рекламный вирус

[aleksei92]

Добрый день! Появилась такая проблема, при запуске бетл нета попытки авторизации заканчиваются переходами на разные сайты

вот логи

CollectionLog-2018.01.28-12.10.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[regist]

Скачайте актуальную версию Автологера и переделайте логи.

И если в будущем будет обращаться, то заведите себе за правило перед созданием темы всегда качать свежую версию. Ибо Автологер каждый день обновляется. Версия которой собрали вы уже очень сильно устарела.

[aleksei92]

Спасибо большое, я исправился

CollectionLog-2018.01.28-14.16.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\PROGRA~3\6c850b43\6c6baccb.dll', '');
 QuarantineFile('C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\dJqBOyG.dll', '');
 QuarantineFile('C:\Program Files (x86)\umkISPBbU\gvWciy.dll', '');
 QuarantineFile('C:\Users\836D~1\AppData\Local\4238C4~1\{6C6BA~1.', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\yc\Application\yc.exe', '');
 QuarantineFile('C:\Users\Администратор\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\Windows\microsoft\svchost.exe', '');
 QuarantineFile('C:\Windows\system32\tasks\BcyoMZkjXMgFaPP2', '');
 QuarantineFile('C:\Windows\tasks\plaAVjRQXWCDePSecyr.job', '');
 QuarantineFile('C:\Windows\tasks\saKXaLnxQURzlMgex.job', '');
 QuarantineFileF('C:\PROGRA~3\6c850b43\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\umkISPBbU\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\администратор\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Администратор\AppData\Local\yc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Администратор\AppData\LocalLow\DuckGo\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\PROGRA~3\6c850b43\6c6baccb.dll', '32');
 DeleteFile('C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\dJqBOyG.dll');
 DeleteFile('C:\Program Files (x86)\umkISPBbU\gvWciy.dll');
 DeleteFile('C:\Users\836D~1\AppData\Local\4238C4~1\{6C6BA~1.', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\Администратор\AppData\Local\yc\Application\yc.exe', '32');
 DeleteFile('C:\Users\Администратор\Favorites\Links\Интернет.url');
 DeleteFile('C:\Windows\microsoft\svchost.exe');
 DeleteFile('C:\Windows\tasks\plaAVjRQXWCDePSecyr.job');
 DeleteFile('C:\Windows\tasks\saKXaLnxQURzlMgex.job');
 ExecuteFile('schtasks.exe', '/delete /TN "{3A04DEDB-0222-59A7-FA48-6742FFB7157F}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "9ABF15C4-204D-2626-6CF2-11E1AE789634" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "BcyoMZkjXMgFaPP2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "saKXaLnxQURzlMgex2" /F', 0, 15000, true);
 DeleteFileMask('C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\', '*', true);
 DeleteFileMask('C:\Program Files (x86)\umkISPBbU\', '*', true);
 DeleteFileMask('c:\users\администратор\appdata\local\yc', '*', true);
 DeleteFileMask('C:\Users\Администратор\AppData\Local\yc\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\');
 DeleteDirectory('C:\Program Files (x86)\umkISPBbU\');
 DeleteDirectory('C:\Users\Администратор\AppData\Local\yc\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ycAutoLaunch_A24ACD1C365E86F40252B7A9A24CCFFE', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Удалите остатки Avast и AVG.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 

+

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[aleksei92]

Your letter does not contain any files. They may have been deleted by your mail server antivirus as infected ones. Please try sending them again in an archive with the password infected (without quotes). You can also upload the files to any popular file hosting service or FTP server and send us the corresponding link.[/size]

 

This is an automatically generated message. Please do not reply to it.[/size]

 

Anti-Virus Lab, Kaspersky Lab HQ[/size]

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia[/size]

Tel./Fax: [/size]+ 7 (495) 797 8700

http://www.kaspersky.com [/size]https://www.securelist.com"[/size]

 

------------------------------[/size]------------------------------[/size]--------------------[/size]

From: пользователь <[/size][адрес]>[/size]

Sent: 1/29/2018 1:19:00 PM[/size]

To: [/size]newvirus@kaspersky.com

Subject:[/size]

 

[KLAN-7577102350][/size]

CollectionLog-2018.01.29-12.38.zip

AdwCleanerS0.txt

Изменено 29 января, 2018 пользователем Sandor
Убрал личные данные

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[aleksei92]

вот файл

а AdwCleaner[Cx].txt. небыло 

AdwCleanerC1.txt

[Sandor]

x - любая цифра. AdwCleaner[C0].txt, пожалуйста, тоже покажите.

[regist]

+ свежие логи Автологером сделайте.

[aleksei92]

вот держите

AdwCleanerC0.txt

CollectionLog-2018.01.29-22.11.zip

[Sandor]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2-32 - HKLM\..\BHO: DuckBarBHO - {E4625B55-9401-4B40-B5BA-9134A41BFAA0} - C:\Users\Администратор\AppData\LocalLow\DuckGo\duckgo.dll
O4 - MSConfig\startupreg: ycAutoLaunch_A24ACD1C365E86F40252B7A9A24CCFFE [command] = C:\Users\Администратор\AppData\Local\yc\Application\yc.exe /prefetch:5 (file missing) (HKCU) (2017/08/31)
O22 - Task: (disabled) Phoenix Browser Updater - C:\Users\Администратор\AppData\Local\Phoenix Browser Updater\Phoenix Browser Updater.exe --silent --id= --sub-id=457 (file missing)

Сообщите что с проблемой.

[aleksei92]

Спасибо) сделал в HijackThis , от проблемы избавился

[regist]

 

 

Удалите остатки Avast и AVG.

Сделали это? У вас до сих пор видны их хвосты, так что выполните это.

+ у вас ещё видны хвосты от Kaspersky Free 18 и от 360 Total Security. А система похоже не видит ни одного из них. Какой антивирус у вас сейчас используется? Удалите по той инструкции все остальные и текущий лучше переустановить.

 

+ Вот эти два ярлыка созданные вирусом удалите вручную

C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\Администратор\Favorites\Links\Интернет.url

+

"Пофиксите" в HijackThis:

O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avg - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: TortoiseOverlay - {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} - (no file)

 

Затем свежие логи Автологером.

[aleksei92]

доброе утро вот скрины где показано что я удалял, повторно антивирусы, 360 360 Total Security удалил через Пуск-Панель управления-Установка и удаление программ, после каждого перезагружался

 

этого файла небыло 

C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk

 

пофиксил все три, сейчас после перезапуска добавлю автологи

вот он

CollectionLog-2018.01.31-08.46.zip