В браузере возникают всплывающие окна с рекламой и подписью powered by capricornus

Printable View

16.12.2015, 22:43
coby

Вложений: 2

В браузере возникают всплывающие окна с рекламой и подписью powered by capricornus

Привет!
в браузере подобных расширений нет, среди установленных программ - тоже.
Логи во вложении. Прошу помочь! Заранее спасибо за помощь.
16.12.2015, 22:44
Info_bot

Уважаемый(ая) [B]coby[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
17.12.2015, 15:12
regist

Здравствуйте!

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
StopService('4F966B65BAF93372');
StopService('4F966B789D55FB72');
QuarantineFileF('C:\Program Files (x86)\SFK', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0 , 0);
QuarantineFile('C:\Program Files (x86)\27E28628-1449827556-F062-F20C-88AE1D902903\knsu8F2F.tmp', '');
QuarantineFile('C:\Program Files (x86)\SFK\SSFK.exe', '');
QuarantineFile('C:\Users\9817~1\AppData\Local\Temp\1B2B9A48.sys', '');
QuarantineFile('C:\Users\9817~1\AppData\Local\Temp\230634DC.sys', '');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010173\gmsd_ru_005010173.exe', '');
QuarantineFile('C:\Users\Надюша\AppData\Local\mKQlMJxOugftj\VlpbayVwQMKtu0.bat', '');
QuarantineFile('C:\ProgramData\HrHYSXsUN\fszBczuVcyEN5.bat', '');
QuarantineFile('C:\Users\Надюша\AppData\Local\vIwEuncDEuh\tYVpCeKQzWhXEKL0.bat', '');
QuarantineFileF('C:\Users\Надюша\appdata\roaming\aspackage\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFile('C:\PROGRA~1\GROOVE~1\Cybit.bat', '');
QuarantineFileF('C:\Program Files\SpaceSoundPro\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('c:\programdata\tmp0x0x\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\9817~1\AppData\Roaming\DSite\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Надюша\AppData\Local\SmartWeb\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
DeleteFile('C:\Program Files (x86)\27E28628-1449827556-F062-F20C-88AE1D902903\knsu8F2F.tmp', '32');
DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe', '32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_005010173\gmsd_ru_005010173.exe', '32');
DeleteFile('C:\Users\Надюша\AppData\Local\mKQlMJxOugftj\VlpbayVwQMKtu0.bat', '32');
DeleteFile('C:\ProgramData\HrHYSXsUN\fszBczuVcyEN5.bat', '32');
DeleteFile('C:\Users\Надюша\AppData\Local\vIwEuncDEuh\tYVpCeKQzWhXEKL0.bat', '32');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DeleteService('cucujini');
DeleteService('SSFK');
DeleteFileMask('c:\programdata\tmp0x0x\', '*', true);
DeleteFileMask('C:\Program Files (x86)\SFK', '*', true);
DeleteDirectory('c:\programdata\tmp0x0x\');
DeleteDirectory('C:\Program Files (x86)\SFK');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010173', 'command');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_dbg.zip"]Check Browsers' LNK by Dragokas & regist[/URL]. Заархивируйте его и прикрепите к сообщению.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
18.12.2015, 22:44
coby

Вложений: 4

произвел указанную последовательность действий, вот файлы логов, собранные с утилит
19.12.2015, 10:42
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\9817~1\AppData\Local\Temp\1B2B9A48.sys', '');
QuarantineFile('C:\Users\9817~1\AppData\Local\Temp\230634DC.sys', '');
QuarantineFile('C:\Users\Надюша\AppData\Local\mKQlMJxOugftj\VlpbayVwQMKtu0.bat', '');
QuarantineFile('C:\Users\Надюша\AppData\Local\vIwEuncDEuh\tYVpCeKQzWhXEKL0.bat', '');
QuarantineFile('C:\PROGRA~1\GROOVE~1\Cybit.bat', '');
QuarantineFile('C:\Windows\SysWOW64\dnsapi.dll', '');
QuarantineFile('C:\Windows\system32\DNSAPI.dll', '');
DeleteFile('C:\Users\9817~1\AppData\Local\Temp\1B2B9A48.sys', '32');
DeleteFile('C:\Users\9817~1\AppData\Local\Temp\230634DC.sys', '32');
DeleteFile('C:\Users\Надюша\AppData\Local\mKQlMJxOugftj\VlpbayVwQMKtu0.bat', '32');
DeleteFile('C:\Users\Надюша\AppData\Local\vIwEuncDEuh\tYVpCeKQzWhXEKL0.bat', '32');
DeleteFile('C:\PROGRA~1\GROOVE~1\Cybit.bat', '32');
ExecuteFile('schtasks.exe', '/delete /TN "Wikagup" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VkontakteDJ', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Guard.Mail.ru.gui', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

[URL='http://rghost.ru/private/752hQ9WmK/803c28b780a2e6064a05008d09b4a089']сделайте лог HiJackThis 2.0.6 Alfa 1.4[/URL]
21.12.2015, 21:29
coby

Вложений: 2

Добрый вечер!

[QUOTE]Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.[/QUOTE]

при попытке загрузить файл ошибка "Результат загрузки
Ошибка загрузки. Данный файл уже был загружен"

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

вот файлы логов утилит. А что делать с архивом с карантином?
21.12.2015, 22:47
regist

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis
[CODE]R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)
O2 - BHO: (no name) - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - (no file)
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - {aeef4389-6327-45e5-9552-021c0f5aef2d} - (no file)
O3 - Toolbar: (no name) - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - (no file)
O3 - Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)
O4 - MSConfig..HKLM: 2015/12/12 [DriverRevolution Updater] "C:\Users\Надюша\AppData\Roaming\DriverRevolution\DriverRevolution.exe" -checkforupdates (no file)
O4 - MSConfig..HKLM: 2015/12/12 [ETDWare] %ProgramFiles%\Elantech\ETDCtrl.exe (no file)
O4 - MSConfig..HKLM: 2015/12/12 [Guard.Mail.ru.gui] "C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe" /gui (no file)
O4 - MSConfig..HKLM: 2015/12/12 [MailRuUpdater] C:\Users\Надюша\AppData\Local\Mail.Ru\MailRuUpdater.exe (no file)
O4 - MSConfig..HKLM: 2015/12/12 [PSUAMain] "C:\Program Files (x86)\Panda Security\Panda Security Protection\PSUAMain.exe" /LaunchSysTray (no file)
O4 - MSConfig..HKLM: 2015/12/12 [Panda Security URL Filtering] "C:\ProgramData\Panda Security URL Filtering\Panda_URL_Filtering.exe" (no file)
O4 - MSConfig..HKLM: 2015/12/12 [Praetorian] C:\Users\Надюша\AppData\Local\Yandex\Updater\praetorian.exe (no file)
O4 - MSConfig..HKLM: 2015/12/12 [SmartWeb] C:\Users\Надюша\AppData\Local\SmartWeb\SmartWebHelper.exe (no file)
O4 - MSConfig..HKLM: 2015/12/12 [SpaceSoundPro] "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" (no file)
O4 - MSConfig..HKLM: 2015/12/12 [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe" (no file)
O4 - MSConfig..HKLM: 2015/12/12 [VKSaver] C:\ProgramData\VKSaver\VKSaver.exe
O4 - MSConfig..HKLM: 2015/12/12 [VkontakteDJ] C:\VkontakteDJ\VkontakteDJ.exe /H (no file)
O4 - MSConfig..HKLM: 2015/12/12 [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s (no file)
O4 - MSConfig..HKLM: 2015/12/12 [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent (no file)
O4 - MSConfig..HKLM: 2015/12/12 [amigo] C:\Users\Надюша\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (no file)
O4 - MSConfig..HKLM: 2015/12/12 [coupondo] "C:\Users\Надюша\AppData\Local\coupondo\cpndostb.exe" /run "C:\Users\Надюша\AppData\Local\coupondo\config.json" (no file)
O4 - MSConfig..HKLM: 2015/12/12 [gmsd_ru_005010173] (no file)
O4 - MSConfig..HKLM: 2015/12/12 [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" (no file)
O4 - MSConfig..HKLM: 2015/12/13 [apphide] C:\Program Files (x86)\baidu\ppt.exe (no file)
O9 - Extra button: (no name) - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - (no file)
O9 - Extra button: (no name) - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - (no file)
O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
[/CODE]

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончании сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].