Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Помогите удалить вирус AdWare.Win32.Kranet.heur [not-a-virus:HEUR:AdWare.Win32.Kranet.heur ] (заявка № 178924)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    16
    Вес репутации
    34

    Помогите удалить вирус AdWare.Win32.Kranet.heur [not-a-virus:HEUR:AdWare.Win32.Kranet.heur ]

    Здравствуйте!


    Проблемы 2:
    1) во всех браузерах всплывающие окна, при чём со всех сторон. Прогнал др.веб-ом, он не нашёл ничево. утилита касперского нашла и удалила 3 вируса, а этот AdWare.Win32.Kranet.heur находит, но не удаляет.


    2) периодически блокируют поисковики. писал в поддержку яндекса, ответ получил примерно такой "С вашего компьютера идут автоматические запросы". Я так понимаю, это вирус.


    Проверил по инструкции. Логи прикрепил. Помогите разобраться


    С уважением, Владимир
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Votan_on, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     TerminateProcessByName('c:\program files\dynamo combo\updatedynamocombo.exe');
     TerminateProcessByName('c:\program files\dynamo combo\bin\dynamocombo.purbrowse.exe');
     TerminateProcessByName('c:\program files\dynamo combo\bin\dynamocombo.expext.exe');
     TerminateProcessByName('c:\program files\dynamo combo\bin\dynamocombo.browseradapter.exe');
     TerminateProcessByName('c:\users\ВОВАН\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrlte.exe');
     QuarantineFile('C:\Users\ВОВАН\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe', '');
     QuarantineFile('C:\Windows\system32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}w.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}w.sys', '');
     QuarantineFile('c:\program files\dynamo combo\updatedynamocombo.exe', '');
     QuarantineFile('c:\program files\dynamo combo\bin\dynamocombo.purbrowse.exe', '');
     QuarantineFile('c:\program files\dynamo combo\bin\dynamocombo.expext.exe', '');
     QuarantineFile('c:\program files\dynamo combo\bin\dynamocombo.browseradapter.exe', '');
     QuarantineFile('c:\users\ВОВАН\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrlte.exe', '');
     DeleteFile('c:\program files\dynamo combo\bin\dynamocombo.browseradapter.exe', '32');
     DeleteFile('c:\program files\dynamo combo\bin\dynamocombo.expext.exe', '32');
     DeleteFile('c:\program files\dynamo combo\bin\dynamocombo.purbrowse.exe', '32');
     DeleteFile('c:\program files\dynamo combo\updatedynamocombo.exe', '32');
     DeleteFile('C:\Program Files\Dynamo Combo\bin\3bcf4f2c0bbb4d4cbf1f11bbe6d501ea.dll', '32');
     DeleteFile('C:\Program Files\Dynamo Combo\bin\DynamoCombo.expextdll.dll', '32');
     DeleteFile('C:\Windows\system32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}w.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}w.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w.sys', '32');
     DeleteFile('C:\Users\ВОВАН\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe', '32');
     DeleteFile('C:\Users\ВОВАН\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe', '32');
     DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search', '32');
     DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Updater', '32');
     DeleteService('{ecd6aae4-019c-44b2-a0e5-570904275d66}w');
     DeleteService('{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w');
     DeleteService('{915cb94b-b4d8-4c0e-83b4-61409471b1c3}w');
     DeleteService('{641e52b1-3179-43ed-8bcb-f688871e52b0}w');
     DeleteService('{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w');
     DeleteService('{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw');
     DeleteService('{16a92140-918d-4afb-9edb-46f22437bb10}w');
     DeleteService('{f81878fa-25e9-442d-8ada-79658b6520f2}w');
     DeleteFileMask('c:\program files\dynamo combo', '*', true);
     DeleteFileMask('c:\users\ВОВАН\appdata\local\pay-by-ads', '*', true);
     DeleteDirectory('c:\program files\dynamo combo');
     DeleteDirectory('c:\users\ВОВАН\appdata\local\pay-by-ads');
    BC_ImportDeletedList;
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    16
    Вес репутации
    34
    Всё сделал. Логи прикрепляю

    - - - - -Добавлено - - - - -

    Только что обнаружил, даже в опере реклама пропала
    И в ЯД зашёл без проблем.

    Скажите, нужно ли что-то сделать для закрепления результата?
    Вложения Вложения
    Последний раз редактировалось thyrex; 06.03.2015 в 23:27.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    virusinfo_syscheck.zip я просил новый, Вы прикрепили тот же самый, что и вначале.

    information

    Внимание

    Удалите файл quarantine.zip из вложений!


    Отправьте файл quarantine.zip по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Запустите повторно AdwCleaner (by Xplode) Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Scan, по окончании сканирования уберите галочки на вкладках Folders и Registry со всех пунктов, где упоминаются Mail.Ru и MediaGet если используете соответствующие программы.

    Затем нажмите Cleaning и по окончании удаления перезагрузите систему по требованию программы.

    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

    Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    16
    Вес репутации
    34
    Всё сделал. файлы загрузил.
    что с проблемой пока не ясно. пару дней посмотрю и отпишусь
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    16
    Вес репутации
    34
    к некоторым сервисам Яндекса доступ закрыт
    на пример сегодня не смог попасть в вордстат

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Скачайте утилиту MiniToolBox и сохраните на рабочем столе.

    Запустите при подключённом интернете, отметьте следующие пункты:

    • Список настроек прокси Internet Explorer
    • Список настроек прокси Firefox
    • Список из файла Hosts
    • Список настроек IP
    • Список настроек Winsock
    • Список последних 10 записей журнала событий
    • Список установленных программ
    • Только проблемных
    • Список юзеров, разделов и размера памяти
    • Список дампа памяти
    • список точек восстановления


    и нажмите Старт.

    После завершения сбора информации откроется отчет Result.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.
    WBR,
    Vadim

  10. #9
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    16
    Вес репутации
    34
    пару часов назад пропал английский язык такое раньше было постоянно, приходилось каждый раз для переключения сбрасывать его и подключать заново через панель управления.

    Файл ресулт.тхт прикрепил
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Деинсталлируйте программы:

    Html5 geolocation provider
    Update for Html5 geolocation provider

    Загрузите SecurityCheck by glax24 отсюда и сохраните на Рабочем столе.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  12. #11
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    16
    Вес репутации
    34
    Всё сделал
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
    становите Internet Explorer 11 и все последующие обновления к нему, даже если им не пользуетесь, это критически важный для безопасности компонент Windows.

    Автоматическое обновление отключено (-1)
    Рекомендуется включить автоматическое обновление системы.

    Adobe Flash Player 15 ActiveX v.15.0.0.152 Внимание! Скачать обновления
    Adobe Flash Player 16 NPAPI Version: 16.0.0.305 Внимание! Скачать обновления
    Что с проблемами?
    WBR,
    Vadim

  14. #13
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    16
    Вес репутации
    34
    Internet Explorer 11 установил

    Обновления Адобов установил

    Что с проблемой пока не ясно. Сегодня пытался войти на https://wordstat.yandex.ru/ не пустило. Яндекс блокирует доступ на 12 часов, так что следующая попытка только завтра

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Рекомендую обратиться в ТП Яндекса.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  16. #15
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    16
    Вес репутации
    34
    Здравствуйте!

    В поддержку Яндекса я написал, но подозреваю, что всё таки не всё вычищено, так как буквально 15 минут назад в хроме появилась реклама. Скрин прилогаю.

    Именно с такой рекламы всё и начиналось(((
    Изображения Изображения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти три файла к своему следующему сообщению.
    WBR,
    Vadim

  18. #17
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    16
    Вес репутации
    34
    Сделал, файлы прикрепил
    Вложения Вложения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKU\S-1-5-21-3897202847-285542954-2115738735-1000\...\Run: [Yahoo! Search] => C:\Users\ВОВАН\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe
    HKU\S-1-5-18\...\Run: [AlterGeoUpdater] => C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
    ShortcutTarget: _uninst_46100884.lnk -> C:\Users\ВОВАН\AppData\Local\Temp\_uninst_46100884.bat (No File)
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    FF NewTab: hxxp://search.yahoo.com/?fr=hp-ddc-bd-tab&type=804_pr__alt__ddc_dsssyctab_bd_com
    FF SelectedSearchEngine: Yahoo! Search
    FF Homepage: hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=804_pr__alt__ddc_dsssyc_bd_com
    FF Keyword.URL: hxxp://search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=804_pr__alt__ddc_dss_bd_com&p=
    FF Extension: Dynamo Combo 1.0.1 - C:\Users\ВОВАН\AppData\Roaming\Mozilla\Firefox\Profiles\22ei3uuc.default\Extensions\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}.xpi [2015-01-30]
    CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=804_pr__alt__ddc_dsssyc_bd_com"
    CHR StartupUrls: Default -> "hxxp://www.google.com", "hxxp://mail.ru/cnt/7993/", "hxxp://yambler.net/?im", "hxxp://www.yandex.ua/?win=94&clid=2036111", "hxxp://go.mail.ru/?homepage=1", "hxxp://www.bing.com/?pc=U223", "hxxp://www.sweet-page.com/?type=hp&ts=1406191163&from=cor&uid=ST31000528AS_9VP5ALXDXXXX9VP5ALXD", "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=804_pr__alt__ddc_dsssyc_bd_com"
    CHR Extension: (No Name) - C:\Users\ВОВАН\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2015-03-13]
    CHR Extension: (Dynamo Combo) - C:\Users\ВОВАН\AppData\Local\Google\Chrome\User Data\Default\Extensions\cgohmfhlbipbcmmpdonacmkpibfghppn [2015-02-26]
    CHR Extension: (ХромоКупоно) - C:\Users\ВОВАН\AppData\Local\Google\Chrome\User Data\Default\Extensions\nempgcppdjebbgbbdbanlogeieombmgn [2014-09-21]
    Task: {4FDB02DC-25C5-4288-904D-B322A347B148} - System32\Tasks\AlterGeoUpdaterS-1-5-18 => C:\Program Files\AlterGeo\Html5 geolocation provider\html5locsvc.exe
    Task: {86BFA29D-952D-484C-AFD0-918FBFCCB02A} - System32\Tasks\avastBCLRestartS-1-5-21-3897202847-285542954-2115738735-1000 => Firefox.exe 
    Task: C:\Windows\Tasks\AlterGeoUpdaterS-1-5-18.job => C:\Program Files\AlterGeo\Html5 geolocation provider\html5locsvc.exe
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
    AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    В Яндекс Браузере отключите расширения, которые сами не устанавливали, проверьте стартовые страницы и настройки поиска - утилит для этого не существует.

    Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
    WBR,
    Vadim

  20. #19
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    16
    Вес репутации
    34
    всё сделал. завтра отпишусьь по проблеме
    Вложения Вложения

  21. #20
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    16
    Вес репутации
    34
    С грустью сообщаю, что в хроме по прежнему, то справа, то слева всплывает реклама((( скрин прилагаю

    Получил ответ от поддержки Яндекса:
    "На данный момент блокировки Вашего IP-адреса с нашей стороны не наблюдается.

    Причина блокировки - массовые запросы к сайту с одного и того же IP-адреса. Если эти запросы делаете Вы, рекомендуем так не делать. Если не Вы - попробуйте сменить IP-адрес, за советом о том, как это сделать, обратитесь к своему провайдеру. Мы, к сожалению, ничем не можем помочь."
    Но сегодня опять не смог войти в ЯД
    Изображения Изображения

  • Уважаемый(ая) Votan_on, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Карантин 0443D1FD70C51386A0376E5037916B3A [HEUR:Trojan.Win32.Cosmu.gen, not-a-virus:AdWare.Win32.Kranet.c]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 11.02.2017, 23:24
    2. Ответов: 6
      Последнее сообщение: 21.10.2014, 14:16
    3. Ответов: 9
      Последнее сообщение: 20.09.2014, 18:25
    4. Ответов: 5
      Последнее сообщение: 16.09.2014, 18:08
    5. Ответов: 8
      Последнее сообщение: 14.09.2014, 09:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00615 seconds with 20 queries