вирус казино Вулкан запускает браузер

[БУРАТИНО]

 Заразил систему W-7х64  "ВУЛКАНИЧЕСКИМ" вирусом,  теперь автоматически запускается браузер (Яндекс) и открывает  сайты, клоны казино и др.

Помогите удалить . Дополню, историю заражения не знаю, скорее всего с торента пришло. Студент на новогодних праздниках резвился.

Shortcut.txt

FRST.txt

Addition.txt

Изменено 10 января, 2017 пользователем БУРАТИНО

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[БУРАТИНО]

Mark D. Pearlstone, я "чайник" в данном вопросе посему направьте мои стопы в правильном направлении..(.антивирус ипользуется касперски фри)

перед сбором логов чистил систему avz4  FRST64  KVRT   qvktl3jk, (доторомвэбом),  не помогло,  автоматически запускается браузер (Яндекс) и открывает  сайты, клоны казино и др .Браузер начал зависать "не отвечает".

 

Сбор логов  автологером:

в первом случае перед сбором поставил «галочки»  на проверку дисков С и D.  Эти отчеты помечены индексом( 1).  

1.CollectionLog-2017.01.10-11.24    report1.1  report1.2

 

Во втором случае следовал только подсказкам автологера, отчеты   

 CollectionLog-2017.01.10-11.24    report1  report2

1.CollectionLog-2017.01.10-11.24.zip

report1.1.log

report1.2.log

CollectionLog-2017.01.10-11.30.zip

report1.log

report2.log

Изменено 10 января, 2017 пользователем БУРАТИНО

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
 StopService('Ghostery Storage Server');
 QuarantineFileF('c:\program files (x86)\ghostery storage server', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "perisbritneybig" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files (x86)\ghostery storage server', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\ghostery storage server');
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
 DeleteService('Ghostery Storage Server');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Никаких дополнительных галочек не ставьте.

[БУРАТИНО]

Sandor доброго вечера,

О наличии/отсутствии проблем сообщу чуть позже, логи прикрепляю:

...и ответ 

[KLAN-5638368471]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:

ghstore.exe

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

CollectionLog-2017.01.10-20.43.zip

report1.log

report2.log

[Sandor]

В логах порядок. Если проблема решена:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[БУРАТИНО]

 Sandor доброй ночи,  благодать снизошла на систему  . сейчас выполню ваши рекомендации...спс.

SecurityCheck.txt

Изменено 10 января, 2017 пользователем БУРАТИНО

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Автоматическое обновление отключено

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43085 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО