Перейти к содержанию

Реклама Вулкан и не Вулкан в браузере


Илья Махаев

Рекомендуемые сообщения

Здравствуйте.

 

Вчера скачал торрент файл, который оказался вредоносным ПО. Теперь реклама Вулкан и иже с ним в браузере Опера наше все. Пробовал и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, но проблему это не решило. В Хроме теперь главная Mail, от него же и поиск.

 

Запускал как написано AutoLogger, но никакого архива так и не получилось почему-то.

 

Прикрепляю, то что сохранил AutoLogger. Я ламер, полнейший ламер. Помогите пожалуйста

post-40508-0-27319700-1512470706_thumb.jpg

post-40508-0-48021900-1512470720_thumb.jpg

post-40508-0-99508500-1512470727_thumb.jpg

log.txt

info.txt

Изменено пользователем Илья Махаев
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Выполните скрипт в AVZ (...\Autologger\AVZ\avz.exe) (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.
архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Выполните скрипт в AVZ (...\Autologger\AVZ\avz.exe) (Файл - Выполнить скрипт):

 

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

 

 

Здравствуйте. Прикрепляю

Report.7z

Ссылка на сообщение
Поделиться на другие сайты

@Илья Махаев, можете зайти в папку C:\Users\Зоя\Desktop\AutoLogger\AutoLogger\ - запустить там avz.exe.
Нажать Файл - Стандартные скрипты - отметить скрипт №2 - нажать выполнить отмеченные скрипты. Подождать окончания работы и сообщить о результате.

Ссылка на сообщение
Поделиться на другие сайты

@Илья Махаев, можете зайти в папку C:\Users\Зоя\Desktop\AutoLogger\AutoLogger\ - запустить там avz.exe.

Нажать Файл - Стандартные скрипты - отметить скрипт №2 - нажать выполнить отмеченные скрипты. Подождать окончания работы и сообщить о результате.

 

Вы это имели в виду? 

 

По пути C:\Users\Зоя\Desktop\AutoLogger\AutoLogger\AVZ\LOG есть еще архив, который прикрепляю

 

Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 05.12.2017 15:05:50
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 05.12.2017 04:00
Загружены микропрограммы эвристики: 410
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 915403
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional", дата инсталляции 30.06.2015 03:50:10 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (254) перехвачена, метод APICodeHijack.JmpTo[72A01068]
Функция wininet.dll:InternetAlgIdToStringW (255) перехвачена, метод APICodeHijack.JmpTo[72A01170]
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 11
 Количество загруженных модулей: 303
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
 Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка настройки поиска IE через Policies [x64] HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}"
Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURL="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02"
Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURLFallback="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02"
Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}, SuggestionsURL_JSON="https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2261463"
Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}"
Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}, SuggestionsURL="http://suggests.go.mail.ru/ie8?q={SearchTerms}"
Проверка настройки поиска IE через Policies [x32] HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}"
Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURL="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02"
Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURLFallback="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02"
Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}, SuggestionsURL_JSON="https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2261463"
Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}"
Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}, SuggestionsURL="http://suggests.go.mail.ru/ie8?q={SearchTerms}"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 315, извлечено из архивов: 1, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 05.12.2017 15:07:53
Сканирование длилось 00:02:09
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы
Диагностика сети
 DNS and Ping test
  Host="yandex.ru", IP="5.255.255.5,5.255.255.55,77.88.55.66,77.88.55.55", Ping=OK (0,4,5.255.255.5)
  Host="google.ru", IP="173.194.222.94", Ping=OK (0,15,173.194.222.94)
  Host="google.com", IP="173.194.222.139,173.194.222.101,173.194.222.138,173.194.222.113,173.194.222.102,173.194.222.100", Ping=OK (0,16,173.194.222.139)
  Host="www.kaspersky.com", IP="77.74.178.16", Ping=OK (0,5,77.74.178.16)
  Host="www.kaspersky.ru", IP="93.159.228.19", Ping=Error (11010,0,0.0.0.0)
  Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,2,95.167.139.6)
  Host="dnl-11.geo.kaspersky.com", IP="62.128.100.81", Ping=OK (0,2,62.128.100.81)
  Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,3,212.5.89.37)
  Host="odnoklassniki.ru", IP="5.61.23.11,217.20.147.1,217.20.155.13", Ping=OK (0,4,5.61.23.11)
  Host="vk.com", IP="95.213.11.181,87.240.165.80", Ping=OK (0,13,95.213.11.181)
  Host="vkontakte.ru", IP="95.213.4.228,95.213.4.229", Ping=OK (0,10,95.213.4.228)
  Host="twitter.com", IP="104.244.42.129,104.244.42.65", Ping=OK (0,52,104.244.42.129)
  Host="facebook.com", IP="31.13.72.36", Ping=OK (0,19,31.13.72.36)
  Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,20,31.13.72.8)
 Network IE settings
  IE setting AutoConfigURL=
  IE setting AutoConfigProxy=wininet.dll
  IE setting ProxyOverride=
  IE setting ProxyServer=
  IE setting Internet\ManualProxies=
 Network TCP/IP settings
 Network Persistent Routes
Исследование системы завершено

virusinfo_syscheck.zip

Изменено пользователем Илья Махаев
Ссылка на сообщение
Поделиться на другие сайты

Нет. Должна появиться папка Log и в ней архив virusinfo_syscheck.zip

Прикрепите его к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Нет. Должна появиться папка Log и в ней архив virusinfo_syscheck.zip

Прикрепите его к следующему сообщению.

 

Прикрепляю.

virusinfo_syscheck.zip

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Зоя\AppData\Local\KJovOrOb.bat', '');
 QuarantineFile('C:\Users\Зоя\AppData\Local\uXxDL.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "IwYbepbbZTLX" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "TeADNJTplrau" /F', 0, 15000, true);
 DeleteFile('C:\Users\Зоя\AppData\Local\KJovOrOb.bat', '32');
 DeleteFile('C:\Users\Зоя\AppData\Local\uXxDL.bat', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

Логи повторил, архив прикрепляю. Письмо отправил, пока ответ не пришел

CollectionLog-2017.12.05-15.34.zip

Ссылка на сообщение
Поделиться на другие сайты

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

пока ответ не пришел

[KLAN-7276417380]
Ссылка на сообщение
Поделиться на другие сайты

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

пока ответ не пришел

[KLAN-7276417380]

 

 

Сделал. Отчет прикрепляю.

AdwCleanerS0.txt

Изменено пользователем Илья Махаев
Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Прикрепите отчет к своему следующему сообщению

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Выполнил. Прикрепляю

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-2517341480-1869546175-1453338083-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    FF user.js: detected! => C:\Users\Зоя\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2017-02-03]
    CHR HomePage: Default -> mail.ru
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811141"
    CHR NewTab: Default ->  Active:"chrome-extension://lhemechcanjmilllmccjbjldonmnnjjj/visual-bookmarks.html"
    CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B5188B8CE-F3AC-459C-971A-2A55FEA5E5AC%7D&gp=811142
    CHR DefaultSearchKeyword: Default -> go.mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    Task: {978A0321-104C-4105-8AB1-B946216F9BB7} - \newsupforucomzdjkzigqzxs -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-2517341480-1869546175-1453338083-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    FF user.js: detected! => C:\Users\Зоя\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2017-02-03]
    CHR HomePage: Default -> mail.ru
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811141"
    CHR NewTab: Default ->  Active:"chrome-extension://lhemechcanjmilllmccjbjldonmnnjjj/visual-bookmarks.html"
    CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B5188B8CE-F3AC-459C-971A-2A55FEA5E5AC%7D&gp=811142
    CHR DefaultSearchKeyword: Default -> go.mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    Task: {978A0321-104C-4105-8AB1-B946216F9BB7} - \newsupforucomzdjkzigqzxs -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Прикрепляю.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...