Перейти к содержанию

Вирус-расширение для хрома


Рекомендуемые сообщения

День добрый) прошу помощи у добрых людей! 


Второй раз, практически идентичная проблема, но теперь только на другом компе...


У самого не вышло удалить вирус никакими своими (дилетантскими) способами.


 


Суть: В хроме, которым я пользуюсь и хочу пользоваться появиились всякие вирусные расширения либо вирусные настройки хрома, которые постоянно портят кровь, после мнимого удаления их антивирусами- они вновь появляются заново. 


Помогите, пожалуйста...прикрепляю логи и скрин того как касперский это видит


post-39621-0-84020300-1498687634_thumb.jpg

CollectionLog-2017.06.29-00.59.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\krapi\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\krapi\AppData\Roaming\setupsk\ml.py', '');
 QuarantineFile('C:\Users\krapi\AppData\Roaming\setupsk\python\pythonw.exe', '');
 QuarantineFile('C:\Users\krapi\Favorites\Links\Интернет.url', '');
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true);
 DeleteFile('C:\Users\krapi\AppData\Roaming\setupsk\ml.py', '32');
 DeleteFile('C:\Users\krapi\AppData\Roaming\setupsk\python\pythonw.exe', '32');
 DeleteFileMask('c:\users\krapi\appdata\roaming\setupsk', '*', true);
 DeleteDirectory('c:\users\krapi\appdata\roaming\setupsk');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

Благодарю!  Отчет приложил, а ответ такой:

 

[KLAN-6464440482]

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Авиабилеты.url
Интернет.url
Яндекс.url

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

AdwCleanerC2.txt

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Проведите эту процедуру.

Это сделали? Где ссылка?
Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811013
    FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B0504F56D-9B1A-44A3-BD8A-51F1EE3E17B3%7D&gp=811014
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\krapi\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-06-05]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\krapi\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-06-05]
    FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\krapi\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-06-05]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Сообщите что с проблемой.

Ссылка на сообщение
Поделиться на другие сайты

Прикрепляю. По вирус-инфо ответ пока не сформирован... прошел час.

Проблема пока не дает о себе знать. Большое спасибо! отпишу если что-то всплывет

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Проделайте завершающие шаги:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

ответ пока не сформирован

Когда будет, сообщите.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

 

 


Когда будет, сообщите.

 

 

Ответ так и не появился, я сделал новый запрос, но он создался с тем-же идентификационным номером... буду ждать

Остальные действия выполню вечером и отпишу тоже.

Благодарю!

Ссылка на сообщение
Поделиться на другие сайты

Sandor, привет!

Пришли результаты только пару часов назад https://virusinfo.info/virusdetector/report.php?md5=B17BDC313E8B3EA99B78C952BC718986

Также прикладываю Лог


Насчет вируса - на самом деле я уже не совсем уверен, что он не удален. Но буду рад если посмотрите последние логи

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...