Реклама в Google Chrome "Corona borealis"

Printable View

01.03.2016, 21:05
Владимир Ляликов

Вложений: 1

Реклама в Google Chrome "Corona borealis"

Поймал в интернете вирус и теперь почти на каждом сайте, в правом верхнем углу появляется реклама.
01.03.2016, 21:06
Info_bot

Уважаемый(ая) [B]Владимир Ляликов[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
02.03.2016, 01:27
SQ

Здравствуйте,

HiJackThis [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://cosmosearch.ru/?ri=1&rsid=c9b2f2eff421fff6d049d90be94f447d&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://cosmosearch.ru/?ri=1&rsid=c9b2f2eff421fff6d049d90be94f447d&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?un_449343_3345
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?un_449343_3345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cosmosearch.ru/?ri=1&rsid=c9b2f2eff421fff6d049d90be94f447d&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://cosmosearch.ru/?ri=1&rsid=c9b2f2eff421fff6d049d90be94f447d&q=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
[/CODE]

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\bsdriver');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\bsdriver\Parameters');
StopService('bsdriver');
StopService('cherimoya');
StopService('Pednici');
StopService('QMUdisk');
StopService('softaal');
StopService('tsnethlpx64');
StopService('WdMan');
DeleteService('bsdriver');
DeleteService('cherimoya');
DeleteService('Pednici');
DeleteService('QMUdisk');
DeleteService('softaal');
DeleteService('tsnethlpx64');
DeleteService('WdMan');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUdisk64.sys','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\softaal64.sys','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys','');
QuarantineFile('C:\Program Files\Sound+\Sound+.exe','');
QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
QuarantineFile('C:\ProgramData\MwvCNsVEX\FnTvNbjZRS5.bat','');
QuarantineFile('c:\programdata\twdmt\wdman.exe','');
QuarantineFile('C:\PROGRA~1\GROOVE~1\Finvogm.bat','');
QuarantineFile('C:\Users\USER\AppData\Local\B73689A2-1456780655-E311-A968-201A0632D540\Uninstall.exe','');
QuarantineFile('C:\Users\USER\AppData\Local\Hostinstaller\2686055642_monster.exe','');
QuarantineFile('C:\Users\USER\AppData\Roaming\RaedNihxa\Enoef.exe','');
QuarantineFile('C:\Users\USER\appdata\roaming\texteditor\daemon\texteditor.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\bsdriver.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\cherimoya.sys','');
QuarantineFile('C:\WINDOWS\system32\SAsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\searchprotectservice.exe','');
QuarantineFile('C:\WINDOWS\syswow64\searchprotectservice.exe','');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\softaal64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys','32');
DeleteFile('C:\Program Files\Sound+\Sound+.exe','32');
DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
DeleteFile('C:\ProgramData\MwvCNsVEX\FnTvNbjZRS5.bat','32');
DeleteFile('c:\programdata\twdmt\wdman.exe','32');
DeleteFile('C:\PROGRA~1\GROOVE~1\Finvogm.bat','32');
DeleteFile('C:\Users\USER\AppData\Local\Hostinstaller\2686055642_monster.exe','32');
DeleteFile('C:\Users\USER\AppData\Roaming\RaedNihxa\Enoef.exe','32');
DeleteFile('C:\Users\USER\appdata\roaming\texteditor\daemon\texteditor.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\bsdriver.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\cherimoya.sys','32');
DeleteFile('C:\WINDOWS\system32\searchprotectservice.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Cuncu','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64');
DeleteFile('C:\WINDOWS\system32\Tasks\{7358FF0A-9577-455D-A7DC-B36648229E28}','64');
DeleteFile('C:\WINDOWS\syswow64\searchprotectservice.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Sound+');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

Приложите новый лог AVZ.
03.03.2016, 14:33
Владимир Ляликов

Вложений: 1

Карантин отправил, вот лог.
03.03.2016, 23:12
SQ

[QUOTE]>>> Подозрение на маскировку ключа реестра службы\драйвера "bsdriver"[/QUOTE]

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
04.03.2016, 12:25
Владимир Ляликов

Вложений: 1

Сделал
04.03.2016, 13:40
SQ

[URL="http://virusinfo.info/showthread.php?t=121769"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
BREG
deldir %SystemDrive%\PROGRAMDATA\MWVCNSVEX
delref %SystemDrive%\PROGRAMDATA\YIESUJOPR\TANTDO0.BAT
deldir %SystemDrive%\PROGRAMDATA\YIESUJOPR
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\爱应用PC版\卸载爱应用PC版.LNK
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\爱应用PC版\卸载爱应用PC版.LNK
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\爱应用PC版\卸载爱应用PC版.LNK
deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\爱应用PC版
deldir %SystemDrive%\PROGRAM FILES (X86)\爱应用PC版
deldir %SystemDrive%\PROGRAM FILES\GROOVER290220161818
unload %Sys32%\DRIVERS\BSDRIVER.SYS
zoo %Sys32%\DRIVERS\BSDRIVER.SYS
delref %Sys32%\DRIVERS\BSDRIVER.SYS
del %Sys32%\DRIVERS\BSDRIVER.SYS
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A43D5AF29BD8003A6C3573E559D492B80849FC2A149FA1D8FE872956AB02C2D77A42FC7062273 64 not-a-virus:NetTool.Win64.NetFilter.o
restart[/CODE]

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
04.03.2016, 14:34
Владимир Ляликов

Вложений: 1

Сделал
04.03.2016, 15:15
SQ

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
04.03.2016, 15:30
Владимир Ляликов

Вложений: 1

Удалил, но реклама все равно есть
04.03.2016, 15:43
SQ

- Сделайте лог [URL=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/URL] и приложите его в теме.

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
04.03.2016, 15:55
Владимир Ляликов

Вложений: 2

Вот два. Третий не загрузился из-за размера
04.03.2016, 16:08
SQ

Заархивируйте в zip FRST.txt и приложите.
P.S. Удалите старые вложения Мой кабинет => Вложения
04.03.2016, 16:14
Владимир Ляликов

Вложений: 1

Все, получилось
04.03.2016, 16:22
SQ

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Folder: C:\WINDOWS\system32\oze
2016-02-29 22:16 - 2016-02-29 22:16 - 00000000 ____D C:\Users\Все пользователи\xfjaLbG
2016-02-29 22:16 - 2016-02-29 22:16 - 00000000 ____D C:\Users\USER\AppData\Roaming\gplyra
2016-02-29 22:16 - 2016-02-29 22:16 - 00000000 ____D C:\uninst
2016-02-29 22:16 - 2016-02-29 22:16 - 00000000 ____D C:\ProgramData\xfjaLbG
2016-02-29 21:17 - 2016-02-29 21:17 - 00000000 ____D C:\ProgramData\ProductData
2016-02-29 21:17 - 2016-02-29 21:17 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-02-29 21:16 - 2016-03-01 14:37 - 00000000 ____D C:\Users\USER\AppData\Local\Hostinstaller
2016-02-29 21:15 - 2016-02-29 21:17 - 00000000 ____D C:\Users\USER\AppData\Roaming\TextEditor
2016-02-29 21:14 - 2016-03-01 14:40 - 00000000 ____D C:\Users\USER\AppData\Local\SaveYouTime
2016-02-29 21:13 - 2016-03-01 14:03 - 00000000 ____D C:\Program Files\ContentProtector
2016-02-29 21:13 - 2016-02-16 20:13 - 00058200 _____ C:\WINDOWS\system32\Drivers\ContentProtectorDrv.sys
2016-02-29 21:12 - 2016-02-29 21:17 - 00000000 ____D C:\Users\USER\AppData\LocalLow\Unity
2016-02-29 21:12 - 2016-02-29 21:17 - 00000000 ____D C:\Users\USER\AppData\Local\Unity
2016-02-29 21:12 - 2016-02-29 21:13 - 00000000 ____D C:\Users\USER\AppData\Roaming\MailProducts
Folder: C:\Users\USER\AppData\Local\osu!
2015-11-13 23:21 - 2015-11-13 23:21 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
Task: {001DC46C-8A5A-4983-99F1-5403D4D76CA0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {06F90D47-8513-43AD-ABD0-627D55CB4087} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {19ED5BCA-1525-4A63-8C53-8C3E74F8CEA8} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {2275CB1C-2EA2-4A2A-B7F6-166C3D363822} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {2B7A732C-93C5-4F34-9628-924E73F1A780} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {3D84F37F-E331-41C9-AF44-6BCB1D1D362C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {5C59AB0D-1AD2-4930-B600-CFD1F7B721C7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {8266C324-F235-445B-AEA4-50867A51A3C0} - \Cuncu -> No File <==== ATTENTION
Task: {8977108A-7A43-4789-A400-2CD91A980A86} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {9E20B7E5-F1FD-479C-91CF-616DE9FFCA30} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {C53EF79B-DA2C-4A7A-878A-60BE6434CF1E} - \{7358FF0A-9577-455D-A7DC-B36648229E28} -> No File <==== ATTENTION
Task: {D7259666-3B2B-44AC-A324-59D31E399835} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {F598679F-5F37-4652-A073-5F2BBDE3A70E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Shortcut: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\ProgramData\MwvCNsVEX\FnTvNbjZRS5.bat (No File)
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\cpuminer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\Sound+]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\SpaceSoundPro]
SearchScopes: HKU\S-1-5-21-387925801-3787463459-801703382-1001 -> {A1F01C4C-C21C-4711-BDB4-DB7655B8B762} URL =
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
04.03.2016, 16:42
Владимир Ляликов

Вложений: 1

Спасибо огромное! Проблема решена, вот лог.
04.03.2016, 16:59
SQ

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
C:\WINDOWS\system32\oze
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Приложите новый лог AVZ.
04.03.2016, 17:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]0[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]