Вирус. Браузер

Printable View

07.12.2017, 16:59
laudaxx

Вложений: 1

Вирус. Браузер

Доброго времени суток! В очередной раз компьютер заражен, после неосторожного обращения со скачанным exe-шным файлом с ФО. Рабочий браузер(Google Chrome) тормозит, открываются новые окна и лезут баннеры рекламные. Пожалуйста, помогите в лечении. Файлы необходимые прилагаю. С уважением, пострадавший.
07.12.2017, 17:01
Info_bot

Уважаемый(ая) [B]laudaxx[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.12.2017, 13:45
Vvvyg

Отключите временно антивирус.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\sancho\appdata\local\yc\application\yc.exe');
TerminateProcessByName('c:\users\sancho\appdata\roaming\microsoft\searchindexer.exe');
QuarantineFile('c:\users\sancho\appdata\local\yc\application\yc.exe', '');
QuarantineFile('c:\users\sancho\appdata\roaming\microsoft\searchindexer.exe', '');
QuarantineFile('C:\Windows\microsoft\svchost.exe', '');
QuarantineFile('C:\Windows\microsoft\svchost.exe.exe', '');
QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
QuarantineFile('C:\Windows\system32\winhost.exe', '');
QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
DeleteFile('C:\Program Files\Mail.Ru\Sputnik\mailrusputnik.exe', '32');
DeleteFile('C:\Users\sancho\AppData\Local\yc\Application\62.0.3202.62\chrome.dll', '32');
DeleteFile('C:\Users\sancho\AppData\Local\yc\Application\62.0.3202.62\chrome_child.dll', '32');
DeleteFile('C:\Users\sancho\AppData\Local\yc\Application\62.0.3202.62\chrome_elf.dll', '32');
DeleteFile('C:\Users\sancho\AppData\Local\yc\Application\62.0.3202.62\libegl.dll', '32');
DeleteFile('C:\Users\sancho\AppData\Local\yc\Application\62.0.3202.62\libglesv2.dll', '32');
DeleteFile('c:\users\sancho\appdata\local\yc\application\yc.exe', '32');
DeleteFile('C:\Users\sancho\AppData\Roaming\Mail.Ru\Agent\magent.exe', '32');
DeleteFile('c:\users\sancho\appdata\roaming\microsoft\searchindexer.exe', '32');
DeleteFile('C:\Windows\microsoft\svchost.exe', '32');
DeleteFile('C:\Windows\microsoft\svchost.exe.exe', '32');
DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
DeleteFile('C:\Windows\system32\winhost.exe', '32');
DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
DeleteFile('Manager.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "{6C3D256A-531D-4C37-BDC5-61DC82D5C5EF}" /F', 0, 15000, true);
DeleteService('mssecsvc2.0');
DeleteFileMask('c:\program files\mail.ru', '*', true);
DeleteFileMask('c:\users\sancho\appdata\local\yc', '*', true);
DeleteFileMask('c:\users\sancho\appdata\roaming\mail.ru', '*', true);
DeleteDirectory('c:\program files\mail.ru');
DeleteDirectory('c:\users\sancho\appdata\local\yc');
DeleteDirectory('c:\users\sancho\appdata\roaming\mail.ru');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Clarus Drive Manager', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eksbrvdwce', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MAgent', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Search Indexer', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wfhroitylx', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ycAutoLaunch_A6AACB2E101C1F98CA9BA78B7A21BB0E', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите [URL="http://www.java.com/ru/download/"]Java 8 Update 151[/URL].
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.

Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
09.12.2017, 15:43
laudaxx

Вложений: 2

Вчера я делал это и сейчас при загрузке quarantine.zip система выдала: "Результат загрузки
Ошибка загрузки. Данный файл уже был загружен".... При удалении одной из Jav - ошибка 1723 Что делать дальше?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

C:\AdwCleaner\AdwCleaner[S7].txt
09.12.2017, 21:06
Vvvyg

Попробуйте загрузить карантин снова, он теперь должен быть не пустой. Там свежие зловреды. нужны на анализ.

Удалите Java 6 утилитой [URL="https://singularlabs.com/software/javara/javara-download/"]JavaRa Stable version 2.6.1[/URL].

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
10.12.2017, 15:29
laudaxx

Вложений: 2

Отчёты

Отчёты
10.12.2017, 21:07
Vvvyg

Карантин так и не удалось загрузить?

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKU\S-1-5-21-3974331004-1504228598-2743864104-1000\...\MountPoints2: {84c10784-ad92-11e6-bed4-d43d7e9329d7} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\Start.exe
Toolbar: HKU\S-1-5-21-3974331004-1504228598-2743864104-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab
CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxps://glopart.ru/app/profile/withdrawal","hxxps://www.google.ru/search?num=100&newwindow=1&ei=C_IPWoyBIoee6ATjurHgCg&q=vsl+templates+plus+%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C+%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D0%BE&oq=VSL+TEMPLATES+PLUS+crfxfnm&gs_l=psy-ab.1.0.33i160k1.15528.18032.0.20828.8.8.0.0.0.0.102.728.6j2.8.0....0...1.1.64.psy-ab..0.7.628...33i22i29i30k1j33i21k1.0.jHdYusVHcCI","hxxp://graphicsling.com/vsltemplatespro/dl-vtp-190817/","hxxp://intrsection.com/tag/vsl-plus-pro-download/","hxxps://flashreviewz.com/vsl-plus-pro-review/","hxxps://www.udemy.com/cart/checkout/express/course/630050/?couponCode=17HOLIDAY10","hxxp://telegra.ph/Sozdaem-svoj-pribylnyj-avtoblog-10-06-2","hxxp://openssource.biz/","hxxps://mail.yandex.ru/?uid=68485016&login=ale-kechaev#inbox","hxxp://telegra.ph/Sozdaem-svoj-pribylnyj-avtoblog-11-10","hxxps://www.google.ru/search?num=100&newwindow=1&source=hp&ei=hfAPWrjBOsKY6ATg-7fQDQ&q=clickbank+success+affiliate+marketing+with+free+download&oq=ClickBank+Success%3A+Affiliate+Marketing+With+Free+&gs_l=psy-ab.1.0.33i160k1.1871.1871.0.3782.3.2.0.0.0.0.149.149.0j1.2.0....0...1.2.64.psy-ab..1.2.333.6..35i39k1.184.h_cJoJnaJI0","hxxp://vbogatstve.com/zarabotok-na-igrax-cherez-youtube/","hxxps://www.jvzoo.com/products/topsellers","hxxp://goodmotion.co/discount/","hxxp://mail.ru/cnt/10445?gp=855144"
OPR StartupUrls: "hxxp:\/\/granena.ru\/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=429A844D491D28D7258622821131E4B5&utm_d=20160915","hxxps:\/\/www.yandex.ru\/?win=307&clid=2255755-392"
OPR Extension: (Quick Searcher) - C:\Users\sancho\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecnphlgnajanjnkcmbpancdjoidceilk [2017-12-05]
OPR Extension: (Блокировщик рекламы в социальных сетях) - C:\Users\sancho\AppData\Roaming\Opera Software\Opera Stable\Extensions\kbmbmoljonchdkbjgkioneippcfpnpmp [2016-10-17]
OPR Extension: (Teddy Protection Lite) - C:\Users\sancho\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-04-29]
S4 ihctrl32; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 wsaudio; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 4F95F27BB65F55EA; \??\C:\Users\sancho\AppData\Local\Temp\1F7AD694FE.sys [X]
S3 4F95F2EA2006B6F6; \??\C:\Users\sancho\AppData\Local\Temp\2FF0C749.sys [X]
S2 BstHdDrv; \??\C:\Program Files\BlueStacks\HD-Hypervisor-x86.sys [X]
S3 cpuz138; \??\C:\Users\sancho\AppData\Local\Temp\cpuz138\cpuz138_x32.sys [X]
S3 MSICDSetup; \??\E:\CDriver.sys [X]
U4 noexist360AntiHacker; no ImagePath
S3 NTIOLib_1_0_C; \??\E:\NTIOLib.sys [X]
S3 RimUsb; System32\Drivers\RimUsb.sys [X]
U2 TMAgent; no ImagePath
2017-12-09 15:17 - 2017-12-09 15:17 - 000000000 _____ C:\Windows\system32\REN7936.tmp
2017-12-09 15:17 - 2017-12-09 15:17 - 000000000 _____ C:\Windows\system32\REN7935.tmp
2017-12-09 15:17 - 2017-12-09 15:17 - 000000000 _____ C:\Windows\system32\REN7934.tmp
2017-12-06 21:54 - 2017-12-07 00:31 - 000174653 ____C C:\Users\sancho\AppData\Roaming\f.txt
2017-12-06 21:13 - 2017-12-06 21:13 - 000000000 __HDC C:\ProgramData\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8}
2017-12-06 21:11 - 2017-12-07 13:59 - 000000000 ___DC C:\Users\sancho\AppData\Roaming\1337
2017-12-06 21:11 - 2017-12-06 21:11 - 000000000 __HDC C:\ProgramData\{4FCEED6C-B7D9-405B-A844-C3DBF418BF87}
2017-12-06 19:45 - 2017-12-07 12:01 - 000000000 ___DC C:\Users\sancho\AppData\Roaming\curl
2017-12-03 15:20 - 2017-12-03 15:20 - 000000000 ___DC C:\Users\sancho\AppData\Local\{C1C46F64-CDA0-44F3-B198-D652F918E413}
2017-11-22 17:51 - 2017-11-22 17:51 - 000000000 ___DC C:\Users\sancho\AppData\Local\{0F376500-DFBE-47DE-A1F0-B86761A82BF2}
2017-04-23 16:35 - 2017-04-23 16:35 - 007680000 ____C () C:\Program Files\GUT7D60.tmp
2017-04-23 16:29 - 2017-04-23 16:35 - 007680000 ____C () C:\Program Files\GUT9295.tmp
2017-04-23 16:35 - 2017-04-23 16:35 - 007680000 ____C () C:\Program Files\GUTACAA.tmp
Virustotal: C:\Users\sancho\AppData\Roaming\inst.exe
2013-05-31 18:36 - 2015-03-04 14:26 - 000087608 ____C () C:\Users\sancho\AppData\Roaming\inst.exe
2017-12-10 14:05 - 2017-12-10 14:06 - 012052552 ____C (VS Revo Group ) C:\Users\sancho\AppData\Local\Temp\VSUSetup.exe
CustomCLSID: HKU\S-1-5-21-3974331004-1504228598-2743864104-1000_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath
ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Users\sancho\AppData\Roaming\Mail.Ru\Agent\Mra\dll\mramenu.dll -> No File
Task: {28FA7394-2FC2-4721-8686-28582D1EA294} - System32\Tasks\{122997EE-07F3-495C-86CA-E1EBD97BB5A0} => C:\Program Files\Google\Chrome\Application\chrome.exe
Task: {65084C18-F48D-47DD-B076-BD740FFC217D} - System32\Tasks\{6F446404-D199-4383-9759-9E94858694DB} => C:\Program Files\Google\Chrome\Application\chrome.exe
Task: {698AB6CE-793C-4EC1-9877-2ACCF88E9CEA} - System32\Tasks\{BEC8E672-AC01-4BA0-ADE0-283FCD1D7409} => C:\Program Files\Google\Chrome\Application\chrome.exe
Task: {D35CC5D0-5D22-48C6-A07C-C6FE49991ED6} - System32\Tasks\{98385227-9D86-4BDF-8D87-5CD7CC342ECD} => "c:\users\sancho\appdata\local\xpom\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.5.66.158/ru/go/help.faq.installer?LastError=1603
Task: {D917BCBF-A04F-4CE1-A485-DACD1369422D} - System32\Tasks\{48EF6E12-9C7B-49E3-81C4-CDF16A5C08A4} => C:\Program Files\Google\Chrome\Application\chrome.exe
Shortcut: C:\Users\sancho\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e2c33d2a110b3a02\Yandex.lnk -> C:\ProgramData\iCrVIvnK\HpNQKFKQNMEnzc1.bat (No File)
C:\Users\sancho\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKU\S-1-5-21-3974331004-1504228598-2743864104-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
MSCONFIG\startupfolder: C:^Users^sancho^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Schedule.lnk => C:\Windows\pss\Schedule.lnk.Startup
MSCONFIG\startupfolder: C:^Users^sancho^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^爱奇艺PPS影音.lnk => C:\Windows\pss\爱奇艺PPS影音.lnk.Startup
MSCONFIG\startupreg: 11-20150313-154741 =>
MSCONFIG\startupreg: eksbrvdwce =>
MSCONFIG\startupreg: GoogleChromeAutoLaunch_A2424D8172B66DD35E44C9F70782D8BD => "C:\Program Files\Google\Chrome\Application\chrome.exe" --no-startup-window /prefetch:5
MSCONFIG\startupreg: MAgent =>
MSCONFIG\startupreg: Malwarebytes TrayApp => C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\mbamtray.exe
MSCONFIG\startupreg: MyDesktop =>
MSCONFIG\startupreg: newSI_2 =>
MSCONFIG\startupreg: pluginupdate =>
MSCONFIG\startupreg: SearchIndexer => "C:\Users\sancho\AppData\Roaming\SearchIndexer\desktopsearchservice.exe"
MSCONFIG\startupreg: Skymonk2 =>
MSCONFIG\startupreg: wfhroitylx =>
MSCONFIG\startupreg: ycAutoLaunch_A6AACB2E101C1F98CA9BA78B7A21BB0E =>
MSCONFIG\startupreg: Zaxar Games Browser =>
FirewallRules: [{9AB515BF-D2FB-4381-9D16-9FAE57B00CEE}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{B3E70FCD-756E-489D-8B42-5FF07E70FBA7}] => (Allow) C:\Program Files\UBar\ubar.exe
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемой.
10.12.2017, 21:52
laudaxx

Вложений: 2

Fixlog.txt

[B]Fixlog.txt[/B]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

К[URL="http://virusinfo.info/showthread.php?t=128635"]эш и cookies-файлы браузеров[/URL] почистил. Картина не поменялась, лезет реклама [url]https://prnt.sc/hlnhhu[/url] на ютубе либо просто на любой стр. [url]https://prnt.sc/hlni7g[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[url]https://prnt.sc/hlnm0l[/url]
10.12.2017, 22:47
Vvvyg

В Хроме множество расширений по логам, отключите все, если пропадёт реклама - подключайте по одному, проверяйте эффект.
Сообщите результат.
11.12.2017, 09:19
laudaxx

Вложений: 1

расширения по логам

У меня включены были только friGate CDN и Image Downloader. Выключаю Image Downloader - пропадает реклама, включаю - появляется. Совершенно точно. Единственное напрягло - при отключенных приложениях на яндексе вылез баннер посреди страницы [url]https://prnt.sc/hltya7[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Вот опять на яндексе вылез. Все приложения отключены[ATTACH=CONFIG]667667[/ATTACH]
11.12.2017, 19:29
Vvvyg

Если после отключения расширений куки/кэш почистить?
11.12.2017, 22:43
laudaxx

Всё вроде, почистил, в течении дня никакой гадости больше не наблюдалось.
12.12.2017, 06:53
Vvvyg

Запустите AdwCleaner и нажмите [B]Файл (File) -> Деинсталлировать (Uninstall)[/B].

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].