alexey.romanov.42 Опубликовано 5 апреля, 2017 Share Опубликовано 5 апреля, 2017 Доброго времени суток!Проблема в следующем: в браузере Chrome стали открываться Новые вкладки и на многих популярных сайтах ( youtube, facebook, vk и другие ), которыми я пользуюсь, появилась встроенная в контент реклама. В Расширениях браузера заметил Vofer, отключение и удаление которого никак не помогало. При включении расширения Adblock вместо рекламы вставлялись пустые блоки, а в консоль браузера добавились сообщения об ошибках с ссылками на различные скрипты с внешних доменов ( 'igithab.com' , 'b.yellowads.men' , 'pubads.g.doubleclick.net' и другие ). Так же в автозагрузке системы появился Pythonw. Пробовал удалить файлы из AppData/Roaming и из реестра по ключевым словам vofer, vof и pythonw - не помогло. Консоль браузера на сайте youtube: Прошу помощи с решение данной проблемы. Заранее спасибо! CollectionLog-2017.04.06-00.37.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 6 апреля, 2017 Share Опубликовано 6 апреля, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Alexey\AppData\Roaming\vofer\app.py',''); QuarantineFile('C:\Users\Alexey\AppData\Roaming\VOF\updater.py',''); QuarantineFile('C:\Users\Alexey\AppData\Roaming\SearchAY\app.py',''); QuarantineFile('C:\Users\Alexey\AppData\Roaming\ForceUpdateVOF\updater.py',''); QuarantineFile('C:\Users\Alexey\AppData\Roaming\vofer\python\pythonw.exe',''); QuarantineFile('C:\Users\Alexey\AppData\Roaming\vofer\ml.py',''); QuarantineFile('C:\Users\Alexey\AppData\Roaming\VOF\python\pythonw.exe',''); QuarantineFile('C:\Users\Alexey\AppData\Roaming\VOF\ml.py',''); QuarantineFile('C:\Users\Alexey\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe',''); QuarantineFile('C:\Users\Alexey\AppData\Roaming\ForceUpdateVOF\ml.py',''); QuarantineFile('C:\Users\Alexey\AppData\Roaming\SearchAY\ml.py',''); QuarantineFile('C:\Users\Alexey\AppData\Roaming\SearchAY\python\pythonw.exe',''); DeleteFile('C:\Users\Alexey\AppData\Roaming\SearchAY\python\pythonw.exe','32'); DeleteFile('C:\Users\Alexey\AppData\Roaming\SearchAY\ml.py','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SearchAY'); DeleteFile('C:\Users\Alexey\AppData\Roaming\ForceUpdateVOF\ml.py','32'); DeleteFile('C:\Users\Alexey\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe','32'); DeleteFile('C:\Users\Alexey\AppData\Roaming\VOF\ml.py','32'); DeleteFile('C:\Users\Alexey\AppData\Roaming\VOF\python\pythonw.exe','32'); DeleteFile('C:\Users\Alexey\AppData\Roaming\vofer\ml.py','32'); DeleteFile('C:\Users\Alexey\AppData\Roaming\vofer\python\pythonw.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\ForceUpdateVOF','64'); DeleteFile('C:\WINDOWS\system32\Tasks\ForceUpdateVOF2','64'); DeleteFile('C:\Users\Alexey\AppData\Roaming\ForceUpdateVOF\updater.py','32'); DeleteFile('C:\Users\Alexey\AppData\Roaming\SearchAY\app.py','32'); DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY2','64'); DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY','64'); DeleteFile('C:\WINDOWS\system32\Tasks\VOF','64'); DeleteFile('C:\WINDOWS\system32\Tasks\VOF2','64'); DeleteFile('C:\Users\Alexey\AppData\Roaming\VOF\updater.py','32'); DeleteFile('C:\WINDOWS\system32\Tasks\vofer','64'); DeleteFile('C:\WINDOWS\system32\Tasks\vofer2','64'); DeleteFile('C:\Users\Alexey\AppData\Roaming\vofer\app.py','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexey.romanov.42 Опубликовано 7 апреля, 2017 Автор Share Опубликовано 7 апреля, 2017 KLAN-6072807146Thank you for contacting Kaspersky LabThe files have been scanned in automatic mode.No information about the specified files can be found in the antivirus databases:quarantine.zipWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQВыполнил еще раз "Порядок оформления запроса о помощи"При проверке Dr.Web поместил в карантин 5 объектов: CollectionLog-2017.04.07-15.28.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 7 апреля, 2017 Share Опубликовано 7 апреля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexey.romanov.42 Опубликовано 8 апреля, 2017 Автор Share Опубликовано 8 апреля, 2017 Архив scan.rar scan.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 8 апреля, 2017 Share Опубликовано 8 апреля, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: GroupPolicy: Restriction - Chrome <======= ATTENTION HKU\S-1-5-21-293521428-3217453615-4160260819-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=9B3991CC1CBEF0D0ED1A0270A484BE94&utm_d=20170302 SearchScopes: HKU\S-1-5-21-293521428-3217453615-4160260819-1001 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-293521428-3217453615-4160260819-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms} FF Homepage: Mozilla\Firefox\Profiles\eq48b0q6.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=9B3991CC1CBEF0D0ED1A0270A484BE94&utm_d=20170302 CHR HKU\S-1-5-21-293521428-3217453615-4160260819-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx 2017-03-02 23:44 - 2017-03-02 23:44 - 00000000 ____D C:\Users\Alexey\AppData\Local\Вoйти в Интeрнет 2017-03-02 23:44 - 2017-03-02 23:44 - 00000000 ____D C:\Users\Alexey\AppData\Local\fupdate 2017-03-02 23:43 - 2017-03-31 09:53 - 00000000 ____D C:\Users\Alexey\AppData\LocalLow\SearchGo 2017-03-02 23:43 - 2017-03-31 09:53 - 00000000 ____D C:\Users\Alexey\AppData\Local\SearchGo 2017-03-02 23:42 - 2017-03-31 09:49 - 00000000 ____D C:\Users\Alexey\AppData\Local\syslog 2017-03-02 23:41 - 2017-03-02 23:46 - 00000000 ____D C:\Users\Alexey\AppData\Local\Amigo 2017-03-02 23:41 - 2017-03-02 23:45 - 00000000 ____D C:\Users\Alexey\AppData\Roaming\QIPApp2 2017-03-02 23:41 - 2017-03-02 23:41 - 00000000 ____D C:\Users\Alexey\AppData\Local\Поиcк в Интeрнете 2017-03-02 23:38 - 2017-03-02 23:38 - 3039448 ____N () C:\Users\Alexey\AppData\Local\Temp\IILL0aQ1VPpS.exe 2017-03-02 23:40 - 2017-03-02 23:40 - 2966384 ____N () C:\Users\Alexey\AppData\Local\Temp\kA5qFWDe7018.exe 2017-03-02 23:41 - 2017-03-02 23:41 - 0399336 ____N (Mail.Ru) C:\Users\Alexey\AppData\Local\Temp\qeSaJHx9rzJv.exe Task: {01DCE25A-9077-455A-85BB-6189451F7F59} - \vofer2 -> No File <==== ATTENTION Task: {18BF3F46-ED44-4154-8806-77C497956ECF} - \vofer -> No File <==== ATTENTION Task: {58587A42-8867-4F2F-8ECA-315E4BCC3599} - \SearchAY2 -> No File <==== ATTENTION Task: {6862C9E0-161A-4732-B245-9DDD3AAC0372} - \VOF2 -> No File <==== ATTENTION Task: {74CF72D0-A200-4419-8BE0-8B7BC705E4E1} - \ForceUpdateVOF2 -> No File <==== ATTENTION Task: {AC0E32C6-B638-4A18-8CFE-201A3FD6877E} - \VOF -> No File <==== ATTENTION Task: {CE864211-C984-4166-B587-A3095FA350D1} - \ForceUpdateVOF -> No File <==== ATTENTION Task: {DE85F8EE-66B0-4385-B281-B24F5680B1F4} - \SearchAY -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexey.romanov.42 Опубликовано 8 апреля, 2017 Автор Share Опубликовано 8 апреля, 2017 Выполнил все пункты, перезагрузки компьютера не произошло. Программа завершила свою работуПовторил тоже самое еще раз, появилось сообщение и компьютер перезагрузилсяЛоги отличаются, поэтому прикрепил оба варианта: Fixlog - первый запуск, Fixlog - 2 - второй запускНа сколько я понял, вредоносными оказались расширения: Google Таблицы и Google Документы Fixlog.txt Fixlog - 2.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 8 апреля, 2017 Share Опубликовано 8 апреля, 2017 Что с проблемой? Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexey.romanov.42 Опубликовано 8 апреля, 2017 Автор Share Опубликовано 8 апреля, 2017 Проблема решена, спасибо большое за помощь! Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 9 апреля, 2017 Share Опубликовано 9 апреля, 2017 Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexey.romanov.42 Опубликовано 9 апреля, 2017 Автор Share Опубликовано 9 апреля, 2017 SecurityCheck by glax24 & Severnyj v.1.4.0.47 [25.03.17] WebSite: www.safezone.cc DateLog: 09.04.2017 14:20:19 Path starting: C:\Users\Alexey\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Alexey VersionXML: 4.07is-08.04.2017 ___________________________________________________________________________ Windows 10(6.3.14393) (x64) Professional Lang: Russian(0419) Дата установки ОС: 02.10.2016 11:06:38 Статус лицензии: Windows®, Professional edition Постоянная активация прошла успешно. Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Windows находится в режиме уведомления Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [110.4 Гб] Занято: [83.7 Гб] Свободно: [26.7 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.953.14393.0 Контроль учётных записей пользователя включен Загружать автоматически обновления и устанавливать по заданному расписанию Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба работает Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2013 x86 v.15.0.4420.1017 ---------------------------- [ Antivirus_WMI ] ---------------------------- ESET Smart Security 8.0 (включен и обновлен) Windows Defender (выключен и обновлен) ---------------------------- [ Firewall_WMI ] ----------------------------- Персональный файервол ESET (включен) --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (выключен и обновлен) ESET Smart Security 8.0 (включен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- ESET Smart Security v.8.0.319.1 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.10 бета 2 (64-разрядная) v.5.10.2 Внимание! Скачать обновления Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.34 v.7.34.103 --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java SE Development Kit 7 Update 55 v.1.7.0.550 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u121-windows-i586.exe). --------------------------- [ AppleProduction ] --------------------------- Xamarin Bonjour Service (Bonjour Service) - Служба работает --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader XI (11.0.11) MUI v.11.0.11 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Google Chrome v.57.0.2987.133 Mozilla Firefox 52.0.1 (x86 en-US) v.52.0.1 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.57.0.2987.133 ------------------ [ AntivirusFirewallProcessServices ] ------------------- C:\Program Files\ESET\ESET Smart Security\egui.exe v.8.0.319.0 ESET Service (ekrn) - Служба работает C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe v.8.0.319.0 Служба Защитника Windows (WinDefend) - Служба остановлена Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена ---------------------------- [ UnwantedApps ] ----------------------------- Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. ----------------------------- [ End of Log ] ------------------------------ Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 9 апреля, 2017 Share Опубликовано 9 апреля, 2017 Выполните рекомендованное Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexey.romanov.42 Опубликовано 9 апреля, 2017 Автор Share Опубликовано 9 апреля, 2017 Выполнил Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти