Проблема с samplehigz.net

[anrey07]

Здравствуйте! У меня появилась проблема. Хотел я скачать себе Sony Vegas Pro 13, но, схватил себе вирусняк. В чём заключается проблема. Накачал я всякой фигни, опомнился, когда поставил нормальный вегас, зашёл посёрфить в инете, и вижу кучу баннеров с рекламой. Далее, навёл мышку на кнопку "пуск" и кнопки "Перезагрузка, Сон и Гибернация" были просто недоступны для нажатия. Windows 7. Сначала, скачался какой-то вирус, вроде в названии было Autorun. Потом всякая хрень с Mail.ru(амиго и т.д.). Затем, скачались Miner.gen и несколько других вирусов. Я установил антивирус Касперский, почистил систему, так же почистил реестр, службы, почистил папку Temp. Вроде всё нормализовалось. Выключаю комп, иду спать. На следующий день, снова баннеры, но, примечательная вещь: при запуске компьютера, появляется cmd.exe, и, запускается BITS загрузчик. Фото
Далее, запускается загрузка .zip файла с странным названием с сайта samplehighgz.net
Я выключаю консоль и загрузка прекращается. Прочистил через Касперский всё, установил AdWare, UnHackMe. Файл с логами от AutoLogger прикрепляю.

Так же, поялвяются баннеры с "непристойным содержанием", переадрессовка на страницы всяких Вулканов и Олимпов!

CollectionLog-2017.11.15-19.07.zip

Изменено 15 ноября, 2017 пользователем anrey07

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Администратор\AppData\Local\chinq.bat','');
 QuarantineFile('C:\Users\Администратор\AppData\Local\ksmjnzpgfhcv.bat','');
ExecuteFile('schtasks.exe', '/delete /TN "eykaxjrfkyrt" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "eltadli" /F', 0, 15000, true);
 DeleteFile('C:\WINDOWS\winstart.bat','32');
 DeleteFile('C:\Users\Администратор\AppData\Local\ksmjnzpgfhcv.bat','32');
 DeleteFile('C:\Users\Администратор\AppData\Local\chinq.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[anrey07]

@thyrex, 
Добрый день, всё сделано. Так же хочу сказать, что консоль уже не появляется при запуске компьютера. Теперь только баннеры и переадрессация на сайты с Вулканом и т.д.
[KLAN-7163925316]

 

Забыл добавить.

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
chinq.bat
ksmjnzpgfhcv.bat

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Изменено 16 ноября, 2017 пользователем anrey07

[thyrex]

Рекомендации нужно выполнять до конца

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[anrey07]

@thyrex,
Случайно не нажал кнопку загрузить. 

CollectionLog-2017.11.16-13.26.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[anrey07]

@thyrex, 
Сделано!

addtiohnandfrst.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
S2 SvcHost Service Host; "C:\Windows\Microsoft\svchost.exe" -k LocalService [X]
2017-11-12 10:08 - 2017-11-12 10:08 - 000000351 _____ () C:\Users\Администратор\AppData\Local\tnqqfcosd.bat
2017-11-12 10:08 - 2017-11-12 10:08 - 000000351 _____ () C:\Users\Администратор\AppData\Local\vniyiocdmtr.bat
Task: {6F2025BD-D54D-4DD1-9D0F-C04671BCD03C} - \100newsupnetsoxkziwx -> No File <==== ATTENTION
Task: {E61D92CA-963A-431A-AB7C-CF8706D08429} - \ifgker -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[anrey07]

@thyrex,
Сделано! переадрессация на сайты ещё осталась. 

Fixlog.txt

[thyrex]

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему

[anrey07]

@thyrex,
Отключил. Баннеров вроде нет, переадрессацию пока не видел. Но, Яндекс ещё говорит, что комп заражён и подменяет информацию. 

[thyrex]

Сделайте лог полного сканирования МВАМ

[anrey07]

@thyrex,
Сделал.
Malware Bytes сказал, что обнаружил 104(!!!!!!!) угрозы. 

logmalware.txt

[thyrex]

Удалите в МВАМ все найденное

[anrey07]

@thyrex, 
Яндекс больше не ругается, баннеров нет, передрессации нет! Спасибо вам огромнейшее, чтобы я без вас делал...
Бегу выполнять рекомендации после удаления вирусов, MBAM деинсталлировал.