Перейти к содержанию
Правила раздела

Рекламный вирус

Polen_zabanen

От Polen_zabanen
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Polen_zabanen Постоялец

Polen_zabanen

Опубликовано
Опубликовано

Подхватил несколько вирусов, после того как скачал фейковый софт. Сначала прочистил комп Dr.Web CureIt, он нашёл несколько десятков вирусов, я их удалил, потом прочистил комп adwcleaner, он нашёл около 20 проблем, я их тоже удалил. Но проблема, того что везде лепится реклама, и браузер сам открывается что бы её показать, даже если он закрыт, осталась.

Прикладываю логи.

CollectionLog-2017.02.25-12.02.zip

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 43
  • Created
  • Последний ответ

Top Posters In This Topic

  • Polen_zabanen

    23

  • thyrex

    20

  • Roman_Five

    1

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Roman_Five
Roman_Five

профиль после удаления подчищали вручную? это папки c:\Users\%user%\AppData\Local\Mozilla\Firefox\ c:\Users\%user%\AppData\Roaming\Mozilla\Firefox\

Posted Images

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\wbiosrvp.dll','');
 QuarantineFile('C:\Windows\system32\themctrl.dll','');
 QuarantineFile('C:\Users\artem\AppData\Local\ComDev\ComDev.exe','');
 QuarantineFile('C:\Users\artem\AppData\Roaming\aswast\app.py','');
 QuarantineFile('C:\Users\artem\AppData\Roaming\aswast\ml.py','');
 QuarantineFile('C:\Users\artem\AppData\Roaming\setupsk\ml.py','');
 DeleteFile('C:\Users\artem\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\Users\artem\AppData\Roaming\aswast\ml.py','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nulzmlufgp');
 DeleteFile('C:\Users\artem\AppData\Roaming\aswast\app.py','32');
 DeleteFile('C:\Users\artem\AppData\Local\ComDev\ComDev.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\setupsk2','64');
 DeleteFile('C:\Windows\system32\Tasks\setupsk','64');
 DeleteFile('C:\Windows\system32\Tasks\ComDev','64');
 DeleteFile('C:\Windows\system32\Tasks\aswast2','64');
 DeleteFile('C:\Windows\system32\Tasks\aswast','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
Polen_zabanen Постоялец

Polen_zabanen

Опубликовано
  • Автор
Опубликовано

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.сom

 

 Это у меня новый вирус, и вы хотите что бы я им пополнил антивируснуые базы касперского?

Ссылка на комментарий
Поделиться на другие сайты
Polen_zabanen Постоялец

Polen_zabanen

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\wbiosrvp.dll','');
 QuarantineFile('C:\Windows\system32\themctrl.dll','');
 QuarantineFile('C:\Users\artem\AppData\Local\ComDev\ComDev.exe','');
 QuarantineFile('C:\Users\artem\AppData\Roaming\aswast\app.py','');
 QuarantineFile('C:\Users\artem\AppData\Roaming\aswast\ml.py','');
 QuarantineFile('C:\Users\artem\AppData\Roaming\setupsk\ml.py','');
 DeleteFile('C:\Users\artem\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\Users\artem\AppData\Roaming\aswast\ml.py','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nulzmlufgp');
 DeleteFile('C:\Users\artem\AppData\Roaming\aswast\app.py','32');
 DeleteFile('C:\Users\artem\AppData\Local\ComDev\ComDev.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\setupsk2','64');
 DeleteFile('C:\Windows\system32\Tasks\setupsk','64');
 DeleteFile('C:\Windows\system32\Tasks\ComDev','64');
 DeleteFile('C:\Windows\system32\Tasks\aswast2','64');
 DeleteFile('C:\Windows\system32\Tasks\aswast','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

 

KLAN-5881873101

CollectionLog-2017.02.25-16.10.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Polen_zabanen Постоялец

Polen_zabanen

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

вкусняшки для thurex.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Пожалуйста, не стоит коверкать мой никнейм.

 

Что-нибудь в KLAN написано по поводу файлов wbiosrvp.dll и themctrl.dll ?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKU\S-1-5-21-3137982038-3263846985-1148652217-1001\...\Winlogon: [Shell] C:\Windows\Explorer.exe [4673304 2016-11-11] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-21-3137982038-3263846985-1148652217-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ontetex.ru/?utm_source=startpage03&utm_content=11d554fdaf2cfd47946ac4d63daf0e2e&utm_term=462AE06CBBDA30A9A997E578092E2BBB&utm_d=20170210
CHR HomePage: Default -> hxxp://ontetex.ru/?utm_source=startpage03&utm_content=11d554fdaf2cfd47946ac4d63daf0e2e&utm_term=462AE06CBBDA30A9A997E578092E2BBB&utm_d=20170210
CHR StartupUrls: Default -> "hxxp://ontetex.ru/?utm_source=startpage03&utm_content=11d554fdaf2cfd47946ac4d63daf0e2e&utm_term=462AE06CBBDA30A9A997E578092E2BBB&utm_d=20170210"
2017-02-10 10:38 - 2017-02-25 15:16 - 00000000 ____D C:\Users\artem\AppData\Roaming\setupsk
2017-02-10 10:38 - 2017-02-25 15:16 - 00000000 ____D C:\Users\artem\AppData\Roaming\aswast
2017-02-10 10:36 - 2017-02-10 14:28 - 00000000 ____D C:\Users\artem\AppData\Local\ComDev
Task: {4AE42471-52BD-4300-B20E-473498F655E1} - \ComDev -> No File <==== ATTENTION
Task: {4E1DACB0-8537-4887-B157-08EC7B082C31} - \aswast -> No File <==== ATTENTION
Task: {58B58815-7FC8-482B-A672-C77D9606309D} - \setupsk2 -> No File <==== ATTENTION
Task: {98202AB5-8922-4235-B1E6-7FCB4343F87F} - \aswast2 -> No File <==== ATTENTION
Task: {D6E21105-7000-4E07-A6E2-D6EB20ED6F26} - \setupsk -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\artem:Heroes & Generals [38]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
Polen_zabanen Постоялец

Polen_zabanen

Опубликовано
  • Автор
Опубликовано

Что-нибудь в KLAN написано по поводу файлов wbiosrvp.dll и themctrl.dll ?

Конечно написано.

Malicious application was detected in files:

wbiosrvp.dll - Trojan.Win32.StartServ.xoc

themctrl.dll - Trojan.Win32.StartServ.gw

ml_0.py - Trojan.Python.PBot.g

 

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Polen_zabanen Постоялец

Polen_zabanen

Опубликовано
  • Автор
Опубликовано

Блиин, это будет очень толго, у меня почти целый теробайт надо будет сканировать. Наверное, придется на ночь поставить.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Удалите в МВАМ только

PUP.Optional.RussAd, HKU\S-1-5-21-3137982038-3263846985-1148652217-1006\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{8E8F97CD-60B5-456F-A201-73065652D099}, Проигнорировано пользователем, [25], [351113],1.0.1355
PUP.Optional.StartPage, HKU\S-1-5-21-3137982038-3263846985-1148652217-1001\SOFTWARE\START PAGE, Проигнорировано пользователем, [79], [259290],1.0.1355

PUP.Optional.StartPage, HKU\S-1-5-21-3137982038-3263846985-1148652217-1001\SOFTWARE\START PAGE|START PAGE, Проигнорировано пользователем, [79], [259290],1.0.1355
Hijack.AltShell, HKU\S-1-5-21-3137982038-3263846985-1148652217-1001\SYSTEM\CURRENTCONTROLSET\CONTROL\SAFEBOOT|ALTERNATESHELL, Проигнорировано пользователем, [18104], [254589],1.0.1355
 

Выполните скрипт в AVZ

begin
 DeleteFile('C:\Windows\system32\wbiosrvp.dll','32');
 DeleteFile('C:\Windows\system32\themctrl.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Камиль Махмутянов
      KIS обнаружил рекламные программы
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      NET:MALWARE.URL Вирус
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Mr. Denp
      Вирусы: HEUR:Trojan.Multi.GenBadur.genw и HEUR:Trojan.Script.Generic
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
×
×
  • Создать...