Браузер Амиго, рекламные баннеры

[kostyan2008]

После скачивания одной программы, на компьютер установился браузер Амиго и файлы от mail.ru. Нагрузка процессора составляла 100%. Очень много непонятных процессов в диспетчере задача. Так же начали всплывать вкладки с рекламой, очень много глупой и бредовой рекламы на сайтах, где она не должна быть. Пробовал почистить антивирусами, но до конца все не удалилось.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[kostyan2008]

Все по прежнему, вот логи

CollectionLog-2017.12.17-10.19.zip

Изменено 17 декабря, 2017 пользователем kostyan2008

[regist]

Вы в каком городе? Как называется ваш провайдер?

Программы/расширения от Mail.ru используете?
 

Изменено 17 декабря, 2017 пользователем regist

[kostyan2008]

Краснодар/Ростелеком

Программы/расширения от mail.ru не пользуюсь, сам лично не устанавливал.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('D:\Users\Константин\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('D:\Users\Константин\appdata\local\yc\application\yc.exe', '');
 QuarantineFile('D:\Users\Константин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('D:\Users\Константин\Favorites\Links\Интернет.url', '');
 QuarantineFileF('d:\users\константин\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('D:\Users\Константин\appdata\local\yc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('D:\Users\Константин\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('D:\Users\Константин\appdata\local\yc\application\yc.exe', '32');
 DeleteFile('D:\Users\Константин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk');
 DeleteFile('D:\Users\Константин\Favorites\Links\Интернет.url');
 DeleteFileMask('d:\users\константин\appdata\local\yc', '*', true);
 DeleteFileMask('D:\Users\Константин\appdata\local\yc\', '*', true);
 DeleteDirectory('D:\Users\Константин\appdata\local\yc\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - HKLM\System\CCS\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 82.202.226.203
O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 82.202.226.203
O17 - HKLM\System\CCS\Services\Tcpip\..\{9847C4DD-F545-4665-A462-967666F471E1}: NameServer = 85.175.46.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9847C4DD-F545-4665-A462-967666F471E1}: NameServer = 85.175.46.130
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9847C4DD-F545-4665-A462-967666F471E1}: NameServer = 85.175.46.122
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9847C4DD-F545-4665-A462-967666F471E1}: NameServer = 85.175.46.130
O22 - Task: (disabled) \Doctor Web\Dr.Web Daily scan - D:\Program Files\DrWeb\dwscanner.exe /full (file missing)

 

Если вдруг после фикса пропадёт интернет, то пропишите настройки DNS рекомендованные провайдером.

 

HitmanPro.Alert Служба  3 - деинсталируйте.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[kostyan2008]

Сделал все что описано выше, проблема осталась.

KLAN-7362636551

 

https://virusinfo.info/virusdetector/report.php?md5=64412D434DD8687868F325F8214D1992

AdwCleanerC0.txt

AdwCleanerS0.txt

CollectionLog-2017.12.17-12.05.zip

Изменено 17 декабря, 2017 пользователем kostyan2008

[regist]

Тот же скрипт AVZ ещё раз выполните и потом свежие логи Автологера.

[kostyan2008]

Выполнил скрипт, реклама все равно всплывает

CollectionLog-2017.12.17-12.59.zip

[regist]

"Пофиксите" в HijackThis:

R3 - HKCU: Default URLSearchHook is missing
O22 - Task: (disabled) \Doctor Web\Dr.Web Daily scan - D:\Program Files\DrWeb\dwscanner.exe /full (file missing)

 

Отключите все расширения в браузере и проверяйте проблему.