[РЕШЕНО] not-a-virus:HEUR:AdWare.Scripy.Generic

[BioHaker]

Здравствуйте.

Пытался своими силами, но не справился.

 

В поле зрения переходов по вредоносным линкам успеваю зафиксировать xml.seavibes.club, после которого происходит редирект на рандомные рекламные сайты.

 

После устновки Касперского, были обнаружены: 

 

1. HEUR:Trojan.Win32.Generic - удален

2. MEM:Trojan.Win32.SPEH.hen - вылечен

3. HEUR:Rootkit.Boot.Agent.gen - вылечен

4. HEUR:RiskTool.Win32.ButMiner.gen - удалён

 

5. HEUR:AdWare.Script.Generic - невозможно вылечить.

 

 

А так же, регулярно возникает ситуаця, что ниже. Чуть ли не каждую минуту деятельности в браузере, если не чаще...

 

1. 07.06.2019 13.41.26; Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;https://m98.prod2016.com/QualityCheck/x.txt;https://m98.prod2016.com/QualityCheck/x.txt; Веб-адрес; Google Chrome;06/07/2019 13:41:26

 

2. 07.06.2019 13.41.24;Загрузка запрещена; https://www.googletagservices.com/activeview/js/current/lidar.js?cache=r20110914;not-a-virus:HEUR:AdWare.Script.Generic; https://www.googletagservices.com/activeview/js/current/lidar.js?cache=r20110914;Google Chrome; Рекламная программа;06/07/2019 13:41:24

 

 

CollectionLog-2019.06.07-13.22.zip

Изменено 7 июня, 2019 пользователем BioHaker

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('rcdll');
 QuarantineFile('C:\ProgramData\WindowsMenu\westat.exe', '');
 QuarantineFile('C:\Users\Sirius\AppData\Local\Temp\rcdll.exe', '');
 DeleteSchedulerTask('Microsoft\QuickLaunch');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('Microsoft\Windows\Starter');
 DeleteFile('C:\ProgramData\WindowsMenu\westat.exe', '64');
 DeleteFile('C:\Users\Sirius\AppData\Local\Temp\rcdll.exe', '64');
 DeleteService('rcdll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[BioHaker]

Скрипт выполнен. Письмо отправлено - KLAN-10347099686
Лог сделан, прикрепил.

CollectionLog-2019.06.07-15.53.zip

Изменено 7 июня, 2019 пользователем BioHaker

[Sandor]

"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{10e924a8-9ec5-447f-94e3-8b4f2a0c7301}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{10e924a8-9ec5-447f-94e3-8b4f2a0c7301}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{7aae3fe9-c8fe-4960-8238-207b1f321086}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{7aae3fe9-c8fe-4960-8238-207b1f321086}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{d85b41f5-a7e7-4ae7-9cc7-db23e812d108}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{d85b41f5-a7e7-4ae7-9cc7-db23e812d108}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{ec389bfb-99c8-466b-85ee-35638f9f519e}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{ec389bfb-99c8-466b-85ee-35638f9f519e}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 95.211.158.137

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[BioHaker]

"Пофиксите" в HijackThis: — выполнено.

 

Отчёт AdwCleaner прикрепил.

AdwCleanerS01.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[BioHaker]

Добрый день.

Выполнено.

От AdwCleaner почему-то два отчёта. Видимо до и после перезагрузки. Прикрепил крайний по дате создания файла.

 

А так же прикрепил два файла отчёта FRST.
 

AdwCleanerC02.txt

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[BioHaker]

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Выполнено с выгруженым антивирусом до перезакгрузки.

Fixlog.txt

[Sandor]

Проблема решена?

[BioHaker]

Проблема решена?

Да.

Каспер больше не наблюдает несанкцианированые переходы по вредоносным адресам.

В ДЗ перестали появляться майнеры.

Подозреваю, что работоспособность системы восстановлена.

 

СПАСИБО за помощь. Впечатлён. )

 

P.S. Неужели только такими методами реально избавиться от этой заразы?

 

[Sandor]

Проделайте завершающие шаги и получите некоторые ответы на вопросы:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[BioHaker]

Проделайте завершающие шаги и получите некоторые ответы на вопросы:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------

OpenOffice 4.1.4 v.4.14.9788 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Google Chrome v.73.0.3683.86 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

 

 

Читайте Рекомендации после удаления вредоносного ПО

[BioHaker]

--------------------------- [ OtherUtilities ] ----------------------------

OpenOffice 4.1.4 v.4.14.9788 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Google Chrome v.73.0.3683.86 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

 

 

Читайте Рекомендации после удаления вредоносного ПО

Хром пришлось переустановить, вылетал еррор при попытке обновиться. Последовал согласно инструкции Google Chrome - переустановка.

OpenOffice постигнет такая же участь.