Рекламный вирус браузера

[Rubus]

здравствуйте, мучаюсь несколько часов с удаление браузерного вируса, для более наглядного понимания, я снял двух-минутное видео с проблемой 

Изменено 7 января, 2018 пользователем Rubus

[SQ]

Здравствуйте,

HiJackThis (из каталога автологгера) профиксить

O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\Fonts\CPUID.dll', '');
 DeleteFile('C:\Windows\Fonts\CPUID.dll', '32');
 DeleteFile('C:\Users\AllCapone\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32');
 DeleteFile('C:\Users\AllCapone\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '32');
 DeleteFile('C:\Users\AllCapone\Favorites\Links\Интернет.url', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)


- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Rubus]

Спасибо. Сделал в точности всё по пунктам, скрпит выполнил, также дополнительно в проге HiJackThis удалил 21 строчку как и советовалось в теме, пока проблема всё ещё активна 

 

Написал запрос в тех поддержку, там пока пришёл автоматический ответ, что файл передан на исследование.KLAN-7488079488

 

 

Лог advCleaner прилагаю, там не может удалиться прожка spyHunter  (которая помечена как вредоносная), но это вроде нормальный софт.

 

Если ещё есть какие то идеи буду крайне благодарен

AdwCleanerS8.txt

Изменено 8 января, 2018 пользователем Rubus

[Sandor]

но это вроде нормальный софт

Это спорный вопрос. Удалите его через Панель управления - Удаление программ.

[Rubus]

 

но это вроде нормальный софт

Это спорный вопрос. Удалите его через Панель управления - Удаление программ.

 

Я его ещё вчера удалил, кстати скачал я эту ерунду в рамках борьбы с моим вирусом )

Остались какие то логи, но они даже adwclearner не удаляются. 

Почему я думаю эта прога не виновата: я её скачал после появления проблемы. 

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Rubus]

готово.

два файла во вложении.

 

 

Очень хитрый червь, удивительно как ему удалось так хорошо замаскироваться !

 

В отчёте меня вот эти строчки насторожили

 

CHR HKLM-x32\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib

 

 

 

видно, что адрессация расширения идёт куда то в интернет (может поэтому у меня при включеном интернете банер есть, при выключеном нет(

 

Или это безобидные строчки, которые "ниачём" ?

Addition.txt

FRST.txt

Изменено 8 января, 2018 пользователем Rubus

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKU\S-1-5-21-3103147102-1570827885-3891749782-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  File: C:\Windows\SysWOW64\ASGT.exe
  File: C:\autoexec.bat
  File: C:\Users\AllCapone\AtiFlash.exe
  File: C:\Users\AllCapone\ATIWinflash.exe
  2014-10-15 12:14 - 2014-10-15 12:14 - 000000001 _____ () C:\Users\AllCapone\AppData\Roaming\smw_inst
  2017-03-10 02:26 - 2017-03-10 02:26 - 000000000 _____ () C:\Users\AllCapone\AppData\Roaming\tmp352.tmp
  ShellIconOverlayIdentifiers: [ AccExtIco1] -> {AB9CF9F8-8A96-4F9D-BF21-CE85714C3A47} => C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CoreSyncExtension\CoreSync_x64.dll -> No File
  ShellIconOverlayIdentifiers: [ AccExtIco2] -> {853B7E05-C47D-4985-909A-D0DC5C6D7303} => C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CoreSyncExtension\CoreSync_x64.dll -> No File
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ContextMenuHandlers1: [AccExt] -> {2A118EB5-5797-4F5E-8B3D-F4ECBA3C98E4} => C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CoreSyncExtension\CoreSync_x64.dll -> No File
  Task: {6B71BB47-6B93-43B1-9673-15FB9B52FFAE} - \User_Feed_Synchronization-{0DB03C12-73C0-4847-B043-BB47DFB93CAE} -> No File <==== ATTENTION
  Task: {A6ECD34B-B47F-4393-A3D7-CB6049219898} - \PBot2 -> No File <==== ATTENTION
  Task: {C599DEE7-55F8-4E53-8B72-2C84D0198CEC} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Task: {E3FABF7C-08D2-4E03-9CC8-9D0C66CC8082} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  ShortcutWithArgument: C:\Users\AllCapone\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://ownerga.ru/?utm_source=startlink03&utm_content=56d4932828e64bd8a225d89b67407067&utm_term=A58AB617027DF53F495C3FB972F0774E&utm_d=20170309"
  ShortcutWithArgument: C:\Users\AllCapone\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://ownerga.ru/?utm_source=startlink03&utm_content=56d4932828e64bd8a225d89b67407067&utm_term=A58AB617027DF53F495C3FB972F0774E&utm_d=20170309"
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

В настройках Chrome, пробуйте отключить следующие расширения:

CHR Extension: (Презентации) - C:\Users\AllCapone\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2018-01-07]
CHR Extension: (Документы) - C:\Users\AllCapone\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2018-01-07]
CHR Extension: (Диск Google) - C:\Users\AllCapone\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2018-01-07]
CHR Extension: (Таблицы) - C:\Users\AllCapone\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2018-01-07]
CHR Extension: (Google Документы офлайн) - C:\Users\AllCapone\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2018-01-07]

Сообщите, что с проблемой?

[Rubus]

еее, больше банера проклятого нет, спасибо братан, реально помог.     

уже на другой браузер пришлось пересесть, а привык на хроме, поэтому остаюсь на нём.

 

 

 

Расскажи если не сложно, хотя бы вкрадце, как самому такие скрипты писать, чтобы в лишний раз вас по таким пустякам не отвлекать?

Изменено 8 января, 2018 пользователем Rubus

[SQ]

Расскажи если не сложно, хотя бы вкрадце, как самому такие скрипты писать, чтобы в лишний раз вас по таким пустякам не отвлекать?

Тут в двух словах не описать, необходимо пройти специализированный курс, Вы можете попробовать записаться когда будет следующих набор.

[Rubus]

Посмотрим, а в какой ветке набор мониторить?

 

Кстати, по поводу этого червя, что это было, неужели скрытое расширение хрома которое не отображается? 

[SQ]

Посмотрим, а в какой ветке набор мониторить?

 

Кстати, по поводу этого червя, что это было, неужели скрытое расширение хрома которое не отображается? 

Мониторьте например на стороннем форуме  virusinfo.info.

 

С хромом обычно это расширения, пробуйте по одному из отключенных включить, чтобы понять из-за какого расширения, как выявите, удалите вредоносное расширение.

[Rubus]

С хромом обычно это расширения, пробуйте по одному из отключенных включить, чтобы понять из-за какого расширения, как выявите, удалите вредоносное расширение.

 

Я их все удалял, проблему не решало.

Несколько стандартных появилось после того как я браузер переустанавливал (делал это раз 5), я их все отключил.

обычным способом вирус не удалить, почему не знаю, я сделал предположение - возможно это расширения которые не отображаются, но они есть

Изменено 8 января, 2018 пользователем Rubus

[SQ]

Я их все удалял, проблему не решало.

Несколько стандартных появилось после того как я браузер переустанавливал (делал это раз 5), я их все отключил.

обычным способом вирус не удалить, почему не знаю, я сделал предположение - возможно это расширения которые не отображаются, но они есть

Скорее всего была подмена стандартного расширения.

[Rubus]

 

 

Скорее всего была подмена стандартного расширения.

 

Но они все были отключены, об этом свидетельствует видео которое я снимал, галочки везде были сняты