Рекламный вирус gameorplay.info

[dao47rus]

Вчера, 10.07.2018, на моём компьютере появился рекламный вирус gameorplay.info. Этот вирус при каждом запуске компьютера сразу же открывает страницу firefox с соответствующим адресом gameorplay.info. Других действий этого вируса пока не замечено.

 

Есть подозрение, что заражение этим вирусом произошло после вчерашнего обновления лицензионной версии игры Far cry 5. Поскольку данный вирус появился сразу после этого обновления, и  других действий с компьютером между обновлением игры с последующим использованием Far cry 5 и заражением я не производил.

 

Попытки лечения компьютера с помощью программ Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt! результатов не дали

CollectionLog-2018.07.11-13.07.zip

Изменено 11 июля, 2018 пользователем dao47rus

[regist]

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [47] = C:\Windows\system32\cmd.exe /c start www.exinariuminix.info
O4 - MSConfig\startupreg: Aimersoft Helper Compact.exe [command] = C:\Program Files (x86)\Common Files\Aimersoft\Aimersoft Helper Compact\ASHelper.exe (file missing) (HKLM) (2018/07/10)
O4 - MSConfig\startupreg: Dropbox [command] = C:\Program Files (x86)\Dropbox\Client\Dropbox.exe /systemstartup (file missing) (HKLM) (2017/11/08)
O4 - MSConfig\startupreg: GameCenterMailRu [command] = C:\Users\47\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing) (HKCU) (2017/05/27)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: &Экспорт в Microsoft Excel - C:\Program Files\Microsoft Office\Office14\EXCEL.EXE (file missing)
O22 - Task: \AVAST Software\Avast settings backup - C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs (file missing)

 
Программы/расширения от Mail.ru используете?
 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

Изменено 11 июля, 2018 пользователем regist

[dao47rus]

Ссылка на карантин VirusDetector

https://virusinfo.info/virusdetector/report.php?md5=2B223DBED93B8B5D25494664D0BAAD5C

 

В HiJackThis "пофиксил". После перезагрузки рекламная страница gameorplay не появилась!

 

По поводу Mail.ru: у меня на компьютере был установлен только Игровой центр Mail.ru. Но больше полугода я им вообще не пользовался. Впрочем, на всякий случай, сейчас удалил его.

 

В приложении отчёты AdwCleaner и HiJackThis

 

Спасибо за помощь!

 

HiJackThis.log

AdwCleanerS00.txt

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[regist]

+

Прикрепленные файлы

Лог  HiJackThis.log это до фикса или после? По нему не видно, чтобы вы фиксили.

[dao47rus]

Сделал всё по пунктам. Отчёт AdwCleaner в приложенном файле

 

 

 

+

Прикрепленные файлы

Лог  HiJackThis.log это до фикса или после? По нему не видно, чтобы вы фиксили.

 

Честно говоря, не могу сказать точно до или после фикса этот отчёт HiJackThis. Но я точно нашёл и пофиксил те строчки, которые вы указали в предыдущем сообщении. По крайней мере, при повторном запуске HiJackThis я их уже больше не нашёл в списке.

 

На всякий случай, прикладываю отчёт после повторного запуска и нажатия на кнопку "Проверить систему и сохранить отчёт". То есть уже точно после фикса, который был при первом запуске HiJackThis

AdwCleanerC02.txt

HiJackThis.log

[regist]

Что с проблемой?
 

[dao47rus]

Что с проблемой?

 

Проблема решена, страница gameorplay при загрузке компьютера больше не появляется! Большое спасибо за помощь!

[regist]

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.
  

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[dao47rus]

Из уязвимостей avz нашёл только "Контроль учётных записей отключён".

 

Рекомендации по зачистке программ для лечения сейчас выполню. Спасибо!

avz_log.txt