Chrome открывает левые сайты

[Sam King]

Добрый день

Помогите пожалуйста. Chrome открывает левые сайты и мешает жизни праведной. Вот логи

CollectionLog-2017.04.15-14.31.zip

[regist]

Здравствуйте!

 

1)

HitmanPro 3.7 [20150914]-->"C:\Program Files\HitmanPro\HitmanPro.exe" /uninstall
McAfee Security Scan Plus [2017/04/06 08:50:19]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"

деинсталируйте.

 

2) Вижу, что вы используете RePack by D!akov очень часто репаки данного автора и являются причиной заражения.

 

3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\Uninst.exe', '');
 QuarantineFileF('C:\Program Files (x86)\Tencent\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe', '');
 QuarantineFile('C:\Users\KingSam\Favorites\Links\Интернет.url', '');
 DeleteFile('C:\Users\KingSam\Favorites\Links\Интернет.url');
 DeleteFile('C:\WINDOWS\system32\Tasks\{33B11522-1AE8-4C54-ACFC-475891418EC2}', '64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\Uninst.exe', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "ScriptWriter" /F', 0, 15000, true);
 DeleteFileMask('C:\Program Files (x86)\Tencent\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Tencent\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QQPCTray');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'wsjmavjjqp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', ' QQPCTray');
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта компьютер перезагрузится.


4)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

5) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 
6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

7)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Sam King]

Добрый день.

При выполнении скрипта AVZ дает ошибку. Прикрепил скриншот.

AVZ_error.docx

[thyrex]

В скрипте ошибок нет. Копируйте аккуратно.

[Sam King]

Добрый день

AVZ запустил скрипт только после того, как я передвинул все команды на одну позицию влево, а так ругался на ошибку синтаксиса. В папке AVZ  файла quarantine.zip не было, поэтому отправляю лог работы протокола

AdwCleanerC3.txt

avz_log.txt

ClearLNK-17.04.2017_11-08.log

CollectionLog-2017.04.18-11.41.zip

[regist]

 

 

В папке AVZ файла quarantine.zip не было

- выполните такой скрипт в AVZ

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

 

после этого проверьте ещё раз.

+

1) "Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lonsale.ru/?utm_source=startpage03wmt&utm_content=c8072ebb3057f29d2fff0957d5bcc941&utm_term=F059D6C537B3607192F4CB8DE4D23ED0&utm_d=20161103

 

2) ProxyServer = 172.26.3.9:3128 - сами прописывали?

 

3)

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

5. Подробнее читайте в руководстве Как подготовить лог UVS.

 

[Sam King]

Добрый день

Файла quarantine.zip  создался, только он пустой, прилагаю. Утилитка HijackThis отработала. Прокси мой. И лог UVS

DESKTOP-44PCM4S_2017-04-18_16-51-00.7z

HiJackThis.log

quarantine.zip

[regist]

1)

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
  

  ;uVS v4.0b10 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\UNINST.EXE
  delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\UNINST.EXE
  dirzoo %SystemDrive%\PROGRAM FILES\TORTOISE SVN
  dirzoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH
  bl D4B7CD699E6458ED83A0A4DB08ED73C5 148992
  zoo %SystemDrive%\PROGRAM FILES\TORTOISE SVN\TORTOISESVN.DLL
  delall %SystemDrive%\PROGRAM FILES\TORTOISE SVN\TORTOISESVN.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
  deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\
  deldir %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH
  delref %SystemDrive%\TORRENTS\MICROSOFT VISIO PROFESSIONAL 2013 SP1 15.0.4649.1000 REPACK BY D!AKOV\VISIOPRO-2013.15.0.4649.1000X64\VISIOPRO-2013.15.0.4649.1000.EXE
  apply
  czoo
  restart

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
  

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте на этот почтовый ящик: с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
• Подробнее читайте в этом руководстве.

+

 сделайте свежий образ автозапуска.

Изменено 20 апреля, 2017 пользователем regist

[Sam King]

Отправил архив от uVS . Вот свежий образ автозапуска

DESKTOP-44PCM4S_2017-04-19_11-11-57.7z

[regist]

 

 

Отправил архив от uVS

Не пришло письмо, закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, , File.Karelia) ссылку на скачивание пришлите мне в ЛС.
 

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
  

  ;uVS v4.0b11 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  ;---------command-block---------
  zoo %SystemDrive%\USERS\KINGSAM\APPDATA\LOCAL\WUPDATE\WUPDATE.EXE
  delall %SystemDrive%\USERS\KINGSAM\APPDATA\LOCAL\WUPDATE\WUPDATE.EXE
  zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\MYH7XTKJDCN7.DLL
  delall %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\MYH7XTKJDCN7.DLL
  delref %SystemDrive%\PROGRAM FILES\WINDOWS DEFENDER\\MPCMDRUN.EXE
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\UPDMGR\308053~1.4\MCCOREPS.DLL
  delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6798.0207
  delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6798.0207\AMD64
  apply
  czoo
  restart

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• Подробнее читайте в этом руководстве.

что с проблемой?

[Sam King]

Отправил архив на quarantine@safezone.cc . И сюда прикрепляю

Изменено 19 апреля, 2017 пользователем regist

[regist]

Отправил архив на quarantine@safezone.cc

Я разве на эту почту просил отправить? Будьте внимательней.

Прикрепленные файлы

А к сообщению карантин прикреплять вообще запрещено

что с проблемой?

не ответили.

[Sam King]

Chrome перестал открывать ненужные сайты. Вроде проблема решена. А на ту почту я оправил потому,что по форме не получалось отправить. И там был этот адрес на случай если по форме не удастся отправить. Вот такие дела. Пребольшое спасибо за доставленное неудобство.

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Sam King]

Скрипт выполнил, все подчистил, большое мерси.