Kaspersky оповещает о блокировки https://sumcun.itsbutefual.info

[Alexik]

Уже пару месяцев Kaspersky оповещает о блокировке https://sumcun.itsbutefual.info. Началось после того, как на компьютер попала вирусная реклама. Kaspersky все по удалял, вместе с рекламными ярлыками на столе, но вот эта проблема осталась.

 

Использовал полную чистку от Kaspersky, AdwCleaner, но не помогло. Kaspersky еще находил что-то, чаще расширение Touch VPN в Chrome. 

 

К теме предоставил отчет от Kaspersky.

Изменено 1 февраля, 2019 пользователем Alexik

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[Alexik]

Уже пару месяцев Kaspersky оповещает о блокировке https://sumcun.itsbutefual.info. Началось после того, как на компьютер попала вирусная реклама. Kaspersky все по удалял, вместе с рекламными ярлыками на столе, но вот эта проблема осталась.

 

Использовал полную чистку от Kaspersky, AdwCleaner, но не помогло. Kaspersky еще находил что-то, чаще расширение Touch VPN в Chrome. 

 

К теме предоставил отчет от Kaspersky и от AutoLogger.

CollectionLog-2019.02.01-12.39.zipПолучение информации...

virfd.txtПолучение информации...

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteSchedulerTask('{1CAEEE4E-7C7F-8597-F9A1-FE92CD4C8CD6}');
 DeleteSchedulerTask('{7B1B7438-15A5-60CE-5F28-8C5766F63D91}');
 DeleteSchedulerTask('lJeggdxuwgsvqjY');
 DeleteFile('C:\Users\sasha\Favorites\Links\Интернет.url');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Alexik]

Новый отчет.

CollectionLog-2019.02.01-13.22.zipПолучение информации...

[Sandor]

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Alexik]

При попытке загрузить карантин через https://virusinfo.info/virusdetector/uploadform.php, сервер выдает  ERR_CONNECTION_RESET.

 

Отчет AdwCleaner +

AdwCleanerS04.txtПолучение информации...

Изменено 1 февраля, 2019 пользователем Alexik

[Sandor]

  Alexik сказал:

сервер выдает  ERR_CONNECTION_RESET

Опять сломалось))

Отправьте тогда так:

Закачайте полученный архив, как описано на этой странице.

Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 1 февраля, 2019 пользователем Sandor

[Alexik]

Загрузил архив на сервис. Дать MD5?

 

FRST сканирование + (два файла)

Addition.txtПолучение информации...

FRST.txtПолучение информации...

[Sandor]

  Alexik сказал:

Дать MD5?

Дайте.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811040","hxxp://www.google.com/"
  CHR DefaultSearchURL: Default -> hxxps://defaultsearch.co/?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> Adaware Secure
  CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx
  U3 aswbdisk; no ImagePath
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  Task: {4845A557-38F2-4692-8B28-1CEB2BAB6964} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2019-01-18] (AVAST Software)
  Task: C:\Windows\Tasks\lJeggdxuwgsvqjY.job => C:\Program Files (x86)\ZmyMStEpU\xlMvsJ.dll
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472]
  AlternateDataStreams: C:\Users\sasha\OneDrive\Documents\Battlefield V:${3D0CE612-FDEE-43f7-8ACA-957BEC0CCBA0}.Metadata [194]
  AlternateDataStreams: C:\Users\sasha\OneDrive\Documents\ViberDownloads:${3D0CE612-FDEE-43f7-8ACA-957BEC0CCBA0}.Metadata [194]
  AlternateDataStreams: C:\Users\sasha\OneDrive\Documents\Новая папка:${3D0CE612-FDEE-43f7-8ACA-957BEC0CCBA0}.Metadata [194]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Alexik]

MD5: 73D40B0984AF6D4E330329BB7011E7FA

 

Я не совсем понял что делать со скопированным кодом. 

 

Fixlog.txt +

 

Fixlog.txtПолучение информации...

[Sandor]

Вы всё сделали верно. Что с проблемой?

[Alexik]

Обычно, проблема проявляется раз в час-два. Понаблюдаю. Если проблема повторится - напишу сюда. Спасибо за помощь

[Sandor]

Если НЕ повторится, тоже напишите.