Всплывающие окна в браузере

[Saiberex]

Принесли очередного пациента с жалобой на всплывающие окна в браузере.

Curelt отловил 28 троянов.

Окна продолжают всплывать.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Saiberex]

Странно, я логи цеплял

CollectionLog-2018.03.05-16.44.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\home\appdata\local\yc\application\yc.exe');
 DeleteFile('c:\users\home\appdata\local\yc\application\yc.exe','32');
 DeleteFile('C:\Users\Home\AppData\Local\yc\Application\62.0.3202.62\chrome.dll','32');
 DeleteFile('C:\Users\Home\AppData\Local\yc\Application\62.0.3202.62\chrome_child.dll','32');
 DeleteFile('C:\Users\Home\AppData\Local\yc\Application\62.0.3202.62\chrome_elf.dll','32');
 DeleteFile('C:\Users\Home\AppData\Local\yc\Application\62.0.3202.62\libegl.dll','32');
 DeleteFile('C:\Users\Home\AppData\Local\yc\Application\62.0.3202.62\libglesv2.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_0DA096DA3996CB91987FB144F18423F1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wpkbmllrmh');
 DeleteFile('C:\Windows\system32\Tasks\Notepad','32');
 DeleteFile('C:\Windows\system32\Tasks\MSI','32');
 DeleteFile('C:\Users\Home\AppData\Roaming\Microsoft\msi.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Saiberex]

ап

CollectionLog-2018.03.06-08.07.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Saiberex]

.

Addition_FRST.zip

[thyrex]

Служба автоматического обновления программ

 

 удалите через Установку программ

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\0snJDINQtoTQ.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\aNMxKWc0lcDv.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\BjwEC190YM5H.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\bNG6pbRjUTaZ.exe
2017-11-13 20:57 - 2017-11-13 20:57 - 002643640 _____ () C:\Users\Home\AppData\Local\Temp\c0.tmp.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\ConpGdkzvFL4.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\DgF7xdhn5XHK.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\dKKHETvNHy50.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 005734400 _____ () C:\Users\Home\AppData\Local\Temp\dNpUNzaWRS29.exe
2017-06-24 19:43 - 2017-06-24 19:43 - 003263295 ____N () C:\Users\Home\AppData\Local\Temp\i5o9SZFiYPEh.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000399336 _____ (Mail.Ru) C:\Users\Home\AppData\Local\Temp\j2XveDGM6VEF.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 002584280 _____ () C:\Users\Home\AppData\Local\Temp\KjKlz12mpjHV.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\KNlKCxDjGkwx.exe
2017-06-24 19:16 - 2017-06-23 13:15 - 004155096 _____ (Mail.Ru) C:\Users\Home\AppData\Local\Temp\MailRuUpdater.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\nv9yP6pbz1UF.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\o8EhSYjh9PqR.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 002768896 _____ () C:\Users\Home\AppData\Local\Temp\pp4dg2PYhDBJ.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\U6H8pmvlmQ1s.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\URVh8HIEG4Cf.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\VRVh8IEbG4Cf.exe
2017-06-24 19:16 - 2017-06-24 19:16 - 000000000 _____ () C:\Users\Home\AppData\Local\Temp\WZsYquRdc3R8.exe
2017-06-24 19:45 - 2017-06-24 19:45 - 037564928 ____N (The Chromium Authors) C:\Users\Home\AppData\Local\Temp\XuUyZzqNPSDG.exe
2018-03-05 15:18 - 2017-06-24 19:40 - 000000000 ____D C:\Users\Home\AppData\Local\SearchGo
2018-03-05 15:17 - 2017-06-24 19:41 - 000000000 ____D C:\Users\Home\AppData\Local\wupdate
2018-03-05 15:17 - 2017-06-24 19:40 - 000000000 ____D C:\Users\Home\AppData\Local\syslog
2018-03-05 15:16 - 2017-06-24 19:40 - 000000000 ____D C:\Users\Home\AppData\LocalLow\SearchGo
CHR HKU\S-1-5-21-428092438-15765283-2109183011-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-428092438-15765283-2109183011-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-428092438-15765283-2109183011-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-428092438-15765283-2109183011-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
ShortcutWithArgument: C:\Users\Home\Desktop\Вoйти в Интeрнет.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://furyery.ru/?utm_source=desktop03&utm_content=6b1c5910b994e62cc53b7c986b762e09&utm_term=cb2c6c9cc53f641e681b99dbe0279257&utm_d=20170624"
ShortcutWithArgument: C:\Users\Home\Desktop\Поиcк в Интeрнете.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://go-search.ru/?utm_source=desktop"
ShortcutWithArgument: C:\Users\Home\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://furyery.ru/?utm_source=startlink03&utm_content=b6a5babd94cada843a5596e11b6a8b33&utm_term=CB2C6C9CC53F641E681B99DBE0279257&utm_d=20170624"
ShortcutWithArgument: C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://furyery.ru/?utm_source=quicklaunch03&utm_content=6b1c5910b994e62cc53b7c986b762e09&utm_term=cb2c6c9cc53f641e681b99dbe0279257&utm_d=20170624"
ShortcutWithArgument: C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Поиcк в Интeрнете.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://go-search.ru/?utm_source=quicklaunch"
ShortcutWithArgument: C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://furyery.ru/?utm_source=startlink03&utm_content=b6a5babd94cada843a5596e11b6a8b33&utm_term=CB2C6C9CC53F641E681B99DBE0279257&utm_d=20170624"
Task: {6E1ACCD9-1394-44F4-892D-EDF9CC4A59A5} - \MSI -> No File <==== ATTENTION
Task: {060FA574-52E8-4B78-8B27-D5A443D37D26} - \Notepad -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Saiberex]

Сделано

Fixlog.txt

[thyrex]

Что с проблемой?

[Saiberex]

Да, вроде исчезла. Погоняю еще с часик и отпишусь

[Saiberex]

В принципе проблему можно считать решенной.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.