Рекламный вирус в браузере

[fransua]

Здравствуйте! Сын что то установил и браузер стал постоянно открываться с рекламными вкладками. Даже когда пишу это сообщение уже несколько раз пришлось закрывать страницы с рекламой.

CollectionLog-2017.02.06-09.46.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

youndoo - Uninstall

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\Иван\appdata\local\temp\50-34047-b87-65fa3-11b4ecca7a25c\kcoaroibzt.exe');
 TerminateProcessByName('c:\users\Иван\appdata\local\temp\8f-d75d3-b0f-22681-e77332d7f7bd2\pggcsqodin.exe');
 QuarantineFileF('c:\users\ирина\appdata\roaming\safeweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\Иван\appdata\local\temp\50-34047-b87-65fa3-11b4ecca7a25c\kcoaroibzt.exe', '');
 QuarantineFile('c:\users\Иван\appdata\local\temp\8f-d75d3-b0f-22681-e77332d7f7bd2\pggcsqodin.exe', '');
 QuarantineFile('C:\Users\Ирина\AppData\Roaming\SafeWeb\ml.py', '');
 QuarantineFile('C:\Users\Ирина\AppData\Roaming\SafeWeb\app.py', '');
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true);
 DeleteFile('c:\users\Иван\appdata\local\temp\50-34047-b87-65fa3-11b4ecca7a25c\kcoaroibzt.exe', '32');
 DeleteFile('c:\users\Иван\appdata\local\temp\8f-d75d3-b0f-22681-e77332d7f7bd2\pggcsqodin.exe', '32');
 DeleteFile('C:\Users\Ирина\AppData\Roaming\SafeWeb\ml.py', '32');
 DeleteFile('C:\Users\Ирина\AppData\Roaming\SafeWeb\app.py', '32');
 DeleteFileMask('c:\users\ирина\appdata\roaming\safeweb', '*', true);
 DeleteDirectory('c:\users\ирина\appdata\roaming\safeweb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KCOAROIBZT.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PGGCSQODIN.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[fransua]

Уничтожение вирусов [KLAN-5747213098]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
localconfig.json
uninstall.exe
python.exe
fetch_macholib.bat
kcoaroibzt.exe
ml.py
app.py

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

Отчёт о работе в виде файла ClearLNK-<Дата>.log

ClearLNK-06.02.2017_12-42.log

[Sandor]

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt

Это тоже, пожалуйста.

[fransua]

AdwCleaner[sx].txt.

AdwCleanerS9.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[fransua]

AdwCleaner[Cx].txt.

Вот

AdwCleanerC8.txt

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SafeWeb

TablacusApp

Unity Web Player

WinSnare

Служба автоматического обновления программ

юПоиск

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=818405
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B9AC93880-44B2-439E-9850-1CAB706E11DA%7D&gp=811014
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-01-17]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-01-17]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Иван\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-17]
CHR HomePage: Default -> inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=21071633
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn11.0.3
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Profile: C:\Users\Иван\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-04] <==== ATTENTION
R2 Archer; C:\Program Files\WinArcher\Archer.dll [435200 2017-02-06] () [File not signed]
2017-02-06 13:07 - 2017-02-06 13:08 - 00000000 ____D C:\Program Files\WinArcher
2017-02-06 13:07 - 2017-02-06 13:07 - 00000000 ____D C:\Users\Иван\AppData\Roaming\WinSnare
2017-02-06 13:07 - 2017-02-06 13:07 - 00000000 ____D C:\Program Files\WinSnare(4.0.9)
2017-02-06 12:16 - 2017-02-06 13:07 - 00000000 ____D C:\Program Files\Derrepyvivering_
2017-02-05 10:20 - 2017-02-06 13:07 - 00000000 ____D C:\Program Files\qq42p2tw
2017-02-03 22:21 - 2017-02-04 01:19 - 00000000 ____D C:\Users\Иван\AppData\Roaming\Rerbadomatuvety
2017-02-03 22:21 - 2017-02-03 22:24 - 00000191 _____ C:\Users\Ирина\Desktop\Искать в Интернете.url
2017-02-03 22:21 - 2017-02-03 22:21 - 00000000 ____D C:\Users\Иван\AppData\Local\Arerdukdroderse
2017-02-03 22:19 - 2017-02-06 08:52 - 00000000 ____D C:\Program Files\ZUJV0NX3G6
2017-02-03 22:18 - 2017-02-06 08:48 - 00000000 ____D C:\Program Files\7GJURXAWX0
2017-01-17 19:13 - 2017-01-17 19:13 - 00000190 _____ C:\Users\Вова\Desktop\Искать в Интернете.url
C:\Users\Иван\AppData\Roaming\Rerbadomatuvety\
c:\program files\winarcher\
Task: {3E9328B4-B30E-4CBB-AD29-07147AFEDACE} - System32\Tasks\SafeWeb => C:\Users\Ирина\AppData\Roaming\SafeWeb\python\pythonw.exe
Task: {9E0F4650-0D0D-4E5A-A116-EEC451BB90E0} - System32\Tasks\Bekserikut Log => C:\Program Files\Derrepyvivering\vulit.exe
Task: {E943ABBD-4577-45A0-8A57-A80EC9B4AF60} - System32\Tasks\SafeWeb2 => C:\Users\Ирина\AppData\Roaming\SafeWeb\python\pythonw.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[fransua]

Вот

Fixlog.txt

[Sandor]

Повторите CollectionLog и сообщите что сейчас с проблемой.

[fransua]

Вы мне сказали удалить эти программы

SafeWeb
TablacusApp
Unity Web Player
WinSnare
Служба автоматического обновления программ
юПоиск

 

я их не нахожу (их нет).

На данный момент с браузером все в порядке, но появилась другая проблема. Мой KIS после каждой перезагрузки компьютера обнаруживает по адресу c:\program files\derrepyvivering в этой папке вирусы, но все их удалить не может. После лечения все повторяется снова. Заметил что файлы в папке после перезагрузки появляются снова.

 

CollectionLog-2017.02.06-14.44.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true); 
 TerminateProcessByName('c:\users\3c8a~1\appdata\local\temp\bk2ea3.tmp\p1486380850.exe');
 QuarantineFile('C:\Program Files\Bekserikut Log\local32spl.dll','');
 QuarantineFile('C:\Users\Иван\AppData\Roaming\WinSnare\WinSnare.dll','');
 QuarantineFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','');
 QuarantineFile('C:\Program Files\WinArcher\Archer.dll','');
 QuarantineFile('C:\Users\Иван\AppData\Roaming\Rerbadomatuvety\Adicultthafoge.dll','');
 QuarantineFile('c:\users\3c8a~1\appdata\local\temp\bk2ea3.tmp\p1486380850.exe', '');
 QuarantineFile('C:\Users\3C8A~1\AppData\Local\Temp\lacBBA.tmp\Micr.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 DeleteFile('C:\Users\Иван\AppData\Roaming\Rerbadomatuvety\Adicultthafoge.dll','32');
 DeleteFile('C:\Program Files\WinArcher\Archer.dll','32');
 DeleteFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','32');
 DeleteFile('C:\Users\Иван\AppData\Roaming\WinSnare\WinSnare.dll','32');
 DeleteFile('C:\Program Files\Bekserikut Log\local32spl.dll','32');
 DeleteFile('c:\users\3c8a~1\appdata\local\temp\bk2ea3.tmp\p1486380850.exe', '32');
 DeleteFile('C:\Users\3C8A~1\AppData\Local\Temp\lacBBA.tmp\Micr.dll', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Повторите еще раз лог сканирования AdwCleaner.

[fransua]

При выполнении первого скрипта в 10 винде пишет что произошла ошибка и компьютер перезагружается. Как быть?  

[KLAN-5750278587]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
local32spl.dll

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

[Sandor]

Делайте повторный лог AdwCleaner.

[fransua]

Ни чего не нашел. Сейчас делаю полную проверку.

AdwCleanerS17.txt