Поймал вирус с появлением ****.tmp.exe и появлением рекламы в главном браузере.

[Сергей Рудаков]

Вот недавно словил вирус с файлами ****.tmp.exe и рекламой в браузере.
Пробовал много методов но нечего не помогало.
Заранее спасибо за помощь.

[regist]

Порядок оформления запроса о помощи
 

[Сергей Рудаков]

Вот недавно словил вирус с файлами ****.tmp.exe и рекламой в браузере.
Пробовал много методов но нечего не помогало.
Заранее спасибо за помощь.

(Первую тему можно удалить)

 

Сообщение от модератора Msrk D. Pearlstone

Темы объединены

CollectionLog-2017.05.19-19.13.zip

[regist]

Здравствуйте!

 

1) В hosts строки сами добавляли?

 

2)

GRIZZLY Антивирус [2017/05/14 18:25:58]-->C:\Program Files (x86)\GRIZZLY Antivirus\uninstall.exe

установлен всего несколько дней назад. Сами его ставили?

 

3)

Driver Booster 4.3 [20170323]-->"C:\Program Files (x86)\IObit\Driver Booster\4.3.0\unins000.exe"
IObit Uninstaller [20170428]-->"C:\Program Files (x86)\IObit\IObit Uninstaller\unins000.exe"

Советую удалить, особенно Driver Booster это Потенциально Нежелательные Программы.

 

4)

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Serge\AppData\Roaming\Sun\Windows Mail\wabmig.exe', '');
 QuarantineFile('C:\Users\Serge\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Serge\AppData\Local\PowerMonitor\PowerMonitor.exe', '');
 QuarantineFile('C:\Users\Serge\Favorites\Links\Интернет.url', '');
 DeleteFile('C:\Users\Serge\Favorites\Links\Интернет.url');
 DeleteFile('C:\Users\Serge\AppData\Roaming\Sun\Windows Mail\wabmig.exe');
 DeleteFile('C:\Users\Serge\AppData\Roaming\Microsoft\msi.exe');
 DeleteFile('C:\Users\Serge\AppData\Local\PowerMonitor\PowerMonitor.exe');
 DeleteFile('C:\Users\Serge\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "One Drive Update" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hlelwtebah');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

5)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

6) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

7)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Сергей Рудаков]

1). Нет.
2). Да
3). Удалил.
4). https://virusinfo.info/virusdetector/report.php?md5=F0728F633AD96002EDFC056F6070D6A7
5). KLAN-6265927126
6)

ClearLNK-19.05.2017_20-27.log

CollectionLog-2017.05.19-20.40.zip

[regist]

По 1-му пункту, всё-таки ещё раз переспрошу. Эти строки значит вам не знакомы и сбросить его?

127.0.0.1 csgoback.net
127.0.0.1       98.129.229.186
127.0.0.1       www.iana.org
127.0.0.1       iana.org
127.0.0.1       98.129.229.186
127.0.0.1       www.iana.org
127.0.0.1       iana.org
127.0.0.1       98.129.229.186
127.0.0.1       www.iana.org
127.0.0.1       iana.org
127.0.0.1       98.129.229.186
127.0.0.1       www.iana.org
127.0.0.1       iana.org
127.0.0.1            176.31.241.10
127.0.0.1            54.148.249.18
127.0.0.1            54.68.188.84
127.0.0.1            54.221.244.28
127.0.0.1            40.77.226.250
127.0.0.1            54.187.37.182
127.0.0.1            serwer2.paka-service.com
127.0.0.1            thislineskipsanyemptylines
127.0.0.1            mirillis.com
127.0.0.1            ns386119.ovh.net
127.0.0.1            mirillis.pl
127.0.0.1            mirillis.eu
127.0.0.1            www.mirillis.com
127.0.0.1            updates.mirillis.com  

не похожи они на вирусные.

1) ProxyServer = 104.198.97.73:80 - сами прописывали?

 

2)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

3) "Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [GameCenterMailRu] C:\Users\Serge\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing)
O22 - Task (Ready): ASC10_SkipUac_Serge - C:\Advanced SystemCare\ASC.exe /SkipUac (file missing)
O22 - Task (Ready): Driver Booster SkipUAC (Serge) - C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DriverBooster.exe /skipuac (file missing)
O22 - Task (Ready): MSI - C:\Users\Serge\AppData\Roaming\Microsoft\msi.exe cnt=1 fts="Microsoft\msi.exe" (file missing)
O22 - Task (Ready): Microsoft Windows Mail - C:\Users\Serge\AppData\Roaming\Sun\Windows Mail\wabmig.exe 5mcpG3HW1dY43ExLWcx9GZjbS72H7eqkMzedxEf8yTd9PUT2xGKceHrFhjPPa6RPtsQdc7mD8UdZVAjLFusbyzjqdVhWY44 (file missing)
O22 - Task (Ready): PowerMonitor - C:\Users\Serge\AppData\Local\PowerMonitor\PowerMonitor.exe --stid="10899" (file missing)
O22 - Task (Ready): RunAsStdUser_GameCenterMailRu - C:\Users\Serge\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -updated -lowermode "mailrugames://uninstall/0.1177" /unique=1374640 (file missing)

 

Если записи в hosts не нужны, то также пофиксить строку

O1 - Hosts: Reset contents to default

3) Программы/расширения от Mail.ru используете?
 

4) Проблема ещё осталась?