Реклама в браузере Chrome [Trojan.MSIL.VKInject.b ]

[AndreyValK]

Здравствуйте!
Подцепил вирус. Скачивал музыку с Интернета и прописалась программка-спам. В окнах выскакивает реклама и запускаются новые вкладки с рекламой.

[Info_bot]

Уважаемый(ая) AndreyValK, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Макcим]

Выполните скрипт в AVZ

begin
ExecuteWizard('TSW',2,3,true);
end.

Проверьте файлы из списка на VirusTotal.

Код:

C:\Users\Public\Documents\Stach\Fraps.exe
C:\Users\user\Downloads\vcredist_x64.exe

Кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Сделайте лог CheckBrowserLnk.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Проверьте настройки DNS на ПК и в роутере.

[AndreyValK]

1) Скрипт выполнил
2) Файлы проверить не могу, т.к. на компе их не нахожу
3) Отчет ниже

В Хроме в Настройки-Расширения постоянно прописывается программа Bitti-Bit 1.1.1
Bit музыки VKontakte.
Я её отключаю и удаляю, но при следующем запуске она снова есть в настройках. Она и способствует запуску рекламы и баннеров.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Public\Documents\Stach\Fraps.exe','');
 QuarantineFile('C:\Users\user\Downloads\vcredist_x64.exe','');
 QuarantineFile('C:\Windows\System32\roboot64.exe','');
 CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

Загрузите файл virus.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" вверху темы.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё).

[AndreyValK]

1) Скрипт выполнил. (без ошибок)
2) Файл загрузил. Подтверждение:
Файл сохранён как 140804_163619_virus_53dfb6838096d.zip
Размер файла 16125
MD5 49ecff43739d2d3e4915a1db6e148380
3) Удаление сделал

Проблема не решена ((((

[regist]

Fraps.exe - Trojan.MSIL.VKInject.b

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 TerminateProcessByName('C:\Users\Public\Documents\Stach\Fraps.exe');
 QuarantineFileF('C:\Users\Public\Documents\Stach\','*.exe, *.dll', false,'',0 ,0);
 DeleteFile('C:\Users\Public\Documents\Stach\Fraps.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Stach');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DATAMNGR','command');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- - Сделайте лог полного сканирования МВАМ.

скачайте отсюда Оперу и проверьте проблему в ней.


- - - Добавлено - - -

+ вы из Белоруссии?

[AndreyValK]

1) Скрипты выполнил, карантин отправил.
2) Проверил работу в Хроме, IE, Опере -- вроде всё ОК. Программа Bitti-Bit в расширениях не появляется.. реклама не выскакивает.
3) да... из Беларуси
4) не могу прикрепить лог МВАМ -- после сканирования ничего не появляется с предложением сохранить. Сообщает только о удачном сканировании и отсутствии проблем.

[regist]

1)

Сообщает только о удачном сканировании и отсутствии проблем.

деинсталируйте тогда MBAM.

2) Посмотрите что находится в папке

Код:

C:\Users\Public\Documents\Stach

[AndreyValK]

1)
деинсталируйте тогда MBAM.

2) Посмотрите что находится в папке

Код:

C:\Users\Public\Documents\Stach

Текстовые файлы, файлы сценария, рисунки, приложение Frame.... и все это связано с этой рекламной программой, т.к. в текстовом файле (Word) указывается на правила использования программы BittyBit...
Удалил папку Stach

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[AndreyValK]

Уязвимостей не найдено, кроме необходимости обновить IE.
Проблема решена. Спасибо за помощь.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены