Всплывающие рекламные окна

[Qozma]

Добрый день.

Раз в час всплывает окно в браузере с рекламой.

Тут же срабатывает защитник винды и сообщает об удалении опасного файла. Через час, картина повторяется.

При этом работа компьютера замедлена. Очень долгая загрузка приложений.

Прогнал CureIt - нашел инфицированные файлы и удалил, но проблема не решена.

Каспер Тотал Секьюр - так же нашел и удалил файл, но окна всплывают все равно.

 

Лог прикладываю:

 

CollectionLog-2017.03.19-12.01.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Константин Медведев\AppData\Local\wupdate\wupdate.exe','');
 QuarantineFile('C:\Users\Константин Медведев\AppData\Local\ZetaGamesViewer\ISSCH\issch.exe','');
 DeleteFile('C:\WINDOWS\system32\Tasks\InstallShield Update Service','64');
 DeleteFile('C:\Users\Константин Медведев\AppData\Local\ZetaGamesViewer\ISSCH\issch.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\wupdate','64');
 DeleteFile('C:\Users\Константин Медведев\AppData\Local\wupdate\wupdate.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Qozma]

[KLAN-5982043418]

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

wupdate.exe

 

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:

issch.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Свежий лог прикладываю:

CollectionLog-2017.03.19-22.28.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Qozma]

done.

 

 

Desktop.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
FF Homepage: Mozilla\Firefox\Profiles\7xze8zc1.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=B78D68C03BC7397B4DC5328CDCB7A5CC&utm_d=20170318
CHR HomePage: Default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=B78D68C03BC7397B4DC5328CDCB7A5CC&utm_d=20170318
CHR StartupUrls: Default -> "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=B78D68C03BC7397B4DC5328CDCB7A5CC&utm_d=20170318"
CHR DefaultSearchURL: Default -> hxxp://go-search.ru/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> gosearch
CHR Extension: (VK Downloader) - C:\Users\Константин Медведев\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbjdlpaffkkdggnabfdbhbfbncmcckio [2017-03-19]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-2349049924-4010130931-1150828040-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2349049924-4010130931-1150828040-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mkaoblbjfmcalcjjaifickaoccjmhlal] - hxxps://chrome.google.com/webstore/detail/mkaoblbjfmcalcjjaifickaoccjmhlal
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
2017-03-18 10:30 - 2017-03-18 10:30 - 00000000 ____D C:\Users\Константин Медведев\AppData\Roaming\aswast
2017-03-18 10:29 - 2017-03-19 21:49 - 00000000 ____D C:\Users\Константин Медведев\AppData\Local\wupdate
2017-03-18 10:29 - 2017-03-18 10:29 - 00000000 ____D C:\Users\Константин Медведев\AppData\Local\Войны престолов
2017-03-19 09:28 - 2017-03-19 09:28 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\24E0.tmp.exe
2017-03-19 09:27 - 2017-03-19 09:27 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\3A80.tmp.exe
2017-03-19 09:26 - 2017-03-19 09:26 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\5030.tmp.exe
2017-03-19 09:25 - 2017-03-19 09:25 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\65A1.tmp.exe
2017-03-19 09:36 - 2017-03-19 09:36 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\7792.tmp.exe
2017-03-19 09:35 - 2017-03-19 09:35 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\8F74.tmp.exe
2017-03-19 09:34 - 2017-03-19 09:34 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\A33F.tmp.exe
2017-03-19 09:33 - 2017-03-19 09:33 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\B8B1.tmp.exe
2017-03-19 09:32 - 2017-03-19 09:32 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\CE70.tmp.exe
2017-03-18 10:27 - 2017-03-18 10:31 - 0115944 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\u3LUxp1DKuLS.exe
2017-03-18 10:23 - 2017-03-18 10:23 - 3039448 ____N () C:\Users\Константин Медведев\AppData\Local\Temp\vRyRJBzrF1x0.exe
Task: {15730EC8-5384-484B-9A67-824CDED82911} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {1FE83D57-C49A-44F7-8FFA-5E86D06DAB01} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {285CFC7A-9F7E-469B-A067-77028246D041} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {34E820F3-E765-4E50-91F1-CB7CEB2F4C43} - \InstallShield Update Service -> No File <==== ATTENTION
Task: {466CEE4E-1118-44AB-AAE3-6A2F51D60936} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {4A3702B1-B524-4D1B-AAFA-5A2359FFDA0B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {5F96622B-F68B-46A0-94CD-DE4811F7D733} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {8D78EF53-F2ED-4C22-ACE4-43C8F8C0F99D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {95C0C9E0-D9E3-49C8-ABDE-D134EB75A4B8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {9AB1F3ED-1147-4E90-844A-3650AFC9813F} - \nvfontcache -> No File <==== ATTENTION
Task: {D7EA3C2F-1013-4BD9-9A65-292257881665} - \wupdate -> No File <==== ATTENTION
Task: {D87641E7-574D-4B6D-A895-2FCB09657CE6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {EAE7EA60-8449-43F0-9001-B1E5B9457D4E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {EC16943A-DAC6-430A-93A1-0890665441A3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {F458E19C-E609-4C33-A22C-46786B0BF5EF} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
HKLM\...\StartupApproved\StartupFolder: => "Zaxar Games Browser.lnk"
2017-03-19 09:31 - 2017-03-19 09:31 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\E45E.tmp.exe
2017-03-19 09:29 - 2017-03-19 09:29 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\F50.tmp.exe
2017-03-19 09:30 - 2017-03-19 09:30 - 0799736 _____ () C:\Users\Константин Медведев\AppData\Local\Temp\F952.tmp.exe
C:\Users\Константин Медведев\AppData\Local\ZetaGamesViewer
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Qozma]

Cделал.

Fixlog.txt

[thyrex]

Проблема решена?

[Qozma]

Спасибо.

Пока окна не вылетают.

Ну а биткойновский майнер, я надеюсь удалился, а то я даже не знаю как проверить..

[thyrex]

Удалили майнер.

• Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

[Qozma]

Опять вылез Вулкан. Правда единственный раз но вылез.

 

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 20.03.2017 22:12:36
Path starting: C:\Users\Константин Медведев\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: KaEm
VersionXML: 4.04is-19.03.2017
___________________________________________________________________________

Windows 10(6.3.14393) (x64) Professional Lang: Russian(0419)
Дата установки ОС: 27.08.2016 01:15:12
Статус лицензии: Windows®, Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe)
Системный диск: C: ФС: [NTFS] Емкость: [250.6 Гб] Занято: [120.7 Гб] Свободно: [129.9 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.953.14393.0
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба веб-публикаций (W3SVC) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x64 v.14.0.7015.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Total Security (выключен и устарел)
Windows Defender (выключен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Total Security
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Total Security (выключен и устарел)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Secure Connection v.17.0.0.611
Kaspersky Password Manager v.8.0.6.538
Kaspersky Total Security v.17.0.0.611
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 15.06 beta (x64) v.15.06 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 9.38 beta
TeamViewer 12 v.12.0.72365
VLC media player v.2.2.4
TeamViewer 12 (TeamViewer) - Служба работает
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.33 v.7.33.105
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.1.0.1
iTunes v.12.3.1.23 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Служба Bonjour (Bonjour Service) - Служба работает
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 Plugin v.10.3.183.90 Внимание! Скачать обновления
Adobe Acrobat XI Pro v.11.0.10 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.56.0.2924.87 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 52.0 (x86 ru) v.52.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird 45.8.0 (x86 ru) v.45.8.0
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.56.0.2924.87
C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.14393.953
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - Служба остановлена
klvssbrigde64 (klvssbrigde64) - Служба остановлена
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksde.exe v.17.0.0.611
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksdeui.exe v.17.0.0.643
Служба Защитника Windows (WinDefend) - Служба остановлена
Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.0f4 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Smart Application Controller v.1.00 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

[thyrex]

Исправляйте указанное