реклама в Chrome

[LeonidM 0]

После скачанного файла запустились рекламные окна в Хром и Эксплорере

Kaspersky Virus Removal  все почистил, но проблема осталась - после

перезагрузки снова открываются

 

 

CollectionLog-2017.04.27-10.41.zip

[regist 617]

Здравствуйте!

 

Создайте точку восстановления системы.

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Prifashnerqagh Helper\local64spl.dll', '');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe', '');
 QuarantineFileF('C:\Program Files (x86)\Prifashnerqagh Helper\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\locep\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\ProgramData\locep\Toughjob.dll', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
 QuarantineFileF('C:\Users\8523~1\AppData\Roaming\SearchAY\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.py*, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Александр\AppData\Roaming\WinSAPSvc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('    C:\windows\psgo\', '*', true, '', 0, 0);
 QuarantineFile('C:\windows\psgo\psgo.ps1', '');
 QuarantineFileF('C:\Users\Александр\AppData\Local\SNARE\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('c:\users\александр\appdata\local\kitty\kitty.dll', '');
 QuarantineFileF('c:\users\александр\appdata\local\kitty\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\a3a1d6b8109861c5\Google Hangouts.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 DeleteFile('C:\windows\psgo\psgo.ps1');
 DeleteFile('c:\users\александр\appdata\local\kitty\kitty.dll');
 DeleteFile('C:\Program Files (x86)\Prifashnerqagh Helper\local64spl.dll', '32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe', '32');
 DeleteFile('C:\windows\psgo\psgo.ps1', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Groqushprad" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Samsung Update" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\8523~1\AppData\Roaming\SearchAY\', '*', true);
 DeleteFileMask('C:\Users\Александр\AppData\Roaming\WinSAPSvc\', '*', true);
 DeleteDirectory('C:\Users\Александр\AppData\Roaming\WinSAPSvc\');
 DeleteDirectory('C:\Users\8523~1\AppData\Roaming\SearchAY\');
 RegKeyDel('hklm', 'SYSTEM\CurrentControlSet\Services\WinSAPSvc');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ пришлите на почту , укажите  в письме ссылку на тему, в которой просили прислать файлы.

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Изменено 27 апреля, 2017 пользователем regist

[LeonidM 0]

virusinfo

 

https://virusinfo.info/virusdetector/report.php?md5=81C9BD5BF6EF6C026E4F1EB6278B4D36

 

 

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

 

 

AdwCleanerS0.txt

CollectionLog-2017.04.27-12.55.zip

Изменено 27 апреля, 2017 пользователем LeonidM

[regist 617]

1) Есть форма для быстрого ответа внизу. Не надо заниматься оверквотингом.

 

2) Программы/расширения от Mail.ru используете?
 

[LeonidM 0]

надеюсь что нет - но поиск все время откуда то вылезает mail.ru

[regist 617]

1) "Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF-kkCnY4NNVB5Jx_9_iQ_pTsQptmTcOaUMkL4goVE_gE10fSv3LXB0Vi6cXS59TvYBssXl-V2drS7mQaiS0OWdmXaHWYRFpI19yZEmQ2sQH6kyYVBlki-CQ8i3Z0nDSFJ10_9gdJw_E-gm
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command,(default) = C:\Program Files\Internet Explorer\iexplore.exe http://www.ourluckysites.com/?type=sc&ts=1493275131&z=b2c271c0f6c53b7937aaf39gcz6t1cdodmcweg3c7o&from=che0812&uid=WDCXWD10JPVX-60JC3T0_WD-WX91A14F1039F1039
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ourluckysites.com/?type=hp&ts=1493275131&z=b2c271c0f6c53b7937aaf39gcz6t1cdodmcweg3c7o&from=che0812&uid=WDCXWD10JPVX-60JC3T0_WD-WX91A14F1039F1039
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.ourluckysites.com/search/?type=ds&ts=1493275131&z=b2c271c0f6c53b7937aaf39gcz6t1cdodmcweg3c7o&from=che0812&uid=WDCXWD10JPVX-60JC3T0_WD-WX91A14F1039F1039&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.ourluckysites.com/search/?type=ds&ts=1493275131&z=b2c271c0f6c53b7937aaf39gcz6t1cdodmcweg3c7o&from=che0812&uid=WDCXWD10JPVX-60JC3T0_WD-WX91A14F1039F1039&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ourluckysites.com/?type=hp&ts=1493275131&z=b2c271c0f6c53b7937aaf39gcz6t1cdodmcweg3c7o&from=che0812&uid=WDCXWD10JPVX-60JC3T0_WD-WX91A14F1039F1039
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{04CC3F4E-D17C-4073-90F0-389EEEB4EE6F} - (no name) - (no URL)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} - ourluckysites - http://www.ourluckysites.com/search/?type=ds&ts=1493275131&z=b2c271c0f6c53b7937aaf39gcz6t1cdodmcweg3c7o&from=che0812&uid=WDCXWD10JPVX-60JC3T0_WD-WX91A14F1039F1039&q={searchTerms}
R4 - HKLM\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86} - ourluckysites - http://www.ourluckysites.com/search/?type=ds&ts=1493275131&z=b2c271c0f6c53b7937aaf39gcz6t1cdodmcweg3c7o&from=che0812&uid=WDCXWD10JPVX-60JC3T0_WD-WX91A14F1039F1039&q={searchTerms}
R4 - HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} - ourluckysites - http://www.ourluckysites.com/search/?type=ds&ts=1493275131&z=b2c271c0f6c53b7937aaf39gcz6t1cdodmcweg3c7o&from=che0812&uid=WDCXWD10JPVX-60JC3T0_WD-WX91A14F1039F1039&q={searchTerms}
O4 - HKLM\..\Run: [WindowsDefender] C:\Program Files\Windows Defender\MSASCuiL.exe  (file missing)
O20 - AppInit_DLLs: C:\ProgramData\locep\Toughjob.dll
O22 - Task (Ready): Driver Booster SkipUAC (Александр) - C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DriverBooster.exe /skipuac (file missing)
O22 - Task (Ready): Perkettimise Collector - C:\Program Files (x86)\Lsitanafach\xarapoy.exe 7c37ce16-32bc-4bb5-9be7-cd1e81835b0a (file missing)
O22 - Task (Ready): Prifashnerqagh Helper - C:\Program Files (x86)\Lsitanafach\xanermuy.exe 62b0a1ef-8d5d-4e8b-be01-0e5e8286e169 (file missing)
O22 - Task (Ready): SearchAY - C:\Users\8523~1\AppData\Roaming\SearchAY\python\pythonw.exe "C:\Users\8523~1\AppData\Roaming\SearchAY\ml.py" --APPNAME="SearchAY" (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\RegisterObject - C:\ProgramData\RegisterObject\RegisterObject.exe /DoWatch /Id 6 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Multimedia\Manager - C:\Windows\Manager.exe 604C4206-B430-43E1-A102-8BF11249AEC2 (file missing)

 

 

2)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

 

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

4) Сделайте свежий лог AdwCleaner и Автологера.

[LeonidM 0]

все сделал

ClearLNK-27.04.2017_17-25.log

AdwCleanerC0.txt

[regist 617]

4-й пункт не сделали.

 

+ папку

C:\AdwCleaner\quarantine

заархивируйте, закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС.
 

[LeonidM 0]

да виноват - не уследил 

 

 

 

AdwCleanerS3.txt

CollectionLog-2017.04.27-22.25.zip

Изменено 27 апреля, 2017 пользователем LeonidM

[regist 617]

Содержимое этих папок знакомо?

C:\Windows\psgo
C:\Insist

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[LeonidM 0]

папки впервые вижу  

 

файлы прикрепил

Addition.txt

FRST.txt

Shortcut.txt

[regist 617]

1) WinZip 21.5 - сами ставили?

 

7-Zip 9.20 - надо бы обновить до актуальной версии.

 

2) Проверьте этот файл на virustotal

C:\Users\Александр\AppData\Roaming\Zanigh\Sterzoingtujation.dll

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

 

3) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\...\Providers\ui33lt8v: C:\Program Files (x86)\Prifashnerqagh Helper\local64spl.dll
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
U3 McAPExe; no ImagePath
U3 McMPFSvc; no ImagePath
U3 McNaiAnn; no ImagePath
U3 mcpltsvc; no ImagePath
U3 McProxy; no ImagePath
U3 mfecore; no ImagePath
U3 MSK80Service; no ImagePath
2017-04-26 09:55 - 2017-04-27 12:12 - 00000000 ____D C:\Windows\psgo
2017-04-26 09:55 - 2017-04-27 12:12 - 00000000 ____D C:\Program Files (x86)\MIO
2017-04-26 09:52 - 2017-04-26 09:52 - 00000000 ____D C:\Program Files (x86)\Lsitanafach
2017-04-26 09:52 - 2017-04-26 09:52 - 00000000 ____D C:\Insist
Shortcut: C:\Users\Александр\AppData\Roaming\Microsoft\Excel\Копия%20Filtry_(09(1).10.09)%20Результаты305867300441290299\Копия%20Filtry_(09(1).10.09)%20Результаты.xls.lnk -> H:\Копия Filtry_(09(1).10.09) Результаты.xls (No File) <===== Cyrillic
HKU\S-1-5-21-1353203536-4064208175-3167925688-1002\...\StartupApproved\Run: => "Zaxar"
FirewallRules: [{336D008C-DA53-4B7D-A179-0D06CB7618B7}] => (Allow) C:\Program Files\UBar\ubar.exe
2017-04-19 20:38 - 2017-04-22 09:05 - 00000000 ____D C:\ProgramData\ProductData
2017-04-19 20:38 - 2017-04-19 20:39 - 00000000 ____D C:\Users\Александр\AppData\LocalLow\IObit
2017-04-19 20:38 - 2017-04-19 20:38 - 00000000 ____D C:\Windows\IObit
2017-04-19 20:38 - 2017-04-19 20:38 - 00000000 ____D C:\ProgramData\IObit
2017-04-19 20:36 - 2017-04-19 20:36 - 00000000 ____D C:\Users\Александр\AppData\Roaming\IObit
Folder: C:\Users\Александр\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk
Folder: C:\Program Files\73198cafab526f66edfdae98319030c4
Folder: C:\ProgramData\loceps
Folder: C:\Program Files\N47SAYHT6U
Folder: C:\Users\Александр\AppData\Local\FF20459C-DA6E-41A7-80BC-8F4FEFD9C575
Folder: C:\Users\Александр\AppData\Local\E3605470-291B-44EB-8648-745EE356599A
Folder: C:\Users\Александр\AppData\Roaming\Cehichrocerch
Folder: C:\Program Files\XS3RLKC6KZ
Folder: C:\Program Files\T7DO5F81YB
Folder: C:\Program Files\GV6RAR76LM
Folder: C:\Program Files\8XOVNS0YB6
Folder: C:\Program Files\MRV9XCXXO5
Folder: C:\Users\Александр\AppData\Roaming\Zanigh
Folder: C:\Users\Александр\AppData\Local\Phecerghtstenage
Folder: C:\Users\Александр\AppData\Roaming\13130128
Folder: C:\Program Files\MWOBMCPPQW
Folder: C:\Program Files\AUV9J3DGLD
Folder: C:\Program Files\1XDXLXTL49
Folder: C:\Program Files\0CIT6L7FQP
Folder: C:\Users\Александр\AppData\Roaming\14270100
Folder: C:\Program Files\O8PBIKXN03
Folder: C:\Program Files\1YO76OCYQP
Folder: C:\Program Files\BitTorrent
Folder: C:\Program Files\543OCLV0RA
Folder: C:\Program Files (x86)\Prifashnerqagh Helper
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

[regist 617]

 

WinZip - да, мой - я попытался другим архиватором, раз

 

7Z стирали

Про 7-zip я писал, что его надо обновить до актуальной версии, а не что его надо совсем удалить. Ничего против против 7-zip не имею, сам им пользуюсь. Актуальная его версия 16.04 от 04.10.2016, а установленная у вас 9.20 от 2010-11-18. Как понимаете там было исправлено куча ошибок и в вашей версии нет поддержки некоторых популярных сейчас форматов, которые есть в свежей версии.

Изменено 28 апреля, 2017 пользователем regist

[LeonidM 0]

результат C:\Users\Александр\AppData\Roaming\Zanigh\Sterzoingtujation.dll

 

 

https://www.virustotal.com/ru/file/dc245c7f57e59e51e6a9cb7b22cef36f12f2213221d51c3ba0b95f14b0127990/analysis/

 

 

 

и в прикрепленном файле

Fixlog.txt

[regist 617]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
C:\Users\Александр\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk
C:\Program Files\73198cafab526f66edfdae98319030c4
C:\ProgramData\loceps
C:\Program Files\N47SAYHT6U
C:\Users\Александр\AppData\Local\FF20459C-DA6E-41A7-80BC-8F4FEFD9C575
C:\Users\Александр\AppData\Local\E3605470-291B-44EB-8648-745EE356599A
C:\Users\Александр\AppData\Roaming\Cehichrocerch
C:\Program Files\XS3RLKC6KZ
C:\Program Files\T7DO5F81YB
C:\Program Files\GV6RAR76LM
C:\Program Files\8XOVNS0YB6
C:\Program Files\MRV9XCXXO5
C:\Users\Александр\AppData\Roaming\Zanigh
C:\Users\Александр\AppData\Local\Phecerghtstenage
C:\Users\Александр\AppData\Roaming\13130128
C:\Program Files\MWOBMCPPQW
C:\Program Files\AUV9J3DGLD
C:\Program Files\1XDXLXTL49
C:\Program Files\0CIT6L7FQP
C:\Users\Александр\AppData\Roaming\14270100
C:\Program Files\O8PBIKXN03
C:\Program Files\1YO76OCYQP
C:\Program Files\BitTorrent
C:\Program Files\543OCLV0RA
C:\Program Files (x86)\Prifashnerqagh Helper
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.