Перейти к содержанию

[РЕШЕНО] not-a-virus:HEUR:AdWare.Scripy.Generic


Рекомендуемые сообщения

Здравствуйте.

Пытался своими силами, но не справился.

 

В поле зрения переходов по вредоносным линкам успеваю зафиксировать xml.seavibes.club, после которого происходит редирект на рандомные рекламные сайты.

 

После устновки Касперского, были обнаружены: 

 

1. HEUR:Trojan.Win32.Generic - удален

2. MEM:Trojan.Win32.SPEH.hen - вылечен

3. HEUR:Rootkit.Boot.Agent.gen - вылечен

4. HEUR:RiskTool.Win32.ButMiner.gen - удалён

 

5. HEUR:AdWare.Script.Generic - невозможно вылечить.

 

 

А так же, регулярно возникает ситуаця, что ниже. Чуть ли не каждую минуту деятельности в браузере, если не чаще...

 

1. 07.06.2019 13.41.26; Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;https://m98.prod2016.com/QualityCheck/x.txt;https://m98.prod2016.com/QualityCheck/x.txt; Веб-адрес; Google Chrome;06/07/2019 13:41:26
 
2. 07.06.2019 13.41.24;Загрузка запрещена; https://www.googletagservices.com/activeview/js/current/lidar.js?cache=r20110914;not-a-virus:HEUR:AdWare.Script.Generic; https://www.googletagservices.com/activeview/js/current/lidar.js?cache=r20110914;Google Chrome; Рекламная программа;06/07/2019 13:41:24
 

 

CollectionLog-2019.06.07-13.22.zip

Изменено пользователем BioHaker
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('rcdll');
 QuarantineFile('C:\ProgramData\WindowsMenu\westat.exe', '');
 QuarantineFile('C:\Users\Sirius\AppData\Local\Temp\rcdll.exe', '');
 DeleteSchedulerTask('Microsoft\QuickLaunch');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('Microsoft\Windows\Starter');
 DeleteFile('C:\ProgramData\WindowsMenu\westat.exe', '64');
 DeleteFile('C:\Users\Sirius\AppData\Local\Temp\rcdll.exe', '64');
 DeleteService('rcdll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Скрипт выполнен. Письмо отправлено - KLAN-10347099686
Лог сделан, прикрепил.

CollectionLog-2019.06.07-15.53.zip

Изменено пользователем BioHaker
Ссылка на комментарий
Поделиться на другие сайты

"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{10e924a8-9ec5-447f-94e3-8b4f2a0c7301}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{10e924a8-9ec5-447f-94e3-8b4f2a0c7301}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{7aae3fe9-c8fe-4960-8238-207b1f321086}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{7aae3fe9-c8fe-4960-8238-207b1f321086}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{d85b41f5-a7e7-4ae7-9cc7-db23e812d108}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{d85b41f5-a7e7-4ae7-9cc7-db23e812d108}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{ec389bfb-99c8-466b-85ee-35638f9f519e}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{ec389bfb-99c8-466b-85ee-35638f9f519e}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 95.211.158.137
Затем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Добрый день.

Выполнено.

От AdwCleaner почему-то два отчёта. Видимо до и после перезагрузки. Прикрепил крайний по дате создания файла.

 

А так же прикрепил два файла отчёта FRST.
 

AdwCleanerC02.txt

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Выполнено с выгруженым антивирусом до перезакгрузки.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Проблема решена?

Да.

Каспер больше не наблюдает несанкцианированые переходы по вредоносным адресам.

В ДЗ перестали появляться майнеры.

Подозреваю, что работоспособность системы восстановлена.

 

СПАСИБО за помощь. Впечатлён. )

 

P.S. Неужели только такими методами реально избавиться от этой заразы?

 

Ссылка на комментарий
Поделиться на другие сайты

Проделайте завершающие шаги и получите некоторые ответы на вопросы:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Проделайте завершающие шаги и получите некоторые ответы на вопросы:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------

OpenOffice 4.1.4 v.4.14.9788 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Google Chrome v.73.0.3683.86 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

 

 

Читайте Рекомендации после удаления вредоносного ПО

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------

OpenOffice 4.1.4 v.4.14.9788 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Google Chrome v.73.0.3683.86 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

 

 

Читайте Рекомендации после удаления вредоносного ПО

Хром пришлось переустановить, вылетал еррор при попытке обновиться. Последовал согласно инструкции Google Chrome - переустановка.

OpenOffice постигнет такая же участь.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Павел11
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • AndyShugar
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
×
×
  • Создать...