Перейти к содержанию

Реклама в Chrome


Arts-Museum

Рекомендуемые сообщения

Добрый день.

На одном из компьютеров периодически самопроизвольно открываются рекламный страницы, прошу помочь.

Заранее спасибо.

CollectionLog-2017.01.16-13.03.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,


HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

O4 - HKU\S-1-5-21-1202660629-1085031214-682003330-3778\..\Run: [QIPApp] "C:\Users\katerina.solomko\AppData\Roaming\QIPApp\QIPApp.exe"
O4 - HKU\S-1-5-21-1202660629-1085031214-682003330-3778\..\Run: [SafeWeb] "C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\python\pythonw.exe" "C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb"
O4 - Startup other users: SafeWeb.lnk    ->    C:\Users\admin\AppData\Roaming\SafeWeb\python\pythonw.exe
O22 - ScheduledTask: (Ready) SafeWeb - {root} - C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb" (file missing)
O22 - ScheduledTask: (Ready) SafeWeb2 - {root} - C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\updater.py" (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('C:\Program Files (x86)\Common Files\iSkysoft\iSkysoft Helper Compact\ISHelper.exe','');
 QuarantineFile('C:\Users\admin\AppData\Roaming\SafeWeb\python\pythonw.exe','');
 QuarantineFile('c:\users\katerina.solomko\appdata\roaming\qipapp\qipapp.exe','');
 QuarantineFile('C:\Users\katerina.solomko\AppData\Roaming\QIPApp\QIPApp.exe','');
 QuarantineFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\ml.py','');
 QuarantineFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\python\pythonw.exe','');
 QuarantineFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\updater.py','');
 DeleteFile('C:\Users\admin\AppData\Roaming\SafeWeb\python\pythonw.exe','32');
 DeleteFile('C:\Users\katerina.solomko\AppData\Roaming\QIPApp\QIPApp.exe','32');
 DeleteFile('c:\users\katerina.solomko\appdata\roaming\qipapp\qipapp.exe','32');
 DeleteFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\ml.py','32');
 DeleteFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\python\pythonw.exe','32');
 DeleteFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\updater.py','32');
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1202660629-1085031214-682003330-3778\Software\Microsoft\Windows\CurrentVersion\Run','QIPApp');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1202660629-1085031214-682003330-3778\Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
 TerminateProcessByName('C:\Users\katerina.solomko\AppData\Roaming\QIPApp\QIPApp.exe');
 TerminateProcessByName('c:\users\katerina.solomko\appdata\roaming\qipapp\qipapp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.
 

Ссылка на комментарий
Поделиться на другие сайты

KLAN-5662928095

Антивирус Касперского проверил файлы.

 

Вредоносные программы не найдены в файлах:

autorun.inf

ISHelper.exe

qipapp.exe

 

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

Спасибо, все выполнил, проблему буду мониторить.

p.s. логи Adwcleaner сделаны немного раньше (до скрипта avz) т.к. сейчас Adwcleaner проблем не находит и новый лог не создает.

AdwCleanerC0.txt

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

Ссылка на комментарий
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    FF HKLM-x32\...\Firefox\Extensions: [ISVCU@iSkysoft.com] - C:\ProgramData\iSkysoft\Video Converter Ultimate\ISVCU@iSkysoft.com => not found
    FF Plugin HKU\S-1-5-21-1202660629-1085031214-682003330-3778: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\katerina.solomko\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [No File]
    CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-09-22]
    CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-07-20]
    C:\Users\user\AppData\Local\Temp\ose00000.exe
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Краб
      От Краб
      Заметил что у каждого браузера есть своя тема, а у Chrome нету.
      Обсуждаем тут
       
    • Bercolitt
      От Bercolitt
      Если попытаться зайти в свой почтовый ящик mail.yandex через аккаунт с неправильным паролем, форма входа в аккаунт начинает быстро моргаться не реагируя на команды управление. Такое впечатление, что идет подбор пароля в автоматическом режиме. После перезагрузки закладки браузера,  учетная запись  ящика  блокируется.
      Если в приложении Kaspersky Password Manager с одним почтовым сервером связаны несколько учетных записей, то выбрать конкретную учетную запись для переходла не получается. Видишь одну учетную запись, а улетает совсем по другой.
    • KL FC Bot
      От KL FC Bot
      Сразу после католического Рождества стало известно о многоэтапной атаке на разработчиков популярных расширений Google Chrome. Самой известной целью по иронии судьбы стало ИБ-расширение от компании Cyberhaven, скомпрометированное прямо перед праздниками (о таких рисках мы предупреждали). По мере расследования инцидента список пополнился как минимум 35 популярными расширениями с суммарным числом установок 2,5 млн копий. Целью злоумышленников является похищение данных из браузеров пользователей, которые установили троянизированные обновления расширений. В ходе данной кампании преступники фокусировались на похищении учетных данных от сервисов Meta* с целью компрометации чужих бизнес-аккаунтов и запуска своей рекламы за чужой счет. Но, в теории, вредоносные расширения позволяют похищать и другие данные из браузера. Рассказываем о том, как устроена атака и какие меры принять для защиты на разных ее этапах.
      Атака на разработчиков: злоупотребление OAuth
      Чтобы внедрить троянскую функциональность в популярные расширения Chrome, преступники разработали оригинальную систему фишинга. Они рассылают разработчикам письма, замаскированные под стандартные оповещения Google о том, что расширение нарушает политики Chrome Web Store и его описание необходимо скорректировать. Текст и верстка сообщения хорошо мимикрируют под типовые аналогичные письма Google, поэтому для жертвы письмо выглядит убедительно. Более того, во многих случаях письмо отправляется с домена, специально зарегистрированного для атаки на конкретное расширение и содержащего название расширения прямо в имени домена.
      Клик по ссылке в письме приводит на легитимную страницу аутентификации Google. Пройдя ее, разработчик видит еще один стандартный экран Google, предлагающий авторизоваться по OAuth в приложении Privacy Policy Extension и в рамках входа в это приложение дать ему определенные права. Эта стандартная процедура проходит на легитимных страницах Google, только приложение Privacy Policy Extension запрашивает права на публикацию расширений в Web Store. Если разработчик дает такое разрешение, то авторы Privacy Policy Extension получают возможность публикации обновлений в Web Store от лица жертвы.
      В данном случае атакующие не крадут пароль и другие реквизиты доступа разработчика, не обходят MFA. Они просто злоупотребляют системой Google по делегированию прав, чтобы выманить у разработчика разрешение на обновление его расширения. Судя по длинному списку зарегистрированных злоумышленниками доменов, они пытались атаковать гораздо больше, чем 35 расширений. В тех случаях, когда атака проходила успешно, они выпускали обновленную версию расширения, добавляя в него два файла, ответственные за кражу куки-файлов и других данных Facebook** (worker.js и content.js).
       
      View the full article
    • ДмитрийКасперскийКлуб
      От ДмитрийКасперскийКлуб
      При запуске ноутбука открывается бразуер с ссылкой на рекламу, так же после перезапуска бывает сворачивается полноэкранное приложение, будто что-то на фоне начинает выполняться на секунду, что сворачивает активное приложение. После анализа CureIt был обнаружен и вылечен троян trojan starter 7691. Подозреваю, что могло начаться после использования zapret-discord-youtube архива (уже удалил его).
      Заранее большое спасибо за помощь!
      CollectionLog-2024.12.16-13.39.zip
    • Neovolt
      От Neovolt
      Поймал майнер от KMS. MWB находит его, и перемещает нонстопом в карантин.
      путь C:\ProgramData\Google\Chrome\updater.exe
      Логи от FRST Прилагаю. Заранее спасибо!
      FRST.zip
×
×
  • Создать...