Вирус-рекламщик самопроизвольно открывает окно барузера, где перенаправляет на рекламу

**Mustaaurinko** · 11.11.2016, 21:25

Приветствую! Проблема появилась после того, как пытался найти алкоголь для создания образа игры. Скачал архив с кряком, перед на распаковку требовался код, был в тексте файлом, вел и распаковал =>нажал установка=>требует номер телефона, сразу смекнул что к чему и отменил все. Пришлось скачивать оф.версию. В итоге после перезагрузки компа на следующий день гугл хром стал сам открывать окно: "http://intenetloading.xyz/pine", затем перенаправляя на сайт рекламы. Папка с вирусом естественно не удаляется, не дает прав. Удалять Unlocker'ом не хотелось бы. вдруг не сломает его.
Система 64-х разрядная, поэтому отправка 2-х фалов, как в инструкции описано.
С уважением, Денис.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.11.2016, 21:26

Уважаемый(ая) Mustaaurinko, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 12.11.2016, 22:03

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Users\Артем\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\Артем\AppData\Local\Adobe\PPAPI\2A017C75-323F-46B0-8C5D-DDAA819AABCC\6E4043ED-D919-4942-ADE6-0261628ACBFF.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\9E282F84-A36A-4928-8D5B-47BAE5DB6A69.exe','');
 DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\9E282F84-A36A-4928-8D5B-47BAE5DB6A69.exe','32');
 DeleteFile('C:\Users\Артем\AppData\Local\Adobe\PPAPI\2A017C75-323F-46B0-8C5D-DDAA819AABCC\6E4043ED-D919-4942-ADE6-0261628ACBFF.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2A017C75-323F-46B0-8C5D-DDAA819AABCC');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 DeleteFile('C:\Windows\Tasks\Recovery Tool for Video Saver.job','32');
 DeleteFile('C:\Windows\Tasks\Recovery Tool for Video Saver2.job','32');
 DeleteFile('C:\Users\Артем\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\InternetD','64');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\9E282F84-A36A-4928-8D5B-47BAE5DB6A69','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\2A017C75-323F-46B0-8C5D-DDAA819AABCC','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\Recovery Tool for Video Saver','64');
 DeleteFile('C:\Windows\system32\Tasks\Recovery Tool for Video Saver2','64');
 DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

**Mustaaurinko** · 13.11.2016, 09:46

Вот новые логи.

А по поводу zip-файла карантина, то я делаю все как по инструкции - пишет, что "ошибка при загрузке, файл был уже загружен"

**thyrex** · 13.11.2016, 13:05

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**Mustaaurinko** · 13.11.2016, 22:09

Кстати, в логе "FRST" в процессах"белый список" есть процесс - "ViakaraokeSrv.exe" тоже не могу его убрать( уже в службах его отключил, все-равно в диспетчер задач висит в процессах. Описание в диспетчер задач: - "Service binary" Что это вообще?!

- - - - -Добавлено - - - - -

Извиняйте. Поторопился и прикрепил не архивированные логи. Исправил положение:

**thyrex** · 18.11.2016, 20:20

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
AppInit_DLLs-x32: ĸ => No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1148480526-3109734746-2427353597-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1433613543&z=b574e3e5948422f1c68f340g2z4c1c2q2g2c6wczcw&from=cor&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2EX26790167901&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1433613543&z=b574e3e5948422f1c68f340g2z4c1c2q2g2c6wczcw&from=cor&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2EX26790167901&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1433613543&z=b574e3e5948422f1c68f340g2z4c1c2q2g2c6wczcw&from=cor&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2EX26790167901&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1433613543&z=b574e3e5948422f1c68f340g2z4c1c2q2g2c6wczcw&from=cor&uid=WDCXWD2500AAKX-00ERMA0_WD-WCC2EX26790167901&q={searchTerms}
BHO: Video Saver -> {631F9C5D-6307-4E32-BC0D-B1C3A0C064F3} -> No File
BHO-x32: Video Saver -> {631F9C5D-6307-4E32-BC0D-B1C3A0C064F3} -> No File
CHR Extension: (NewsHub) - C:\Users\Артем\AppData\Local\Google\Chrome\User Data\Default\Extensions\jnoejnlbkbnckikbkmnpippafneemknp [2015-06-27] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION
CHR Extension: (Google Кошелек) - C:\Users\Артем\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-05-18] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION
CHR Extension: (Chrome Media Router) - C:\Users\Артем\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-26]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (SearchWay) - C:\Users\Артем\AppData\Roaming\Opera Software\Opera Stable\Extensions\achhckalphdlhbnohjonneffefbmaddi [2016-11-11]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Артем\AppData\Roaming\Opera Software\Opera Stable\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-06-07]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Артем\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-07-28]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Артем\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-06-16]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Артем\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-07-01]
OPR Extension: (Smart Browser) - C:\Users\Артем\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcahibnffhnnjcedflmchmokndkjnhpg [2015-08-03]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Артем\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-07-19]
2016-11-11 00:18 - 2016-11-11 00:18 - 00000000 ____D C:\Users\Артем\AppData\Local\ZaxarGameBrowser
2016-11-11 00:15 - 2016-11-11 00:15 - 00000844 _____ C:\Users\Артем\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser.lnk
2016-11-11 00:14 - 2016-11-11 00:14 - 00000000 ____D C:\Program Files (x86)\Ghostery Storage Server
C:\Users\Артем\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
Task: {10B3835F-774D-44FE-919E-EA4E56F72C79} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {1289DB4A-B860-4A47-A61A-8DBF26676F2A} - \InternetD -> No File <==== ATTENTION
Task: {1E0AC02A-72D4-4D09-9F2A-8E8951AF33A2} - \SafeBrowser -> No File <==== ATTENTION
Task: {566E6553-D16E-46BE-9752-02CEEDA8F4D4} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {7FA47AAE-1FAA-4F0F-B823-4CAA974B89DC} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {9F0DBAE8-FCD1-45AB-A8FF-E8106AFE18A7} - \Microsoft\Windows\2A017C75-323F-46B0-8C5D-DDAA819AABCC -> No File <==== ATTENTION
Task: {CA57AD04-ECBB-4B91-9940-2C7B63BFBEA5} - \extsetup -> No File <==== ATTENTION
Task: {DF2E2186-15E6-491A-BB00-597167EF62B4} - \Microsoft\Windows\9E282F84-A36A-4928-8D5B-47BAE5DB6A69 -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

Вирус-рекламщик самопроизвольно открывает окно барузера, где перенаправляет на рекламу (заявка № 205792)

Опции темы