реклама теперь начала появляться в правой части экрана даже при выключеном браузере и постоянно предлагает установить какой-то users

AdwCleanerS0.txt

ClearLNK-31.12.2016_04-07.log

Изменено 31 декабря, 2016 пользователем RomaGomzar

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[RomaGomzar]

Прошу

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR Profile: C:\Users\ASUS\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-30] <==== ATTENTION
CHR Extension: (Fast search) - C:\Users\ASUS\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-22]
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
2017-01-02 05:54 - 2017-01-02 05:55 - 00000000 ____D C:\Users\ASUS\AppData\Roaming\lockhomepage
2017-01-02 05:44 - 2017-01-02 05:55 - 00000000 ____D C:\Users\ASUS\AppData\Roaming\Ludashi
2016-12-23 02:18 - 2016-12-23 02:18 - 00097008 _____ (电脑管家) C:\WINDOWS\system32\Drivers\TFsFltX64_ev.sys
2016-12-22 02:10 - 2016-12-23 02:04 - 07316480 _____ C:\Users\ASUS\AppData\Roaming\agent.dat
2016-12-22 02:10 - 2016-12-23 02:04 - 00126464 _____ C:\Users\ASUS\AppData\Roaming\noah.dat
2016-12-22 02:10 - 2016-12-23 02:04 - 00070704 _____ C:\Users\ASUS\AppData\Roaming\Config.xml
2016-12-22 02:10 - 2016-12-23 02:04 - 00018432 _____ C:\Users\ASUS\AppData\Roaming\Main.dat
2016-12-22 02:10 - 2016-12-23 02:04 - 00005568 _____ C:\Users\ASUS\AppData\Roaming\md.xml
2016-12-22 01:13 - 2016-12-22 01:13 - 00000000 ____D C:\Users\Все пользователи\SuperBoost
2016-12-22 01:13 - 2016-12-22 01:13 - 00000000 ____D C:\Users\ASUS\AppData\Roaming\ProductData
2016-12-22 01:13 - 2016-12-22 01:13 - 00000000 ____D C:\ProgramData\SuperBoost
2016-12-22 01:13 - 2016-03-25 14:33 - 00128288 _____ (IObit) C:\WINDOWS\system32\IObitSmartDefragExtension.dll
2016-12-22 01:13 - 2016-03-22 11:02 - 00036824 _____ (IObit) C:\WINDOWS\system32\SmartDefragBootTime.exe
2016-12-22 01:11 - 2016-12-22 01:49 - 00000000 ____D C:\Program Files (x86)\SuperBoost
2016-12-22 01:11 - 2016-12-22 01:11 - 00000000 ____D C:\Users\ASUS\AppData\Roaming\SuperBoost
2016-12-22 01:06 - 2016-12-22 01:06 - 00000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled
2016-12-22 00:43 - 2016-12-29 12:06 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-12-22 00:43 - 2016-12-29 12:06 - 00000000 ____D C:\ProgramData\ProductData
2016-12-22 00:43 - 2016-12-22 01:10 - 00000000 ____D C:\Users\ASUS\AppData\Roaming\IObit
2016-12-22 00:43 - 2016-12-22 01:09 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-12-22 00:43 - 2016-12-22 01:09 - 00000000 ____D C:\ProgramData\IObit
2016-12-22 00:43 - 2016-12-22 01:06 - 00000000 ____D C:\Users\ASUS\AppData\LocalLow\IObit
2016-12-22 00:43 - 2016-12-22 00:43 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
2016-12-22 00:43 - 2016-12-22 00:43 - 00000000 ____D C:\WINDOWS\IObit
2016-12-22 00:41 - 2016-12-22 02:21 - 00000000 ____D C:\Users\ASUS\AppData\Roaming\bestsalesprofit
2016-12-22 00:40 - 2016-12-22 02:04 - 00000000 ____D C:\Users\Все пользователи\Package Cache
2016-12-22 00:40 - 2016-12-22 02:04 - 00000000 ____D C:\ProgramData\Package Cache
2016-12-22 00:40 - 2016-12-22 00:40 - 00000000 ____D C:\Program Files (x86)\filter
Task: {1792B892-0532-49CC-8AEC-A594D5FD642D} - \UCBrowserUpdater -> No File <==== ATTENTION
Task: {1B4102C2-CC28-471C-A2DE-C3DCA7024A5C} - System32\Tasks\{EF25E38A-3C6E-42C2-8334-FF5C7625BD36} => pcalua.exe -a "C:\Program Files (x86)\LuDaShi\LuDaShi\uninst.exe"
Task: {8925E962-04D4-40F0-B262-E3CBE8A61C13} - \UCBrowserSecureUpdater -> No File <==== ATTENTION
Task: {C0ACDF36-2F58-43BD-A031-682BD18EC48A} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\ASUS\AppData\Roaming\Adobe\Manager.exe
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [23652]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1479458]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1205026]
FirewallRules: [{C0148327-EBDE-45E9-ACEF-B41F7464E797}] => C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe
FirewallRules: [{4DBDA7F6-150E-4EDD-BE5F-C7523BAD6205}] => C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe
FirewallRules: [{AAB3157A-9B0B-47F2-A19B-742322E53552}] => C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{05F4E1E1-9DED-488E-9A1B-91E0ECC95384}] => C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{98B82ACF-62F4-4BCC-8AA0-FC33BF3643D2}] => C:\Program Files (x86)\LuDaShi\Utils\Down.exe
FirewallRules: [{09064FA7-2011-4868-8237-BC831D61ACEC}] => C:\Program Files (x86)\LuDaShi\Utils\Down.exe
FirewallRules: [{B4EA87BD-C319-484A-B243-2CFC2DFD784B}] => C:\Users\ASUS\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{EF194AE3-17C2-4FEF-B010-D49253F6535B}] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{3F54B757-4925-41CE-97BA-BB59E591BE5F}] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{B501FFE9-89A1-4C18-8730-6FB542694039}] => C:\Program Files (x86)\LuDaShi\Utils\mininews.exe
FirewallRules: [{CB339B64-2B6F-4CE9-8B77-EFA261AF85DF}] => C:\Program Files (x86)\LuDaShi\Utils\mininews.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Сообщите что сейчас с проблемой.

[RomaGomzar]

Реклама больше не вылазит.
Раньше при запуске ПК в диспетчере задач светилась программа, которая предлагала сменить тему рабочего стола нажатием ЛКМ на значок, который вылазил сверху экрана, но уже удалил, вроде)
Спасибо большое вам! С наступающими праздниками.

Fixlog.txt

[Sandor]

Хорошо, в завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[RomaGomzar]

Спасибо за помощь!

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------

Picasa 3 v.3.9.141.259 Данная программа больше не поддерживается разработчиком.

LibreOffice 5.1.4.2 v.5.1.4.2 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43085 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 73 (64-bit) v.8.0.730.2 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 14 Plugin v.14.0.0.125 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Изменено 2 февраля, 2017 пользователем Sandor

[Soft]

Сообщение от модератора Soft

Сообщение выделено в отдельную тему

vloskutov, продолжайте лечение в своей теме.

[RomaGomzar]

Добрый день,извините что беспокою помогите пожалуйста вылазят сайти  https://www.favorit.com.ua/static/media/promo/promo22/index.htmlі так дальше кажние  пол часа помогите решить проблему