реклама в браузерах

[ArCtic]

реклама в браузерах

CollectionLog-2017.07.30-00.44.zip

Изменено 29 июля, 2017 пользователем ArCtic

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('esgiguard');
 TerminateProcessByName('c:\users\olga\appdata\roaming\cppredistx86.exe');
 QuarantineFile('c:\users\olga\appdata\roaming\cppredistx86.exe','');
 DeleteFile('c:\users\olga\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys','32');
 DeleteFile('C:\Windows\system32\Tasks\ASC10_PerformanceMonitor','64');
 DeleteFile('C:\Windows\system32\Tasks\ASC10_SkipUac_Olga','64');
 DeleteFile('C:\Windows\system32\Tasks\SmartDefrag_Startup','64');
 DeleteFile('C:\Windows\system32\Tasks\SmartDefrag_Update','64');
 DeleteFile('C:\Windows\system32\Tasks\SmartDefrag_AutoAnalyze','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

O17 - HKLM\System\CSS\Services\Tcpip\..\{18C9545C-4F5D-4DC2-B372-8D9C98EA16A4}: NameServer = 82.163.142.178
O17 - HKLM\System\CSS\Services\Tcpip\..\{18C9545C-4F5D-4DC2-B372-8D9C98EA16A4}: NameServer = 82.163.143.176
O17 - HKLM\System\CSS\Services\Tcpip\..\{6ACE3767-5E9D-4B12-8E5F-066F868F29CD}: NameServer = 82.163.142.178
O17 - HKLM\System\CSS\Services\Tcpip\..\{6ACE3767-5E9D-4B12-8E5F-066F868F29CD}: NameServer = 82.163.143.176
O17 - HKLM\System\CSS\Services\Tcpip\..\{99F33F4A-41A0-45B0-8FF3-DF20BD8EB494}: NameServer = 82.163.142.178
O17 - HKLM\System\CSS\Services\Tcpip\..\{99F33F4A-41A0-45B0-8FF3-DF20BD8EB494}: NameServer = 82.163.143.176
O17 - HKLM\System\CSS\Services\Tcpip\..\{E973014B-987F-4A59-A380-A281F35C3A74}: NameServer = 82.163.142.178
O17 - HKLM\System\CSS\Services\Tcpip\..\{E973014B-987F-4A59-A380-A281F35C3A74}: NameServer = 82.163.143.176
O17 - HKLM\System\CSS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{18C9545C-4F5D-4DC2-B372-8D9C98EA16A4}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{18C9545C-4F5D-4DC2-B372-8D9C98EA16A4}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{6ACE3767-5E9D-4B12-8E5F-066F868F29CD}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{6ACE3767-5E9D-4B12-8E5F-066F868F29CD}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{99F33F4A-41A0-45B0-8FF3-DF20BD8EB494}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{99F33F4A-41A0-45B0-8FF3-DF20BD8EB494}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{E973014B-987F-4A59-A380-A281F35C3A74}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{E973014B-987F-4A59-A380-A281F35C3A74}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet001\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{18C9545C-4F5D-4DC2-B372-8D9C98EA16A4}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{18C9545C-4F5D-4DC2-B372-8D9C98EA16A4}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6ACE3767-5E9D-4B12-8E5F-066F868F29CD}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6ACE3767-5E9D-4B12-8E5F-066F868F29CD}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{99F33F4A-41A0-45B0-8FF3-DF20BD8EB494}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{99F33F4A-41A0-45B0-8FF3-DF20BD8EB494}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E973014B-987F-4A59-A380-A281F35C3A74}: NameServer = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E973014B-987F-4A59-A380-A281F35C3A74}: NameServer = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[ArCtic]

quarantine.zip - пустой архив,KLAN-6588848322

 

CollectionLog-2017.07.30-10.40.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[ArCtic]

готово

Desktop.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
AppInit_DLLs-x32: C:\PROGRA~3\VKSaver\vksaver3.dll => No File
FF Extension: (IObit Surfing Protection & Ads Removal) - C:\Users\Olga\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\ascsurfingprotectionnew@iobit.com.xpi [2016-10-25]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [No File]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-3041377557-1030448359-1575073330-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3041377557-1030448359-1575073330-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
ContextMenuHandlers4: [IObit Malware Fighter] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} =>  -> No File
ContextMenuHandlers6: [IObit Malware Fighter] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} =>  -> No File
Task: {0F75A770-05A4-42FA-98FF-FEA1C94E7314} - \topsnote -> No File <==== ATTENTION
Task: {23DC8459-0922-4FD4-B609-15F943D21F62} - \ASC10_PerformanceMonitor -> No File <==== ATTENTION
Task: {2CC56ED6-0DCC-4700-B9F6-092FF1047777} - \SmartDefrag_Update -> No File <==== ATTENTION
Task: {2E991FDF-1D24-4696-9B39-705B4390A982} - \{E2A0B5B5-550B-021E-9063-B1E0EC60945A} -> No File <==== ATTENTION
Task: {54EF953F-93A7-43E3-9309-47EC2CE8E765} - \SmartDefrag_AutoAnalyze -> No File <==== ATTENTION
Task: {A802A296-1976-4EB9-8A2F-B33BC51EABB2} - System32\Tasks\Uninstaller_SkipUac_Olga => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {A8166037-30BC-421B-9C9A-322998B826F1} - \ASC10_SkipUac_Olga -> No File <==== ATTENTION
Task: {B964F7FB-9F89-4E03-A1F0-8A12C62739E6} - \{780E7A47-7A7E-080E-0E11-0D09050E110B} -> No File <==== ATTENTION
Task: {BD05D6D9-AC54-470C-85AD-CDCA5B948BDD} - \MailRuUpdater -> No File <==== ATTENTION
Task: {E106F0BE-5D32-473B-AA54-9AC89C43102F} - \One System Care Task -> No File <==== ATTENTION
Task: {E67D9AC9-509F-49E9-BA28-00FD7F8587E2} - \SmartDefrag_Startup -> No File <==== ATTENTION
Task: {EAF53034-BB74-48C3-9DE4-7B6697E5D00D} - \{F7B5720A-A3C0-9A4F-7DA1-940DA0AA6211} -> No File <==== ATTENTION
Task: {EBA3D67A-64AA-4CEC-B5AB-9BBAB78F93E3} - \{7E0B7A47-0B09-0C0E-7D11-7D0F7F0C1105} -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[ArCtic]

готово

Fixlog.txt

[thyrex]

Что с проблемой?

[ArCtic]

вроде в норме, еще нужны какие-нибудь окончательные логи?

[thyrex]

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Скопируйте содержимое файла в свое следующее сообщение.

[ArCtic]

готово

 

SecurityCheck.txt

[thyrex]

------------------------------- [ Windows ] -------------------------------

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.37 v.7.37.103 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 141 (64-bit) v.8.0.1410.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u144-windows-x64.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Acrobat Reader DC - Russian v.15.020.20039 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Yandex v.17.7.0.1537 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.60.0.3112.78

---------------------------- [ UnwantedApps ] -----------------------------

Intel Security True Key v.4.19.108.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

Исправляйте указанное