выскакивает казино вулкан

**HalD2n** · 18.03.2017, 22:09

Добрый вечер, выскакивает казино вулкан, танки. Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.03.2017, 22:10

Уважаемый(ая) HalD2n, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 19.03.2017, 13:52

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Windows\system32\themctrl.dll', '');
 QuarantineFile('C:\Windows\system32\wbiosrvp.dll', '');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Windows\system32\wbiosrvp.dll');
 DeleteFile('C:\Windows\system32\themctrl.dll');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 DelBHO('{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}');
 DelBHO('{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}');
 DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zaxar');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O2-32 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKCU\..\Run: [Zaxar] C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (file missing)
O9 - Extra button: Skype Click to Call settings - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll (file missing) (HKLM)
O9-32 - Extra button: Skype Click to Call settings - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing) (HKLM)
O17 - HKLM\System\CSS\Services\Tcpip\..\{5D10D1DD-1B41-41F2-AC16-51025D327571}: NameServer = 98.158.96.96
O17 - HKLM\System\CSS\Services\Tcpip\..\{7FEBBCBC-2883-411F-8C0E-968F80609E36}: NameServer = 98.158.96.96
O17 - HKLM\System\CSS\Services\Tcpip\..\{88AF6522-2DEC-475E-A8A7-B3976A2B1BDB}: NameServer = 98.158.96.96
O17 - HKLM\System\CSS\Services\Tcpip\..\{9A52DC3C-D6C9-446D-AC33-50DCE30025C6}: NameServer = 98.158.96.96
O17 - HKLM\System\CSS\Services\Tcpip\..\{ADC42386-F5CC-43FA-B706-A7EF0BD010FD}: NameServer = 98.158.96.96
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{5D10D1DD-1B41-41F2-AC16-51025D327571}: NameServer = 98.158.96.96
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{7FEBBCBC-2883-411F-8C0E-968F80609E36}: NameServer = 98.158.96.96
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{88AF6522-2DEC-475E-A8A7-B3976A2B1BDB}: NameServer = 98.158.96.96
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9A52DC3C-D6C9-446D-AC33-50DCE30025C6}: NameServer = 98.158.96.96
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ADC42386-F5CC-43FA-B706-A7EF0BD010FD}: NameServer = 98.158.96.96
O22 - Task (Ready): ASUS USB Charger Plus - C:\Program Files (x86)\ASUS\USBChargerPlus\USBChargerPlus.exe (file missing)
O22 - Task (Ready): Opera scheduled Autoupdate 1419097137 - C:\Program Files (x86)\Opera\launcher.exe --scheduledautoupdate (file missing)
O22 - Task (Ready): Opera scheduled Autoupdate 1439311485 - C:\Program Files (x86)\Opera\launcher.exe --scheduledautoupdate (file missing)
O22 - Task (Ready): \Apple\AppleSoftwareUpdate - C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe -task (file missing)

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger.

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

**Dragokas** · 19.03.2017, 17:06

1. Скопируйте папку на рабочий стол:

C:\Windows\system32\tasks\

Заархивируйте и прикрепите к сообщению.

2. Нажмите Win + R, введите regedit
нажмите ОК, перейдите к этой ветке:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule

нажмите по ней правой кнопкой мыши -> экспортировать.
Сохраните на рабочий стол, заархивируйте и тоже прикрепите к сообщению.

**HalD2n** · 21.03.2017, 23:28

делал по инструкции, вкладки все еще выскакивают(

https://virusinfo.info/virusdetector...C166CCA4FE0C65

**HalD2n** · 23.03.2017, 10:58

посмотрите логи, пожалуйста

**regist** · 23.03.2017, 12:05

Код:

Unity Web Player [2016/08/09 21:27:22]-->C:\Users\N56\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Uplay [2016/11/20 16:27:15]-->C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe

Если сами не ставили, то деинсталируйте.

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

**HalD2n** · 24.03.2017, 23:41

сделал

**regist** · 25.03.2017, 11:11

Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Tools ->Options (Инструменты ->Настройки) отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

**HalD2n** · 25.03.2017, 13:36

готово, почитал сам отчет, барахла удалено прилично)

но выскакивает всё равно(

**regist** · 25.03.2017, 16:23

Проблема решена?

**HalD2n** · 25.03.2017, 21:27

к сожалению, нет(

**regist** · 25.03.2017, 22:20

Тогда опишите подробней, какие проблемы остались.

**HalD2n** · 25.03.2017, 23:52

продолжает выскакивать мусор в браузере.

**regist** · 26.03.2017, 10:50

Сообщение от regist

опишите подробней

ключевое слово выделил.

**HalD2n** · 26.03.2017, 13:07

для чистоты эксперимента перезагрузил компьютер, запустил хром, работал ютуб, единственная вкладка в браузере, через 15-20 минут выскочила реклама вулкана в новой вкладке

и еще. весьма подозрительно, что в диспетчере задач при одной открытой вкладке висит аж 6 штук процессов chrome.exe

сделал новые логи автологгером. в файле log.txt из архива, в списке процессов, как раз подобное количество процессов хрома с очень длинными дополнительны ключами

**regist** · 26.03.2017, 14:25

Сообщение от HalD2n

и еще. весьма подозрительно, что в диспетчере задач при одной открытой вкладке висит аж 6 штук процессов chrome.exe

Для Хрома и остальных хромых браузеров это нормально.

Отключите все расширения в браузере и проверяйте проблему.

**HalD2n** · 27.03.2017, 20:39

из расширений только adblock и frigate, отключение не помогло, с интервалом 10-15 минут открывается новая вкладка с рекламным мусором в браузере.

**regist** · 27.03.2017, 22:17

скачайте отсюда Оперу и проверьте проблему в ней.

**HalD2n** · 27.03.2017, 22:45

оперу по ссылке скачал, оставил открытой на полчаса, в ней ничего не выскочило, в хроме всё равно лезет гадость

выскакивает казино вулкан (заявка № 210359)

Опции темы