adware

17 февраля, 2017

Поймал адвейр на ноутбук.

Наблюдения (в подробностях): при запуске ноутбука все программы своевольно включаются в автозагрузку, отключение ничего не дает, после рестарта ОС всё по новому. Это навело меня на мысль что я что-то поймал, и да, действительно... Использую Windows 10 и соответственно браузер по умолчанию Microsoft Edge, при запуске последнего вместо него запускался Google Chrome сомнительного происхождения (у меня данного браузера на ноуте не было), вместо стандартного окна вкладок в этом "хроме" был открыт вирусный сайт, а вместо логотипа Google - куча рекламы. Проверил в диспетчере процесс "хрома" вывел меня в AppData в папку с этим по, я её удалил (через Shift+Del) в надежде что проблема решится, но нет. Автозагрузка по прежнему ведет себя своевольно, а при запуске Microsoft Edge уже "хром" не появляется, но и сам Edge тоже молчит. Думаю эта штуковина в реестр прописалась где-то, но опыта редактирования реестра маловато, не хочу намудрить.

Суть (коротко): на компьютере установилось рекламное ПО, не дающее мне использовать браузер Microsoft Edge, запуская вместо него "левый" браузер. Запускается этот "адвейр" через автозагрузку, как я понял, так как при старте ОС все программы начали загружаться. Просканировал компьютер вашей утилиткой Kaspersky Virus Removal Tool - угроз не было обнаружено. А вот когда создавал вам логи, AutoLogger что-то подметил.

Гуру безопасности, буду очень признателен вам за помощь.

CollectionLog-2017.02.17-14.06.zip

Изменено 17 февраля, 2017 пользователем Максим Силенко

17 февраля, 2017

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('C:\Users\bak_user\AppData\Roaming\Microsoft\taskmgr\win64\data01.vji');
 QuarantineFile('C:\Users\bak_user\AppData\Roaming\Microsoft\taskmgr\win64\data01.vji','');
 TerminateProcessByName('c:\users\bak_user\appdata\roaming\microsoft\taskmgr\taskmgr.exe');
 QuarantineFile('c:\users\bak_user\appdata\roaming\microsoft\taskmgr\taskmgr.exe','');
 DeleteFile('c:\users\bak_user\appdata\roaming\microsoft\taskmgr\taskmgr.exe','32');
 DeleteFile('C:\Users\bak_user\AppData\Roaming\Microsoft\taskmgr\win64\data01.vji','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Phoenix Browser Updater','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

17 февраля, 2017

Прикрепляю новые логи.

Ответ от newvirus@kaspersky.com ещё не получил.

CollectionLog-2017.02.17-16.32.zip

17 февраля, 2017

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

17 февраля, 2017

Сделал

Desktop.zip

17 февраля, 2017

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2508583585-234582958-4288314232-1002\...\Winlogon: [Shell] C:\WINDOWS\Explorer.exe [4673304 2016-11-11] (Microsoft Corporation) <==== ATTENTION
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
AlternateDataStreams: C:\ProgramData:NT2 [432]
AlternateDataStreams: C:\Users\All Users:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
AlternateDataStreams: C:\Users\bak_user\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\bak_user\AppData\Roaming:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
Task: {0C4083BE-23A1-4197-A351-0EF0C423FEEB} - \Phoenix Browser Updater -> No File <==== ATTENTION
c:\users\bak_user\appdata\roaming\microsoft\taskmgr
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

17 февраля, 2017

Сделал

Fixlog.txt

17 февраля, 2017

Проблема решена?

17 февраля, 2017

Проблема решена?

Так точно

17 февраля, 2017

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

17 февраля, 2017

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 17.02.2017 21:10:17
Path starting: C:\Users\bak_user\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Maksym Silenko
VersionXML: 3.92is-14.02.2017
___________________________________________________________________________

Windows 10(6.3.14393) (x64) Professional Lang: Russian(0419)
Дата установки ОС: 30.08.2016 10:56:51
Статус лицензии: Windows®, Professional edition Срок истечения многопользовательской активации: 250041 мин.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 250041 мин.
Режим загрузки: Normal
Браузер по умолчанию: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe)
Системный диск: C: ФС: [NTFS] Емкость: [99.3 Гб] Занято: [39.8 Гб] Свободно: [59.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.447.14393.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен

Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 15.12 (x64) v.15.12 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ P2P ] ---------------------------------
Zona Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 101 (64-bit) v.8.0.1010.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^
Java 8 Update 112 (64-bit) v.8.0.1120.15 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^
Java SE Development Kit 8 Update 112 (64-bit) v.8.0.1120.15 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u121-windows-x64.exe)^
Java 8 Update 101 v.8.0.1010.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 NPAPI v.24.0.0.221
Adobe Flash Player 24 PPAPI v.24.0.0.221
------------------------------- [ Browser ] -------------------------------
Opera Stable 43.0.2442.806 v.43.0.2442.806
--------------------------- [ RunningProcess ] ----------------------------
C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.14393.479
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Windows Defender\MsMpEng.exe v.4.10.14393.0
C:\Program Files\Windows Defender\NisSrv.exe v.4.10.14393.0
Служба Защитника Windows (WinDefend) - Служба работает
Служба проверки сети Защитника Windows (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------

17 февраля, 2017

Исправляйте указанное

adware

Рекомендуемые сообщения

Максим Силенко

thyrex

Максим Силенко

thyrex

Максим Силенко

thyrex

Максим Силенко

thyrex

Максим Силенко

thyrex

Максим Силенко

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum