Перейти к содержанию

Плагин браузера Fast Search с рекламой


Рекомендуемые сообщения

Здравствуйте,

здесь уже был подобная тема:

https://forum.kasperskyclub.ru/index.php?showtopic=53326

 

как удалить этот вирус в нашей ситуации, какие логи нужны?

Проверял весь комп утилитой касперского virus removal tool, нашли 2 вредоноса, удалили, после перезагрузки все вернулось.

 

Краткое описание из ссылки выше:

"Вирус добавляет рекламу в открываемые страницы, спонтанно открывает новые страницы с рекламой, подменяет стартовую страницу и поисковую систему в Chome, IE и Firefox. Плагин можно удалить, но он снова появляется при запуске браузера."

Ссылка на сообщение
Поделиться на другие сайты
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe');
 QuarantineFile('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe','');
  QuarantineFile('C:\ProgramData\Utatity\* ',' ');
  DeleteFileMask('C:\ProgramData\Utatity\ ','* ', true,' ');
  DeleteDirectory('C:\ProgramData\Utatity\ ',' ');
 DeleteFile('C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TablacusApp');
  DelAutorunByFileName('C:\ProgramData\Utatity\Danlux.dll');
 DelAutorunByFileName('C:\ProgramData\Utatity\Hottam.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [TablacusApp] "C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe"
O20 - AppInit_DLLs: C:\ProgramData\Utatity\Hottam.dll
O20-32 - AppInit_DLLs: C:\ProgramData\Utatity\Danlux.dll

 
Сделайте новые логи по правилам (только пункт 2).
+ лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

Ссылка на сообщение
Поделиться на другие сайты

Результат от касперского:

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
tablacusapp.exe
ConDonfax.bin
conf.config
Config.xml
Dong-Lax.dat
Gravelight.exe.config
md.xml
Runtax.bin
TampRannix.bin
uninstall.dat
Utatity.d.dat
Zoneity.bin

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

В HijackThis этих строк не нашел.


 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe');
 QuarantineFile('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe','');
  QuarantineFile('C:\ProgramData\Utatity\* ',' ');
  DeleteFileMask('C:\ProgramData\Utatity\ ','* ', true,' ');
  DeleteDirectory('C:\ProgramData\Utatity\ ',' ');
 DeleteFile('C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TablacusApp');
  DelAutorunByFileName('C:\ProgramData\Utatity\Danlux.dll');
 DelAutorunByFileName('C:\ProgramData\Utatity\Hottam.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [TablacusApp] "C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe"
O20 - AppInit_DLLs: C:\ProgramData\Utatity\Hottam.dll
O20-32 - AppInit_DLLs: C:\ProgramData\Utatity\Danlux.dll

 
Сделайте новые логи по правилам (только пункт 2).
+ лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158

 

CollectionLog-2017.01.22-17.33.zip

AdwCleanerS1.txt

Ссылка на сообщение
Поделиться на другие сайты

удалите все найденное в AdwCleaner
(можете оставить Mail.ru)
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160
новый лог приложите

Изменено пользователем Roman_Five
Ссылка на сообщение
Поделиться на другие сайты

Пока все так же, плагин сам устанавливается и перенаправляет поисковые запросы. 

удалите все найденное в AdwCleaner
(можете оставить Mail.ru)
http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635160
новый лог приложите

 

AdwCleanerC0.txt

CollectionLog-2017.01.22-18.06.zip

Изменено пользователем Lefard
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Utatitys\ff.NT', '');
 QuarantineFile('C:\ProgramData\Utatitys\ff.HP', '');
 DeleteFile('C:\ProgramData\Utatitys\ff.HP', '32');
 DeleteFile('C:\ProgramData\Utatitys\ff.NT', '32');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-652497229-1462853200-1883719227-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-652497229-1462853200-1883719227-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-652497229-1462853200-1883719227-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Utatitys\ff.NT
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Utatitys\ff.HP
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BF1DFAA9D-CFBD-4413-980F-F8014563A193%7D&gp=811022
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Слава-яна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-01-20]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Слава-яна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-01-16]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Слава-яна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-16]
CHR Extension: (Fast search) - C:\Users\Слава-яна\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-16]
OPR Extension: (Fast search) - C:\Users\Слава-яна\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-16]
2017-01-21 20:47 - 2017-01-21 20:47 - 00000000 ____D C:\Users\Слава-яна\AppData\Local\Tempzxpsignbaa330e23ac3de23
2017-01-21 20:47 - 2017-01-21 20:47 - 00000000 ____D C:\Users\Слава-яна\AppData\Local\Tempzxpsign378d3f505a291383
2016-06-05 16:35 - 2016-06-05 16:35 - 6859776 _____ () C:\Users\Слава-яна\AppData\Roaming\agent.dat
2016-06-05 16:35 - 2016-06-05 16:35 - 0067776 _____ () C:\Users\Слава-яна\AppData\Roaming\Config.xml
2016-06-05 16:34 - 2016-06-05 16:34 - 0011568 _____ () C:\Users\Слава-яна\AppData\Roaming\InstallationConfiguration.xml
2016-06-05 16:34 - 2016-06-05 16:34 - 0128512 _____ () C:\Users\Слава-яна\AppData\Roaming\Installer.dat
2016-06-05 16:35 - 2016-06-05 16:35 - 0005568 _____ () C:\Users\Слава-яна\AppData\Roaming\md.xml
2016-06-05 16:35 - 2016-06-05 16:35 - 0126464 _____ () C:\Users\Слава-яна\AppData\Roaming\noah.dat
2016-06-05 16:35 - 2016-06-05 16:35 - 1756999 _____ () C:\Users\Слава-яна\AppData\Roaming\Zoneanjob.tst
Task: {DEEF8768-0E0B-4359-8DE8-091AE2832063} - \cvc -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
FirewallRules: [{D5D65A6D-6CD9-4E64-911C-6477153D0E96}] => C:\Users\Слава-яна\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Карантин не дошел. Если еще не удалили, выложите на файлообменник, ссылку на скачивание мне в личку.

 

Что с проблемой?

Ссылка на сообщение
Поделиться на другие сайты

Проблема осталась, в опере сам устанавливается fast search и происходит перенаправление поискового запроса на мейл-поисковик...

Изменено пользователем Lefard
Ссылка на сообщение
Поделиться на другие сайты

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine safezone.cc (замените на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Речь шла об этом карантине, а не о результате работы FRST, который следовало прикрепить к сообщению.

 

Проблема осталась, в опере сам устанавливается

Сохраните нужные закладки в Опере и удалите (желательно с зачисткой, например, через Revo Uninstall)

Скачайте и установите заново.

Ссылка на сообщение
Поделиться на другие сайты

Проблема есть не только в Опере, но и в Хроме, Яндекс просто блокирует это расширение, как подозрительное.

После удаления Оперы с помощью Рево Анинстал с зачисткой (выбирал все и удалял), в хроме расширение перестало устанавливаться, т.е. проблема решилась, но как только снова скачал и поставил Оперу снова, проблема вернулась....

quarantine.zip

Изменено пользователем Lefard
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...