Вирусы в браузере

[***KATANA***]

Ребенок наустанавливал много игр, сам по себе открывается браузер с рекламным видео, изменились настройки в браузере из-за рекламы mail.ru. Также появилось предупреждение о небезопасных сайтах ( пока на всех, на которые заходим...)

CollectionLog-2017.03.21-09.26.zip

Изменено 21 марта, 2017 пользователем ***KATANA***

[regist]

Скачайте актуальную версию AutoLogger-а и переделайте логи. И лучше заведите привычку перед созданием темы качать свежий.

[***KATANA***]

переделала

CollectionLog-2017.03.21-10.33.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\пользователь\Favorites\Links\Интернет.url', '');
 QuarantineFileF('C:\Users\пользователь\appdata\local\sysnet\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\WINDOWS\System32\themctrl.dll', '');
 QuarantineFile('C:\Users\755E~1\AppData\Roaming\setupsk\python\pythonw.exe', '');
 QuarantineFile('C:\Users\пользователь\AppData\Local\wupdate\wupdate.exe', '');
 QuarantineFile('C:\Users\пользователь\appdata\local\sysnet\sysnet.exe', '');
 DeleteFile('C:\Users\пользователь\Favorites\Links\Интернет.url');
 DeleteFile('C:\Users\пользователь\appdata\local\sysnet\sysnet.exe', '32');
 DeleteFile('C:\Users\пользователь\AppData\Local\wupdate\wupdate.exe', '32');
 DeleteFile('C:\Users\755E~1\AppData\Roaming\setupsk\python\pythonw.exe', '32');
 DeleteFile('C:\WINDOWS\System32\themctrl.dll', '32');
 DeleteFile('C:\WINDOWS\System32\wbiosrvp.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "sysnet" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "etupsk2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Office 15 Subscription Heartbeat" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\пользователь\appdata\local\sysnet\', '*', true);
 DeleteDirectory('C:\Users\пользователь\appdata\local\sysnet\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RGSC');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Browser Manager');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'anzmcpkusb');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

 

[***KATANA***]

готово.

 

KLAN-5988796986]

В антивирусных базах информация по присланным вами файлам отсутствует:
Интернет.url
themctrl.dll
pythonw.exe
wupdate.exe

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:
sysnet.exe - not-a-virus:HEUR:AdWare.Win32.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2017.03.21-11.26.zip

ClearLNK-21.03.2017_11-18.log

AdwCleanerS0.txt

Изменено 21 марта, 2017 пользователем ***KATANA***

[regist]

 

 

C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению.

Не сделали.

[***KATANA***]

сделала

AdwCleanerS0.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[***KATANA***]

сделала

AdwCleanerS1.txt

[regist]

Перечитайте внимательно, я просил лог очистки.

[***KATANA***]

этот? он же после прошлой проверки остался, новых не было, только S1 появился. Еще раз переделала - S2 получился. Прикрепила

AdwCleanerS0.txt

AdwCleanerS2.txt

Изменено 21 марта, 2017 пользователем ***KATANA***

[regist]

@***KATANA***, перечитайте внимательно, что написано тут https://forum.kasperskyclub.ru/index.php?showtopic=54982&do=findComment&comment=805859

[***KATANA***]

сделала. 

AdwCleanerC0.txt

Изменено 21 марта, 2017 пользователем ***KATANA***

[regist]

Что с проблемой?

[***KATANA***]

рекламы вроде нет уже. Но осталось предупреждение в браузере. До заражения вирусами его не было... Фото прикрепила