множественные сообщения о блокировке ссылок

[Kober]

При открытии любой страницы в гуглхром касперский выдаёт около пяти сообщений о блокировке вредоносноых ссылок

прикрепляю файлы скана Farbar Recovery Scan Tool

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Kober]

не прикрепляются файлы (
Колесо крутится при полном индикаторе загрузки.

Изменено 8 марта, 2017 пользователем Kober

[thyrex]

Выложите архив с логами на обменник без капчи и времени ожидания и пришлите ссылку на скачивание

[Kober]

Логи, прикрепились )

есть логи Farbar Recovery Scan Tool

CollectionLog-2017.03.08-21.28.zip

Addition.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\Xvid\CheckUpdate.ps1','');
 QuarantineFile('C:\Users\Oleg\update.exe','');
 DeleteFile('C:\Users\Oleg\update.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Kober]

не понял куда карантин отправлять

CollectionLog-2017.03.08-22.05.zip

ClearLNK-08.03.2017_22-04.log

[thyrex]

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

[Kober]

[KLAN-5935928992]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
CheckUpdate.ps1
update.exe

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.
 

странно, теперь при запуске Autologger    хром автоматически не открывается.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Kober]

Есть

Addition (2).zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR Extension: (SearchWay) - C:\Users\Oleg\AppData\Local\Google\Chrome\User Data\Default\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-03-08]
CHR HKU\S-1-5-21-4105715940-3833246338-3215385403-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4105715940-3833246338-3215385403-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4105715940-3833246338-3215385403-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gebpdbfmpedcnopofelmhndhincfkhki] - hxxps://chrome.google.com/webstore/detail/gebpdbfmpedcnopofelmhndhincfkhki
CHR HKU\S-1-5-21-4105715940-3833246338-3215385403-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4105715940-3833246338-3215385403-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4105715940-3833246338-3215385403-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (SearchWay) - C:\Users\Oleg\AppData\Roaming\Opera Software\Opera Stable\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-03-08]
2016-12-14 15:28 - 2016-12-14 15:28 - 52703976 _____ (Mail.Ru) C:\Users\Oleg\AppData\Local\Temp\amigo_setup.exe
Task: {125CA6AF-814D-4B00-AD0E-55FCDF94239D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {15DF5557-88C9-4DE0-8294-6631932B5EE6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {341F41B7-56BC-4448-B4C1-A9EF0BED7F18} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {444561F7-0B3C-4743-AD0B-3AC8F6FF0765} - System32\Tasks\pagesnewsorglionsm => Chrome.exe pagesnews.org/lionsm <==== ATTENTION
Task: {59340F44-F9A3-4657-8EF4-411870FAA420} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {631A359E-428F-4182-ADA5-74419A5C50F3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {75FF082A-7CD3-42F1-B5A7-F512CCE9B9FA} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {B96297A8-AA18-47E8-8B04-418C1A526134} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {D817FA21-259F-4551-8927-1CF17FBB2419} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {D8AE2B49-CE9E-407A-AAAC-542A600DD558} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {F56A923E-30B6-4E2B-880A-E920464DDB82} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {FC764B1B-171F-4907-9621-9AA74487A269} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [138]
HKU\S-1-5-21-4105715940-3833246338-3215385403-1001\...\StartupApproved\Run: => "amigo"
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Kober]

вроде прекратились ссылки. Спасибо!

Fixlog.txt

[thyrex]

• Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

[Kober]

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]

WebSite: www.safezone.cc

DateLog: 10.03.2017 16:47:24

Path starting: C:\Users\Oleg\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Oleg

VersionXML: 3.99is-08.03.2017

___________________________________________________________________________

 

Windows 10(6.3.14393) (x64) CoreSingleLanguage Lang: Russian(0419)

Дата установки ОС: 01.10.2016 08:49:17

Статус лицензии: Windows®, CoreSingleLanguage edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [187.2 Гб] Занято: [151.5 Гб] Свободно: [35.7 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.576.14393.0

Контроль учётных записей пользователя включен

Загружать автоматически обновления и устанавливать по заданному расписанию

Центр обновления Windows (wuauserv) - Служба остановлена

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба работает

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

---------------------------- [ Antivirus_WMI ] ----------------------------

Kaspersky Total Security (включен и обновлен)

Windows Defender (отключен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Total Security (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Total Security (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Password Manager v.8.0.5.485

Kaspersky Total Security v.16.0.1.445

--------------------------- [ OtherUtilities ] ----------------------------

Менеджер браузеров v.3.0.4.825

VLC media player v.2.2.4

OpenOffice 4.1.2 v.4.12.9782 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.33 v.7.33.104

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43085 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u121-windows-i586.exe)^

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Служба Bonjour (Bonjour Service) - Служба работает

------------------------------- [ Browser ] -------------------------------

Yandex v.17.1.1.1003 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.56.0.2924.87

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.56.0.2924.87

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 16.0.1 (AVP16.0.1) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 16.0.1\avp.exe v.16.0.1.445

klvssbrigde64 (klvssbrigde64) - Служба остановлена

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 16.0.1\avpui.exe v.16.0.1.527

Служба Защитника Windows (WinDefend) - Служба остановлена

Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Амиго v.54.0.2840.191 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe v.3.10.0.20

----------------------------- [ End of Log ] ------------------------------