Не видит вирус, Реклама в браузере блокируется

[Михаил Киселёв]

Здравствуйте! У меня 100% вирус на компьютере, и довольно таки хитрый. Я 2 раза перезагружал компьютер, 2 раза проводил полную проверку. Результата не дало.

Галочка "Обнаруживать другие программы, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя" - стоит.

Этот вирус внес какие-то изменения почти во все программы на компьютере, так как у них дата установки обновилась и стала 20 мая (скриншот прикрепил)

До установки касперского реклама была в браузере "Гугл Хром", на популярных сайтах - ВК, Ютуб и т.д..

Установил Касперский, он стал блокировать ее в браузере, пишет всегда (всплывает справа) - "Загрузка запрещена".

Полная запись в логе: "21.05.2018 18.14.31;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;https://mb49mn8bz.ru/d6safundjenk6af/30370.js;https://mb49mn8bz.ru/d6safundjenk6af/30370.js;Веб-адрес;GoogleChrome;05/21/2018 18:14:31"

Только так блокирует и все.. А удалить вообще невозможно. Но из-за этого теперь процессор нагружен почти до 100%, хотя стоит i5 . Никогда так не нагружался, максимум 15-20% видел..

Заранее спасибо за помощь.

[thyrex]

Порядок оформления запроса о помощи

[Михаил Киселёв]

Здравствуйте! У меня 100% вирус на компьютере, и довольно таки хитрый. Я 2 раза перезагружал компьютер, 2 раза проводил полную проверку. Результата не дало.

Галочка "Обнаруживать другие программы, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя" - стоит.

Этот вирус внес какие-то изменения почти во все программы на компьютере, так как у них дата установки обновилась и стала 20 мая (скриншот прикрепил)

До установки касперского реклама была в браузере "Гугл Хром", на популярных сайтах - ВК, Ютуб и т.д..

Установил Касперский, он стал блокировать ее в браузере, пишет всегда (всплывает справа) - "Загрузка запрещена".

Полная запись в логе: "21.05.2018 18.14.31;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;https://mb49mn8bz.ru...еб-адрес;GoogleChrome;05/21/2018 18:14:31"

Только так блокирует и все.. А удалить вообще невозможно. Но из-за этого теперь процессор нагружен почти до 100%, хотя стоит i5 . Никогда так не нагружался, максимум 15-20% видел..

Заранее спасибо за помощь

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

CollectionLog-2018.05.22-00.11.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateSecurityTaskMachine_GP','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateSecurityTaskMachine_DP','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateSecurityTaskMachine_OC','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateSecurityTaskMachine_RB','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateSecurityTaskMachine_ZC','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\bku0000499931909455','x64');
 DeleteFile('C:\Users\TheMKTV\AppData\Local\Temp\zhjbli4f.uee\hhueiqpii.exe','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\CCleaner Update','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\CCleanerSkipUAC','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\DeviceDirectoryClient\DeviceDirectoryClientTask','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Services\WindowsUpdate32','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Михаил Киселёв]

Готово

ClearLNK-2018.05.22_00.45.23.log

CollectionLog-2018.05.22-00.52.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Михаил Киселёв]

Готово

Отчеты.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR StartupUrls: Default -> "","hxxp://mail.ru/cnt/7993/","hxxp://websearch.searchfix.info/?pid=724&r=2014/11/25&hid=8288379229089277140&lg=EN&cc=RU","hxxp://www.mystartsearch.com/?type=hp&ts=1419246029&from=epom&uid=SAMSUNGXHM321HX_S26VJ9AZ632908","hxxp://mail.ru/cnt/10445?gp=mp3","hxxp://www.google.com","hxxp://mail.ru/cnt/10445?gp=blackbear9","hxxp://mail.ru/cnt/10445?gp=openpart2","hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg","hxxp://www.istartpageing.com/?type=hp&ts=1450040666&z=2143fae8e41e4034cffa9b8g7z0w6efe3z8e2qaq4z&from=cmi&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3FC55E9665E966","hxxp://www.yoursearching.com/?type=hp&ts=1450118919&z=7e14a544671a1397391a2eeg3z2wee3gcg5b8t0g2q&from=face&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3FC55E9665E966","hxxp://www.istartpageing.com/?type=hp&ts=1450205299&z=fab8d48bc10419b20f8a85egezew4e8o8e2wbo1t2q&from=cmi&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3FC55E9665E966","hxxp://mail.ru/cnt/10445?gp=820323"
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKU\S-1-5-21-2532700777-173496539-699649590-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
2017-11-25 00:43 - 2017-11-25 00:43 - 000000000 _____ () C:\Users\TheMKTV\AppData\Roaming\df0cbc26de5c23bc4d42fd7abb4962ee
2018-05-20 01:35 - 2018-05-20 01:35 - 000068356 _____ () C:\Users\TheMKTV\AppData\Roaming\run2.exe
Task: {1706C02A-CD92-446B-9C97-D0A613B2C582} - System32\Tasks\GoogleUpdateSecurityTaskMachine_GP => C:\Users\TheMKTV\AppData\Local\e8e3db7303b847e7b20c72b95c75140f\HandlerExecution.exe <==== ATTENTION
Task: {300F361A-8059-4ADC-97FE-C0CA2AA1A92D} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {6502514F-F4C4-4742-96C1-D1F9FA088481} - System32\Tasks\Noise Italian Juest => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Noise Italian Juest\Noise Italian Juest.dll",VDTUedi <==== ATTENTION
Task: {7A1CE6A5-35E3-4EA9-97C1-6D46E4502189} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OC => C:\ProgramData\3eb674db41b54cf885961b287c2b8ca0\HandlerExecution.exe <==== ATTENTION
Task: {9765E027-3291-45A1-A50E-F8569E0736E0} - System32\Tasks\Microsoft\Windows\DeviceDirectoryClient\DeviceDirectoryClientTask => C:\WINDOWS\winmain64.exe
Task: {9FEFE414-78F9-42C4-A378-3107FA0584B5} - System32\Tasks\Microsoft\Windows\Services\WindowsUpdate32 => C:\WINDOWS\srv_ext.exe
Task: {A51D8835-868D-4C6A-96A3-2D16497EA040} - System32\Tasks\GoogleUpdateSecurityTaskMachine_DP => C:\Users\TheMKTV\AppData\Local\Temp\6d82f9c5094746d1869dd3124df024d5\HandlerExecution.exe <==== ATTENTION
Task: {E95CCC3E-1A69-4A57-9312-53DA474FF8EA} - System32\Tasks\GoogleUpdateSecurityTaskMachine_RB => C:\Users\TheMKTV\AppData\Local\Temp\8428a3afdee8476d8be3c14d702bec31\HandlerExecution.exe <==== ATTENTION
Task: {FEBAFD74-33F2-475E-985D-0ED998C3C50C} - System32\Tasks\GoogleUpdateSecurityTaskMachine_ZC => C:\ProgramData\9c690703f4e34864bc41e84cecde0e0d\HandlerExecution.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [128]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [128]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Михаил Киселёв]

Готово

Я не знаю, что произошло. Но после перезагрузки, Касперский перестал выдавать окно о блокировке ссылки.

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Михаил Киселёв]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 22.05.2018 05:25:43

Path starting: C:\Users\TheMKTV\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: TheMKTV

VersionXML: 5.06is-19.05.2018

___________________________________________________________________________

 

Windows 10(6.3.17134) (x64) Education Версия: 1803 Lang: Russian(0419)

Дата установки ОС: 20.05.2018 10:56:01

Статус лицензии: Office 16, Office16ProPlusR_Grace edition Срок окончания начального льготного периода: 5071 мин.

Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок окончания начального льготного периода: 41071 мин.

Статус лицензии: Windows®, Education edition Windows находится в режиме уведомления

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [243.2 Гб] Занято: [165.7 Гб] Свободно: [77.5 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.48.17134.0

Контроль учётных записей пользователя отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Центр обновления Windows (wuauserv) - Служба остановлена

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

---------------------------- [ Antivirus_WMI ] ----------------------------

Kaspersky Anti-Virus (включен и обновлен)

Windows Defender (отключен)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Защитника Windows (mpssvc) - Служба работает

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Anti-Virus (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Anti-Virus v.18.0.0.405

Kaspersky Secure Connection v.18.0.0.405

-------------------------- [ SecurityUtilities ] --------------------------

UnHackMe 9.85

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

VMware Workstation v.14.0.0

FileZilla Client 3.29.0 v.3.29.0 Внимание! Скачать обновления

TeamViewer 13 v.13.1.3629

TeamViewer 13 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

WhatsApp v.0.2.6426

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 60.0.1 (x64 ru) v.60.0.1

Yandex v.18.4.0.2080 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.66.0.3359.181

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.66.0.3359.181

C:\Users\TheMKTV\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.18.4.0.2080

C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.17134.48

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 18.0.0 (AVP18.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 18.0.0\avp.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 18.0.0\avpui.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksde.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksdeui.exe v.18.0.0.405

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

----------------------------- [ End of Log ] ------------------------------

 

 

 

[thyrex]

Выполните указанные рекомендации, и на этом закончим.