Реклама Вулкан и не Вулкан в браузере

[Илья Махаев]

Здравствуйте.

 

Вчера скачал торрент файл, который оказался вредоносным ПО. Теперь реклама Вулкан и иже с ним в браузере Опера наше все. Пробовал и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, но проблему это не решило. В Хроме теперь главная Mail, от него же и поиск.

 

Запускал как написано AutoLogger, но никакого архива так и не получилось почему-то.

 

Прикрепляю, то что сохранил AutoLogger. Я ламер, полнейший ламер. Помогите пожалуйста

log.txt

info.txt

Изменено 5 декабря, 2017 пользователем Илья Махаев

[Sandor]

Здравствуйте!

 

Выполните скрипт в AVZ (...\Autologger\AVZ\avz.exe) (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

[Илья Махаев]

Здравствуйте!

 

Выполните скрипт в AVZ (...\Autologger\AVZ\avz.exe) (Файл - Выполнить скрипт):

 

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

 

 

Здравствуйте. Прикрепляю

Report.7z

[regist]

@Илья Махаев, можете зайти в папку C:\Users\Зоя\Desktop\AutoLogger\AutoLogger\ - запустить там avz.exe.
Нажать Файл - Стандартные скрипты - отметить скрипт №2 - нажать выполнить отмеченные скрипты. Подождать окончания работы и сообщить о результате.

[Илья Махаев]

@Илья Махаев, можете зайти в папку C:\Users\Зоя\Desktop\AutoLogger\AutoLogger\ - запустить там avz.exe.

Нажать Файл - Стандартные скрипты - отметить скрипт №2 - нажать выполнить отмеченные скрипты. Подождать окончания работы и сообщить о результате.

 

Вы это имели в виду? 

 

По пути C:\Users\Зоя\Desktop\AutoLogger\AutoLogger\AVZ\LOG есть еще архив, который прикрепляю

 

Протокол антивирусной утилиты AVZ версии 4.46

Сканирование запущено в 05.12.2017 15:05:50

Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 05.12.2017 04:00

Загружены микропрограммы эвристики: 410

Загружены микропрограммы ИПУ: 10

Загружены цифровые подписи системных файлов: 915403

Режим эвристического анализатора: Максимальный уровень эвристики

Режим лечения: выключено

Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional", дата инсталляции 30.06.2015 03:50:10 ; AVZ работает с правами администратора (+)

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

 Анализ kernel32.dll, таблица экспорта найдена в секции .text

 Анализ ntdll.dll, таблица экспорта найдена в секции .text

 Анализ user32.dll, таблица экспорта найдена в секции .text

 Анализ advapi32.dll, таблица экспорта найдена в секции .text

 Анализ ws2_32.dll, таблица экспорта найдена в секции .text

 Анализ wininet.dll, таблица экспорта найдена в секции .text

Функция wininet.dll:InternetAlgIdToStringA (254) перехвачена, метод APICodeHijack.JmpTo[72A01068]

Функция wininet.dll:InternetAlgIdToStringW (255) перехвачена, метод APICodeHijack.JmpTo[72A01170]

 Анализ rasapi32.dll, таблица экспорта найдена в секции .text

 Анализ urlmon.dll, таблица экспорта найдена в секции .text

 Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.4 Поиск маскировки процессов и драйверов

 Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

 Количество найденных процессов: 11

 Количество загруженных модулей: 303

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

 Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

 Проверка отключена пользователем

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

 Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка настройки поиска IE через Policies [x64] HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}"

Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURL="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02"

Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURLFallback="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02"

Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}, SuggestionsURL_JSON="https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2261463"

Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}"

Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}, SuggestionsURL="http://suggests.go.mail.ru/ie8?q={SearchTerms}"

Проверка настройки поиска IE через Policies [x32] HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}"

Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURL="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02"

Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURLFallback="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02"

Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}, SuggestionsURL_JSON="https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2261463"

Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}"

Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}, SuggestionsURL="http://suggests.go.mail.ru/ie8?q={SearchTerms}"

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помощнику

Проверка завершена

9. Мастер поиска и устранения проблем

 >>  Разрешен автозапуск с HDD

 >>  Разрешен автозапуск с сетевых дисков

 >>  Разрешен автозапуск со сменных носителей

Проверка завершена

Просканировано файлов: 315, извлечено из архивов: 1, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 05.12.2017 15:07:53

Сканирование длилось 00:02:09

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18

Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 

можно использовать сервис http://virusdetector.ru/

Выполняется исследование системы

Диагностика сети

 DNS and Ping test

  Host="yandex.ru", IP="5.255.255.5,5.255.255.55,77.88.55.66,77.88.55.55", Ping=OK (0,4,5.255.255.5)

  Host="google.ru", IP="173.194.222.94", Ping=OK (0,15,173.194.222.94)

  Host="google.com", IP="173.194.222.139,173.194.222.101,173.194.222.138,173.194.222.113,173.194.222.102,173.194.222.100", Ping=OK (0,16,173.194.222.139)

  Host="www.kaspersky.com", IP="77.74.178.16", Ping=OK (0,5,77.74.178.16)

  Host="www.kaspersky.ru", IP="93.159.228.19", Ping=Error (11010,0,0.0.0.0)

  Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,2,95.167.139.6)

  Host="dnl-11.geo.kaspersky.com", IP="62.128.100.81", Ping=OK (0,2,62.128.100.81)

  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,3,212.5.89.37)

  Host="odnoklassniki.ru", IP="5.61.23.11,217.20.147.1,217.20.155.13", Ping=OK (0,4,5.61.23.11)

  Host="vk.com", IP="95.213.11.181,87.240.165.80", Ping=OK (0,13,95.213.11.181)

  Host="vkontakte.ru", IP="95.213.4.228,95.213.4.229", Ping=OK (0,10,95.213.4.228)

  Host="twitter.com", IP="104.244.42.129,104.244.42.65", Ping=OK (0,52,104.244.42.129)

  Host="facebook.com", IP="31.13.72.36", Ping=OK (0,19,31.13.72.36)

  Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,20,31.13.72.8)

 Network IE settings

  IE setting AutoConfigURL=

  IE setting AutoConfigProxy=wininet.dll

  IE setting ProxyOverride=

  IE setting ProxyServer=

  IE setting Internet\ManualProxies=

 Network TCP/IP settings

 Network Persistent Routes

Исследование системы завершено

virusinfo_syscheck.zip

Изменено 5 декабря, 2017 пользователем Илья Махаев

[Sandor]

Нет. Должна появиться папка Log и в ней архив virusinfo_syscheck.zip

Прикрепите его к следующему сообщению.

[Илья Махаев]

Нет. Должна появиться папка Log и в ней архив virusinfo_syscheck.zip

Прикрепите его к следующему сообщению.

 

Прикрепляю.

virusinfo_syscheck.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Зоя\AppData\Local\KJovOrOb.bat', '');
 QuarantineFile('C:\Users\Зоя\AppData\Local\uXxDL.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "IwYbepbbZTLX" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "TeADNJTplrau" /F', 0, 15000, true);
 DeleteFile('C:\Users\Зоя\AppData\Local\KJovOrOb.bat', '32');
 DeleteFile('C:\Users\Зоя\AppData\Local\uXxDL.bat', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Илья Махаев]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

Логи повторил, архив прикрепляю. Письмо отправил, пока ответ не пришел

CollectionLog-2017.12.05-15.34.zip

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

пока ответ не пришел

[KLAN-7276417380]

[Илья Махаев]

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

пока ответ не пришел

[KLAN-7276417380]

 

 

Сделал. Отчет прикрепляю.

AdwCleanerS0.txt

Изменено 5 декабря, 2017 пользователем Илья Махаев

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Илья Махаев]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Прикрепите отчет к своему следующему сообщению

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Выполнил. Прикрепляю

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  Toolbar: HKU\S-1-5-21-2517341480-1869546175-1453338083-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  FF user.js: detected! => C:\Users\Зоя\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2017-02-03]
  CHR HomePage: Default -> mail.ru
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811141"
  CHR NewTab: Default ->  Active:"chrome-extension://lhemechcanjmilllmccjbjldonmnnjjj/visual-bookmarks.html"
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B5188B8CE-F3AC-459C-971A-2A55FEA5E5AC%7D&gp=811142
  CHR DefaultSearchKeyword: Default -> go.mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
  Task: {978A0321-104C-4105-8AB1-B946216F9BB7} - \newsupforucomzdjkzigqzxs -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Илья Махаев]

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  Toolbar: HKU\S-1-5-21-2517341480-1869546175-1453338083-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  FF user.js: detected! => C:\Users\Зоя\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2017-02-03]
  CHR HomePage: Default -> mail.ru
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811141"
  CHR NewTab: Default ->  Active:"chrome-extension://lhemechcanjmilllmccjbjldonmnnjjj/visual-bookmarks.html"
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B5188B8CE-F3AC-459C-971A-2A55FEA5E5AC%7D&gp=811142
  CHR DefaultSearchKeyword: Default -> go.mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
  Task: {978A0321-104C-4105-8AB1-B946216F9BB7} - \newsupforucomzdjkzigqzxs -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Прикрепляю.

Fixlog.txt