Рекламная шапка на всех сайтах

[Nick N.]

Чтобы не начинать новую тему: ситуация аналогичная. Только в браузере хром в шапку каждого сайта добавляются ссылки на скрипты с trytoweb.pro

 

например:

<script charset="UTF-8" src="//b.trytoweb.pro/code/x/z/?pid=744104"></script>

Как итог: рекламная шапка на всех сайтах. Чем только уже не чистил и не проверял: удалило целую пачку каких-то вредоносных программ и т.д. Но реклама как была, так и осталась

 

Спасибо за помощь!

CollectionLog-2017.07.06-23.40.zip

Изменено 6 июля, 2017 пользователем Nick N.

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\ADCC~1\AppData\Roaming\BESTSA~1\app.py','');
 QuarantineFile('C:\Users\Виктория\AppData\Roaming\HwmonitorApp\HwmonitorApp.exe','');
 QuarantineFile('C:\Users\ADCC~1\AppData\Roaming\BESTSA~1\ml.py','');
 QuarantineFile('C:\Users\ADCC~1\AppData\Roaming\BESTSA~1\python\pythonw.exe','');
 DeleteFile('C:\Users\ADCC~1\AppData\Roaming\BESTSA~1\python\pythonw.exe','32');
 DeleteFile('C:\Users\ADCC~1\AppData\Roaming\BESTSA~1\ml.py','32');
 DeleteFile('C:\Users\Виктория\AppData\Roaming\HwmonitorApp\HwmonitorApp.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HwmonitorApp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bestsalesprofit');
 DeleteFile('C:\Users\ADCC~1\AppData\Roaming\BESTSA~1\app.py','32');
 DeleteFile('C:\Windows\system32\Tasks\bestsalesprofit2','64');
 DeleteFile('C:\Windows\system32\Tasks\bestsalesprofit','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger