Перейти к содержанию

Вирус открывает рекламные сайты и показывает баннеры


Рекомендуемые сообщения

В браузере Опера прописался этот вирус и показывает всплывающую рекламу.

Ярлыки оперы заменились на какую-то программу Hp Zebra, удалил ее. 

Следы в системе остались.

 

Сделал логи, только антивирус Нод32 не смог выключить, т.к. контроль учетных записей в windows 8.1 не дал это сделать. 

Я отключал его, но все равно он работает и не дает выключить антивирус.

 

Еще какая-то программа в списке установленных программ находится, удалить ее не смог, т.к. требует установочные файлы.

 

CollectionLog-2017.05.17-19.56.zip

 

Как удалить до конца следы вредных программ?

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\YoutubeAdBlockU\zbhA5I2.dll','');
 QuarantineFile('C:\Program Files (x86)\VKOKAdBlockU\guKokOl.dll','');
 QuarantineFile('C:\Users\Екатерина\AppData\Local\FilterStart\FilterStart.exe','');
 TerminateProcessByName('c:\users\Екатерина\appdata\local\filterstart\filterstart.exe');
 QuarantineFile('c:\users\Екатерина\appdata\local\filterstart\filterstart.exe','');
 DeleteFile('c:\users\Екатерина\appdata\local\filterstart\filterstart.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZebraStarter');
 DeleteFile('C:\Windows\system32\Tasks\Line Request Manager','64');
 DeleteFile('C:\Users\Екатерина\AppData\Local\FilterStart\FilterStart.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Root Trusted Mgr','64');
 DeleteFile('C:\Program Files (x86)\VKOKAdBlockU\guKokOl.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for FF20459C-DA6E-41A7-80BC-8F4FEFD9C575','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for FF20459C-DA6E-41A7-80BC-8F4FEFD9C5752','64');
 DeleteFile('C:\Program Files (x86)\YoutubeAdBlockU\zbhA5I2.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for E3605470-291B-44EB-8648-745EE356599A2','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for E3605470-291B-44EB-8648-745EE356599A','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты

Ответ от лаборатории:

 

 

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
FilterStart.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Номер KLAN-6298822779

 

ClearLNK-25.05.2017_20-04.log

 

CollectionLog-2017.05.25-20.07.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Sapfira
      Автор Sapfira
      Обнаружилось, что для одного из SSD нет столбиков "текущее", наихудшее" и "порог", показывает только Raw-значения. Раньше, вроде, всё было.
      С чем может быть связано? У другого SSD всё на месте.

    • Константин И.М.
      Автор Константин И.М.
      CrystalDiskInfo 9.6.3 показывает в трее не все логические диски,
      У меня четыре логических диска – видно три.
      На первом скриншоте видны все лог. диски, а на втором нет.  
       У меня WDC WD10EZEX-75WN4A0 : 1000,2 GB,  на других работает нормально
      Подключаю этот HDD через  USB – всё показывает без проблем.


    • Хасан Абдурахман
      Автор Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • Михаил Ш.
      Автор Михаил Ш.
      Обнаружил у себя в кэше на сервере подозрительные записи.
      KES стоит, подозрительной активности не наблюдаю, так что вроде бы сервер в порядке.
      Но данных по сайту в интернете нет.
      Главная страница это явно инжектор скриптов, что в таком виде как сейчас явно намекает на нелегитимное использование.
      Возможно из KSN можно получить больше полезной информации? и в случае подтверждения опасений внести в базу.
       
      Имена:
      tonzz3.ru
      hit.tonzz3.ru
      hitcrypt.tonzz3.ru
       
      P.S. не нашёл подходящей темы и выбрал текущую. Помощь с сервером не нужна.
      Сообщение от модератора kmscom тема перемещена из раздела Помощь в удалении вирусов
    • PiGeMa
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
×
×
  • Создать...