Вирус. Казино вулкан и т.д.

[alexanderexpert]

Доброго времени суток.

В браузерах (орера, internet explorer) с различной периодичностью автоматически открываются вкладки. Преимущественно реклама казино вулкан,

 

1. Провёл проверку ПК, воспользовавшись:

• Kaspersky Virus Removal Tool 2015;
• Dr.Web CureIt!.

2. Собранные логи

 

 

CollectionLog-2017.01.06-17.00.zip

[SQ]

Здравствуйте,

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
 DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
 TerminateProcessByName('c:\users\user\appdata\roaming\acestream\engine\ace_engine.exe');
 QuarantineFile('C:\Users\User\AppData\Roaming\ACEStream\engine\ace_engine.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\ACEStream\engine\lib\acestreamengine.Core.pyd','');
 QuarantineFile('C:\Users\User\AppData\Roaming\ACEStream\engine\lib\acestreamengine.CoreApp.pyd','');
 QuarantineFile('C:\Users\User\AppData\Roaming\ACEStream\engine\lib\acestreamengine.live.pyd','');
 QuarantineFile('C:\Users\User\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pysegmenter.pyd','');
 QuarantineFile('C:\Users\User\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe','');
 DeleteFile('c:\users\user\appdata\roaming\acestream\engine\ace_engine.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\ACEStream\engine\lib\acestreamengine.Core.pyd','32');
 DeleteFile('C:\Users\User\AppData\Roaming\ACEStream\engine\lib\acestreamengine.CoreApp.pyd','32');
 DeleteFile('C:\Users\User\AppData\Roaming\ACEStream\engine\lib\acestreamengine.live.pyd','32');
 DeleteFile('C:\Users\User\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pysegmenter.pyd','32');
 DeleteFile('C:\Users\User\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceWebExtensionUpdater','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[alexanderexpert]

- Скрипты выполнил.

 

- [KLAN-5624844746]

 

Ответ:

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
ace_engine.exe
acestreamengine.Core.pyd
acestreamengine.CoreApp.pyd
acestreamengine.live.pyd
acestreamengine.pysegmenter.pyd

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
From:
Sent: 1/7/2017 12:34:00 AM
To: newvirus@kaspersky.com
Subject: Запрос на исследование вредоносного файла
Выполняется запрос хэлпера

 

- Лог прикрепил

AdwCleanerS0.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[alexanderexpert]

done!

AdwCleanerC0.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[alexanderexpert]

Сделано

FRST.txt

Addition.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-1120189655-2533202417-4006242300-1000\...\Policies\Explorer: []
  BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
  BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
  FF Extension: (No Name) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\tfy8x2g0.default\extensions\yasearch@yandex.ru.xpi [not found]
  FF Plugin HKU\S-1-5-21-1120189655-2533202417-4006242300-1000: @acestream.net/acestreamplugin,version=3.1.11 -> C:\Users\User\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
  FF Plugin HKU\S-1-5-21-1120189655-2533202417-4006242300-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [No File]
  CHR Extension: (friGate Light - разблокировка сайтов) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdnmhbnbebabimcjggckeoibchhckemm [2016-12-20]
  CHR Extension: (Ace Stream Web Extension) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2016-10-27]
  CHR HKU\S-1-5-21-1120189655-2533202417-4006242300-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-1120189655-2533202417-4006242300-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
  OPR Extension: (Tampermonkey) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-05]
  2016-12-23 10:13 - 2016-12-23 19:34 - 00000000 ____D C:\Program Files (x86)\Ghostery Storage Server
  2014-02-20 22:49 - 2014-02-20 22:49 - 0000000 _____ () C:\Users\User\AppData\Local\{181095ED-369E-48BF-BC73-A42DF33C192D}
  2016-09-15 23:08 - 2016-09-15 23:08 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  CustomCLSID: HKU\S-1-5-21-1120189655-2533202417-4006242300-1000_Classes\CLSID\{3faa4380-a399-11cf-a466-00805fe418f6}\InprocServer32 -> D:\ALEXANDER!!!\studiin``\Автокад\DWG TrueView 2014\en-US\dwgviewrficn.dll => No File
  CustomCLSID: HKU\S-1-5-21-1120189655-2533202417-4006242300-1000_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> D:\ALEXANDER!!!\studiin``\Автокад\DWG TrueView 2014\dwgviewr.exe => No File
  CustomCLSID: HKU\S-1-5-21-1120189655-2533202417-4006242300-1000_Classes\CLSID\{7DE1BE5C-CEBA-4F1D-ACBC-9CE11EE9A2A1}\localserver32 -> D:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation => No File
  CustomCLSID: HKU\S-1-5-21-1120189655-2533202417-4006242300-1000_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> D:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation => No File
  CustomCLSID: HKU\S-1-5-21-1120189655-2533202417-4006242300-1000_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> D:\Program Files\Autodesk\AutoCAD 2014\ru-RU\acadficn.dll => No File
  Task: {38D4EBC3-9E58-4D73-AF27-A8C1E9F664E7} - System32\Tasks\Uninstaller_SkipUac_User => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
  AlternateDataStreams: C:\ProgramData\TEMP:10D14739 [244]
  AlternateDataStreams: C:\ProgramData\TEMP:472FBBAF [150]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 [244]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:472FBBAF [150]
  MSCONFIG\startupreg: AceWebExtensionUpdater =>
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[alexanderexpert]

Сделал

Fixlog.txt

[SQ]

Сообщите, что с проблемой?

[alexanderexpert]

Вкладки казино вулкана и т.д. больше не открываются! Спасибо за помощь!

[SQ]

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Удачи Вам!