Вирусная реклама

[KGA]

Браузер google chrome периодически запускается сам в новом окне, наряду с уже работающим, открывает страницу с рекламой (каждый раз разные сайты).  Ни KIS, ни KVRT, Dr.Web CureIt!, ни многочисленные AntiMalware программы не помогают. Браузер google chrome роrtablе 57.0.2987.98 установлен на диске D:

Что делать? Помогите, задолбало! 

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[KGA]

Прошу прощения, не прочёл до создания. Всё сделал по инструкции.

 

 

 

CollectionLog-2017.03.20-23.10.zip

[regist]

Здравствуйте!

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\system32\tasks\newsonlineonlynetxoussm', '');
 QuarantineFile('C:\WINDOWS\System32\ihctrl32.dll', '');
 QuarantineFile('C:\WINDOWS\System32\wsaudio.dll', '');
 DeleteFile('C:\WINDOWS\System32\ihctrl32.dll', '32');
 DeleteFile('C:\WINDOWS\System32\wsaudio.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "newsonlineonlynetxoussm" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{B851ACA8-478F-4287-AB6C-61E1642E1BD6}" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
 

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

Программы/расширения от Mail.ru используете?

Изменено 22 марта, 2017 пользователем regist

[KGA]

Спасибо! Ситуация поменялась. Более Суток назад KIS сообщил, что обнаружил троян (названия не запомнил, но длинное), предложил лечить с перезагрузкой. Что я и сделал. Вот уже сутки как ничего не "выскакивает". AVZ сейчас запускал, архив virusinfo_auto_DESKTOP-1BRNUUD.zip отправил. Стоит ли выполнять написанный Вами скрипт?   

 

"Программы/расширения от Mail.ru используете?" - стараюсь запрещать установку, но иногда партизаны просачиваются. Уничтожаю безжалостно. А что, это я от них этот триппер подцепил?   

 

Не по теме. А почему у меня репутация -1. Никому не хамил, всегда отвечал, один раз ответил в своей же теме через несколько дней, т.к. приболел, но извинился, меня поняли (и то кажется это на другом каком то форуме было). А тут зашёл в кои веки и -1, обидно.   

Изменено 22 марта, 2017 пользователем KGA

[regist]

 

 

архив virusinfo_auto_DESKTOP-1BRNUUD.zip отправил.

Где ссылка на отчёт?

 

 

 

Более Суток назад KIS сообщил, что обнаружил троян (названия не запомнил, но длинное),

Там у вас вас несколько вирусных элементов.

 

 

 

Стоит ли выполнять написанный Вами скрипт?

Да, нужно.

 

 

А что, это я от них этот триппер подцепил?

Скорее всего не от них, а прицепом шли расширения от них. Потом и это почистим.

[KGA]

Отправил сюда -  https://virusinfo.info/virusdetector/upload.php

Файл успешно загружен

MD5 карантина: 07593BDDE3998371EF1E3173DCEED0C4
Размер файла: 146826504 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

Изменено 22 марта, 2017 пользователем KGA

[regist]

Достачно было ссылки на результаты анализа.

Жду остальное.

[KGA]

"quarantine [KLAN-5995831477]

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
ihctrl32.dll
wsaudio.dll
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

 

Результат повторного запуска Autologger.

CollectionLog-2017.03.22-22.53.zip

Изменено 22 марта, 2017 пользователем KGA

[regist]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.

Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению.

[KGA]

Сделано.

Из всех перечисленных пунктов в отчёте эти я знаю:

Найдена папка: C:\Users\Геннадий Колесник\AppData\Roaming\Mail.Ru

Найдена папка: C:\Users\Геннадий Колесник\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru

Найдена папка: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Doctor

Найдена папка: C:\Program Files (x86)\Windows Doctor 

 

AdwCleanerS0.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать")
• По окончанию сканирования снимите галочки со следующих строк:

  Найдена папка: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Doctor
  
  Найдена папка: C:\Program Files (x86)\Windows Doctor
  
  

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[KGA]

Сделано. Но вообще то я пользуюсь Mail.Ru Агентом. Как с этим быть? Можно ли будет потом установить portable версию его?

AdwCleanerC0.txt

[regist]

Но вообще то я пользуюсь Mail.Ru Агентом.

Так вы сами себе противоречите

"Программы/расширения от Mail.ru используете?" - стараюсь запрещать установку, но иногда партизаны просачиваются. Уничтожаю безжалостно.

Можно ли будет потом установить portable версию его?

Можно.

 

Что с проблемой?

[KGA]

Спасибо! Пока ничего не выскакивало. Будем надеяться, что на этом всё. Кое какой опыт, благодаря Вам, приобрёл. Насчёт программ  Mail.ru, конечно, нестыковка вышла. Но агент настолько древний сервис, что я уже и забыл, что он от  Mail.ru. Все остальные "поиски в интернете", "бесплатные программы", "спутники" и прочие маил.ру_ские прелести стараюсь к установке не допускать, но повторюсь: "...иногда партизаны просачиваются. Уничтожаю безжалостно...".  Вообще, по возможности, отдаю предпочтение portable версиям программ, чтобы не загаживать систему.

Ещё раз спасибо! С уважением, KGA.

Изменено 23 марта, 2017 пользователем KGA