Самопроизвольно грузится wonderlandads.com/afu.php?zoneid=184394

[domeddin]

Здравствуйте.

Вот уже дня 3-4 самопроизвольно пытается загрузиться  wonderlandads.com/afu.php?zoneid=184394 . KIS его блокрует, висит только страница с предупреждением. Проверил компьютер KVRT и KIS. Проблема осталась.

Win 8.1, Firefox.

CollectionLog-2017.03.14-22.00.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Windows\system32\tasks\blogcreativeorglropsm', '');
 ExecuteFile('schtasks.exe', '/delete /TN "blogcreativeorglropsm" /F', 0, 15000, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[domeddin]

Вот ответ из лаборатории Касперского.

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
blogcreativeorglropsm

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
       
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

[Sandor]

Продолжайте.

[domeddin]

Вот ответ из лаборатории Касперского.

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
blogcreativeorglropsm

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
       
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

ClearLNK-15.03.2017_11-21.log

[Sandor]

Для повторной диагностики запустите снова Autologger

Свежий CollectionLog покажите.

[domeddin]

Все повторил. Большое спасибо, я думаю что что-то подействовало т.к. пока больше не вылазит эта страница. В случае появления опять - отпишусь.

CollectionLog-2017.03.15-12.49.zip

[Sandor]

Да, в логах тоже порядок.

 

В завершение:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[domeddin]

Все сделал. Файл прикреплен.

Спасибо за помощь.

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------

VLC media player v.2.2.1 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.28 v.7.28.101 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 24 NPAPI v.24.0.0.221 Внимание! Скачать обновления

Adobe Flash Player 24 PPAPI v.24.0.0.194 Внимание! Скачать обновления

----------------------------- [ EmailClient ] -----------------------------

The Bat! v7.2.0 (64-bit) v.7.2.0 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Advanced Driver Updater v.2.1.1086.15131 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

SpyHunter4 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО