Перейти к содержанию
Правила раздела

Реклама в Google Chrome

Spanden

От Spanden
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\булат\appdata\roaming\safeweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Булат\AppData\Roaming\SafeWeb\ml.py', '');
 QuarantineFile('C:\Users\Булат\AppData\Roaming\SafeWeb\python\pythonw.exe', '');
 QuarantineFile('C:\PROGRA~3\ba9e6406\f560eb93.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{43377897-9EA1-25C4-FEE2-E9200DD9AA11}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Булат\AppData\Roaming\SafeWeb\ml.py', '32');
 DeleteFile('C:\Users\Булат\AppData\Roaming\SafeWeb\python\pythonw.exe', '32');
 DeleteFile('C:\PROGRA~3\ba9e6406\f560eb93.dll', '32');
 DeleteFileMask('c:\users\булат\appdata\roaming\safeweb', '*', true);
 DeleteDirectory('c:\users\булат\appdata\roaming\safeweb');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Ярлык

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Spanden Постоялец

Spanden

Опубликовано
  • Автор
Опубликовано

[KLAN-6407793758]

Благодарим за обращение в Антивирусную Лабораторию
Присланные вами файлы были проверены в автоматическом режиме.
В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

 

 

 

Утилита AdwCleaner использовалась перед сбором отчета в autologger. Соответственно прикрепил первый и второй отчеты.

ClearLNK-15.06.2017_09-00.log

AdwCleanerS0.txt

AdwCleanerS1.txt

AdwCleanerC0.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

При запуске сканирования появилось сообщение с ошибкой

Утилиту запускали правой кнопкой от имени администратора?
Ссылка на комментарий
Поделиться на другие сайты
Spanden Постоялец

Spanden

Опубликовано
  • Автор
Опубликовано

 

При запуске сканирования появилось сообщение с ошибкой

Утилиту запускали правой кнопкой от имени администратора?

 

да

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\ApphserftoHs\ff.NT
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822358
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B8A8202B1-8678-4B61-8B91-4EC48836C3CB%7D&gp=822368
FF Extension: (No Name) - C:\Users\Булат\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-01-16] [not signed]
FF Extension: (No Name) - C:\Users\Булат\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-01-16] [not signed]
FF Extension: (supermegabest) - C:\Users\Булат\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23]
FF Extension: (No Name) - C:\Users\Булат\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-01-16] [not signed]
FF Extension: (No Name) - C:\Users\Булат\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-01-16] [not signed]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Булат\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-05-26]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Булат\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-05-26]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Булат\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-26]
CHR StartupUrls: Default -> "hxxps://mail.ru/"
2017-06-13 08:16 - 2017-01-09 14:17 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-06-13 08:16 - 2017-01-09 14:17 - 00000000 ____D C:\ProgramData\ProductData
Task: {2D6FE8A2-2153-4EC7-87E2-BA3C1E87763C} - System32\Tasks\KMPFaster (Tray) => C:\Program Files (x86)\MyGoya\KMPFaster\ServiceProvider.exe [2016-03-10] (MyGoya) <==== ATTENTION
Task: {53E698E5-D174-4C12-84D3-569BCDC93ABF} - System32\Tasks\Uninstaller_SkipUac_Булат => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {CEF4E982-F29B-4335-BAC3-41F2BCC0E4D3} - System32\Tasks\Driver Booster SkipUAC (Булат) => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe
Task: {FACF80ED-99A6-4D69-957C-B07D2C5119E5} - System32\Tasks\KMPFaster => C:\Program Files (x86)\MyGoya\KMPFaster\KMPFaster.exe [2016-03-10] (MyGoya) <==== ATTENTION
Task: C:\WINDOWS\Tasks\KMPFaster (Tray).job => C:\Program Files (x86)\MyGoya\KMPFaster\ServiceProvider.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\KMPFaster.job => C:\Program Files (x86)\MyGoya\KMPFaster\KMPFaster.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Булат.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
FirewallRules: [{3D2286A9-E676-4D80-ABE5-6F8CE143F2F5}] => (Allow) C:\Program Files (x86)\MyGoya\KMPFaster\KMPFaster.exe
FirewallRules: [{83453EC9-5623-4286-BFEA-6E0C7744E5F1}] => (Allow) C:\Program Files (x86)\MyGoya\KMPFaster\KMPFaster.exe
FirewallRules: [{0F434403-E28F-4E6E-BCC9-C755FF7CA59E}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{5B4BDF71-E329-4002-A749-F30056EC9A18}] => (Allow) 㩃啜敳獲셜䅜灰慄慴剜慯業杮獜湳獜湳攮數
FirewallRules: [{B72629D4-4CBE-426F-83A3-E4B52A0D4F19}] => (Allow) 㩃啜敳獲셜䅜灰慄慴剜慯業杮獜湳獜癡略⹰硥e
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1. Что с проблемой?

 

2. Запустите еще раз сканирование FRST и проверьте не повторяется ли ошибка как в сообщении №5.

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Краб
      Google Chrome
      От Краб
      Заметил что у каждого браузера есть своя тема, а у Chrome нету.
      Обсуждаем тут
       
    • Bercolitt
      Странное поведение при заходе на mail.yandex через Google Chrome.
      От Bercolitt
      Если попытаться зайти в свой почтовый ящик mail.yandex через аккаунт с неправильным паролем, форма входа в аккаунт начинает быстро моргаться не реагируя на команды управление. Такое впечатление, что идет подбор пароля в автоматическом режиме. После перезагрузки закладки браузера,  учетная запись  ящика  блокируется.
      Если в приложении Kaspersky Password Manager с одним почтовым сервером связаны несколько учетных записей, то выбрать конкретную учетную запись для переходла не получается. Видишь одну учетную запись, а улетает совсем по другой.
    • kmscom
      Прошу проверить работу авторизации RUTUB при использовании браузера Google Chrome
      От kmscom
      у меня вот так показано верхнее меню в гугле

      крайний правый кружочек не кликабелен

      хотя в тоже время в Microsoft Edge

      и уведомления сразу показывает на значке колокольчика и аватар с птичкой кликабелен
       
      Я немогу понять, это проделки самого браузера (или его авторов) или у меня частная проблема.

      Сам сервис работает, но как авторизоваться в Google не понятно
      UPD в режиме ингкогнито, в Гугл работает.
      хм, будем разбираться
    • Neovolt
      C:\ProgramData\Google\Chrome\updater.exe
      От Neovolt
      Поймал майнер от KMS. MWB находит его, и перемещает нонстопом в карантин.
      путь C:\ProgramData\Google\Chrome\updater.exe
      Логи от FRST Прилагаю. Заранее спасибо!
      FRST.zip
    • KL FC Bot
      Легитимные расширения Chrome крадут пароли Facebook*
      От KL FC Bot
      Сразу после католического Рождества стало известно о многоэтапной атаке на разработчиков популярных расширений Google Chrome. Самой известной целью по иронии судьбы стало ИБ-расширение от компании Cyberhaven, скомпрометированное прямо перед праздниками (о таких рисках мы предупреждали). По мере расследования инцидента список пополнился как минимум 35 популярными расширениями с суммарным числом установок 2,5 млн копий. Целью злоумышленников является похищение данных из браузеров пользователей, которые установили троянизированные обновления расширений. В ходе данной кампании преступники фокусировались на похищении учетных данных от сервисов Meta* с целью компрометации чужих бизнес-аккаунтов и запуска своей рекламы за чужой счет. Но, в теории, вредоносные расширения позволяют похищать и другие данные из браузера. Рассказываем о том, как устроена атака и какие меры принять для защиты на разных ее этапах.
      Атака на разработчиков: злоупотребление OAuth
      Чтобы внедрить троянскую функциональность в популярные расширения Chrome, преступники разработали оригинальную систему фишинга. Они рассылают разработчикам письма, замаскированные под стандартные оповещения Google о том, что расширение нарушает политики Chrome Web Store и его описание необходимо скорректировать. Текст и верстка сообщения хорошо мимикрируют под типовые аналогичные письма Google, поэтому для жертвы письмо выглядит убедительно. Более того, во многих случаях письмо отправляется с домена, специально зарегистрированного для атаки на конкретное расширение и содержащего название расширения прямо в имени домена.
      Клик по ссылке в письме приводит на легитимную страницу аутентификации Google. Пройдя ее, разработчик видит еще один стандартный экран Google, предлагающий авторизоваться по OAuth в приложении Privacy Policy Extension и в рамках входа в это приложение дать ему определенные права. Эта стандартная процедура проходит на легитимных страницах Google, только приложение Privacy Policy Extension запрашивает права на публикацию расширений в Web Store. Если разработчик дает такое разрешение, то авторы Privacy Policy Extension получают возможность публикации обновлений в Web Store от лица жертвы.
      В данном случае атакующие не крадут пароль и другие реквизиты доступа разработчика, не обходят MFA. Они просто злоупотребляют системой Google по делегированию прав, чтобы выманить у разработчика разрешение на обновление его расширения. Судя по длинному списку зарегистрированных злоумышленниками доменов, они пытались атаковать гораздо больше, чем 35 расширений. В тех случаях, когда атака проходила успешно, они выпускали обновленную версию расширения, добавляя в него два файла, ответственные за кражу куки-файлов и других данных Facebook** (worker.js и content.js).
       
      View the full article
×
×
  • Создать...