Проблема с вирусом not-a-virus:RiskTool.NSIS.ExtInstall.b [not-a-virus:RiskTool.NSIS.ExtInstall.b ]

**Mystery666** · 13.06.2016, 04:38

Здравствуйте,пару дней назад Касперский обнаружил этот вирус во время очередного сканирования,но он не смог его удалить полностью,максимум только блокирует его функции,направленные на изменение параметров браузера.Но тем не менее периодически в браузере появляются новые закладки,удаляется AdBlock и на рабочем столе появляются различные посторонние ярлыки.Попытка удаления файлов этого вируса вручную также не увенчалась успехом,после перезапуска системы они восстанавливаются.Помогите пожалуйста,чем сможете.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.06.2016, 04:39

Уважаемый(ая) Mystery666, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Sandor** · 13.06.2016, 10:40

Здравствуйте!

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\dbc9c0fe-9696-4b56-8689-ea7c2a653284', '*', true, '', 0 ,0);
 QuarantineFileF('c:\users\mystery\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\DBC9C0FE-9696-4B56-8689-EA7C2A653284\C848EB57-DB3C-46BB-8C54-4DA071A1F814.exe', '');
 QuarantineFile('C:\Users\Mystery\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeBrowser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ADBC9C0FE-9696-4B56-8689-EA7C2A653284" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\DBC9C0FE-9696-4B56-8689-EA7C2A653284\C848EB57-DB3C-46BB-8C54-4DA071A1F814.exe', '32');
 DeleteFile('C:\Users\Mystery\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFileMask('c:\users\mystery\appdata\local\microsoft\extensions', '*', true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DBC9C0FE-9696-4B56-8689-EA7C2A653284');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Сделайте лог Check Browsers' LNK by Dragokas & regist.

Подготовьте и прикрепите лог сканирования AdwCleaner.

**Mystery666** · 13.06.2016, 13:03

Готово.

**Sandor** · 13.06.2016, 13:31

Файл C:\AdwCleaner\AdwCleaner[C1].txt тоже покажите.

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Users\Mystery\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Mystery\Desktop\Google Chrome.lnk', '');
 QuarantineFileF('C:\Program Files\Common Files\{3FEBBD07-89CF-FC41-8EE0-65A7CD9C8096}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Program Files\Common Files\{3FEBBD07-89CF-FC41-8EE0-65A7CD9C8096}', '*', true);
 DeleteDirectory('C:\Program Files\Common Files\{3FEBBD07-89CF-FC41-8EE0-65A7CD9C8096}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчет о её работе прикрепите к следующему сообщению.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки и отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

**Mystery666** · 13.06.2016, 14:08

Только как C2 сохраняет AdwCleaner.

**Sandor** · 13.06.2016, 14:29

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Mystery666** · 13.06.2016, 15:01

Готово.

**Sandor** · 13.06.2016, 15:17

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Driver Booster 3.2

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните. При сохранении выберите кодировку Юникод!

Код:

start
CreateRestorePoint:
FF user.js: detected! => C:\Users\Mystery\AppData\Roaming\Mozilla\Firefox\Profiles\q4iguwqb.default\user.js [2016-06-13]
CHR Extension: (News Tab) - C:\Users\Mystery\AppData\Local\Google\Chrome\User Data\Default\Extensions\kjacjjdnoddnpbbcjilcajfhhbdhkpgk [2016-06-13]
CHR Extension: (Style Tab) - C:\Users\Mystery\AppData\Local\Google\Chrome\User Data\Default\Extensions\mefhakmgclhhfbdadeojlkbllmecialg [2016-06-12]
OPR Extension: (Smart Browser™) - C:\Users\Mystery\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-06-13]
OPR Extension: (News Tab) - C:\Users\Mystery\AppData\Roaming\Opera Software\Opera Stable\Extensions\kjacjjdnoddnpbbcjilcajfhhbdhkpgk [2016-06-13]
OPR Extension: (Smart Browser™) - C:\Users\Mystery\AppData\Roaming\Opera Software\Opera Stable\Extensions\mefhakmgclhhfbdadeojlkbllmecialg [2016-06-12]
OPR Extension: (Net Chrome) - C:\Users\Mystery\AppData\Roaming\Opera Software\Opera Stable\Extensions\ocggccaacacpienfcgmgcihoombokbbj [2016-06-13]
2016-06-10 20:06 - 2016-06-10 20:06 - 00000000 ____D C:\Users\Mystery\AppData\Local\Поиcк в Интeрнете
Task: {DF87D1BB-6B5E-4EC5-B848-CD5DB7EC045B} - System32\Tasks\Driver Booster SkipUAC (Mystery) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
AlternateDataStreams: C:\ProgramData:NT2 [322]
AlternateDataStreams: C:\Users\All Users:NT2 [322]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [322]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [322]
AlternateDataStreams: C:\ProgramData\TEMP:ADF211B1 [202]
AlternateDataStreams: C:\Users\Mystery\Application Data:NT [40]
AlternateDataStreams: C:\Users\Mystery\Application Data:NT2 [322]
AlternateDataStreams: C:\Users\Mystery\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Mystery\AppData\Roaming:NT2 [322]
AlternateDataStreams: C:\Users\Public\DRM:مايكروسوفت [48]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [322]
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите что с проблемой.

**Mystery666** · 13.06.2016, 15:56

Сам вирус никак себя не проявляет больше,остался только переход на какой-то сайт ad.mail.ru,но этот переход постоянно блокирует Касперский.

**Sandor** · 13.06.2016, 16:06

Сообщение от Mystery666

остался только переход на какой-то сайт

В каком браузере?

**Mystery666** · 13.06.2016, 16:12

Это в антивирусе пишет в подробном отчёте,там даже не переход,а какой-то баннер блокируется.

- - - - -Добавлено - - - - -

Но в целом главная проблема устранена,огромное спасибо

**Sandor** · 13.06.2016, 16:24

Последите - при заходе на какой сайт это происходит.

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2. Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера.

**CyberHelper** · 13.06.2016, 16:34

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 23
В ходе лечения обнаружены вредоносные программы:
1. c:\users\mystery\appdata\local\microsoft\extension s\extsetup.exe - not-a-virus:RiskTool.NSIS.ExtInstall.b

Проблема с вирусом not-a-virus:RiskTool.NSIS.ExtInstall.b [not-a-virus:RiskTool.NSIS.ExtInstall.b ] (заявка № 201306)

Опции темы