Самопроизвольное открытие рекламных страниц в Google chrome [Trojan.Win32.StartServ.gw ]

**RokeAlvo** · 08.04.2017, 14:48

В других браузерах пока не наблюдалось

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.04.2017, 14:50

Уважаемый(ая) RokeAlvo, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 09.04.2017, 01:20

Здравствуйте,

Знакома ли Вам?

Код:

C:\Program Files (x86)\Anvsoft\AnvsoftGhosteryStorageServer.exe

HiJackThis профиксить

Код:

O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O1 - Hosts: 127.0.0.1 union.baidu2019.com
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [Zaxar] C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (file missing)
O4-32 - HKLM\..\Run: [adBanner] C:\Program Files (x86)\adBanner\Banner.exe -domain hduprockingbeats.ru -campaign 19299 -exec_id 68795499_45956 (file missing)
O22 - Task (Ready): jurnal-lifenetitechm - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe jurnal-life.net/itechm

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Windows\system32\themctrl.dll','');
 QuarantineFile('c:\windows\system32\printdisp.exe','');
 QuarantineFile('C:\Program Files (x86)\adBanner\Banner.exe','');
 QuarantineFile('C:\Program Files (x86)\Samsung\IceniSamsung.exe','');
 QuarantineFile('C:\Program Files (x86)\Yandex\GoogleYandex.exe','');
 QuarantineFile('D:\mult\FalloutvDecepticonRePackmult.exe','');
 QuarantineFile('D:\facae36d763b3c92f34695\FalloutvDecepticonRePackfacaedbcf.exe','');
 QuarantineFile('C:\Program Files (x86)\Anvsoft\AnvsoftGhosteryStorageServer.exe','');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
 ExecuteFile('schtasks.exe', '/delete /TN "jurnal-lifenetitechm" /F', 0, 15000, true); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**RokeAlvo** · 09.04.2017, 09:20

[QUOTE=SQ;1444388]Здравствуйте,

Знакома ли Вам?

Код:

C:\Program Files (x86)\Anvsoft\AnvsoftGhosteryStorageServer.exe

HiJackThis профиксить

Код:

O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O1 - Hosts: 127.0.0.1 union.baidu2019.com
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [Zaxar] C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (file missing)
O4-32 - HKLM\..\Run: [adBanner] C:\Program Files (x86)\adBanner\Banner.exe -domain hduprockingbeats.ru -campaign 19299 -exec_id 68795499_45956 (file missing)
O22 - Task (Ready): jurnal-lifenetitechm - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe jurnal-life.net/itechm

1. не знакомо
2. Там есть не все строки: https://yadi.sk/i/2e9jBajf3GnUHC

SQ · 10.04.2017, 02:13

Сообщение от RokeAlvo

2. Там есть не все строки: https://yadi.sk/i/2e9jBajf3GnUHC

Пожалуйста используете HiJackThis из каталога автологгера.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**RokeAlvo** · 10.04.2017, 06:55

сделал

- - - - -Добавлено - - - - -

вот отчет adw
маил.ру снова появилось

SQ · 10.04.2017, 15:02

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**RokeAlvo** · 11.04.2017, 14:51

Вроде проблема решена.... маил.ру появилось изза установки игры warface от mail.ru

SQ · 12.04.2017, 11:44

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR DefaultSearchURL: Profile 1 -> hxxp://www.istartsurf.com/web/?type=ds&ts=1442850843&z=4642fd74d7d836e02791da8g6z2z9o2bcw9eeqbq2t&from=face&uid=ST31000524AS_6VPG94R8XXXX6VPG94R8&q={searchTerms}
CHR DefaultSearchKeyword: Profile 1 -> istartsurf
CHR Extension: (The Safe Surfing) - C:\Users\All\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-10-12]
CHR Extension: (SearchWay) - C:\Users\All\AppData\Local\Google\Chrome\User Data\Default\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-03-30]
CHR Extension: (Tampermonkey) - C:\Users\All\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-03-30]
CHR Extension: (SearchWay) - C:\Users\All\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-03-30]
CHR Extension: (Tampermonkey) - C:\Users\All\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-03-30]
OPR Extension: (SearchWay) - C:\Users\All\AppData\Roaming\Opera Software\Opera Stable\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-03-30]
OPR Extension: (Tampermonkey) - C:\Users\All\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-04-02]
OPR Extension: (The Safe Surfing) - C:\Users\All\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-10-13]
2017-04-08 23:14 - 2017-04-08 23:14 - 00004941 _____ C:\Users\Все пользователи\czchsjpj.srw
2017-04-08 23:14 - 2017-04-08 23:14 - 00004941 _____ C:\ProgramData\czchsjpj.srw
2017-02-24 16:47 - 2017-02-24 16:47 - 0012546 _____ () C:\ProgramData\afcdjwcw.all
2017-04-08 23:14 - 2017-04-08 23:14 - 0004941 _____ () C:\ProgramData\czchsjpj.srw
2017-03-29 19:32 - 2017-03-29 19:32 - 0004143 _____ () C:\ProgramData\kmytnfun.aqy
2017-01-17 23:46 - 2017-01-17 23:46 - 0000016 _____ () C:\ProgramData\mntemp
Task: {54FC83D0-5E88-4803-B75A-511C366DF3E7} - \Microsoft\Windows\Autochk\WinKernel -> No File <==== ATTENTION
Task: {79F13F31-F491-4ADF-8ACF-0F7852918064} - \Muvotionatfesy Log -> No File <==== ATTENTION
Task: {97DF1BF2-7667-4FFF-A8CC-B3C51900046F} - \Microsoft\Windows\Multimedia\ReportSender -> No File <==== ATTENTION
Task: {A3722044-94CE-4C79-9384-C282DAAE4C14} - \PBot -> No File <==== ATTENTION
Task: {F50CD891-430F-4BC5-AD98-653D1CEDCA20} - \Bsiwardgogition Provider -> No File <==== ATTENTION
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**RokeAlvo** · 13.04.2017, 05:14

то ли еще раз словил что-то, то ли то же самое, только теперь в яндексБраузере...

- - - - -Добавлено - - - - -

да точно. в ЯндексБраузере страницы подменяются флешевой копией, при клике в любом месте открывается рекламная страница и показывается страница оригинал...

SQ · 14.04.2017, 09:34

Пробуйте в яндекс-браузере отключить все расширения и понаблюдать если проблема проявляется?

**RokeAlvo** · 14.04.2017, 20:08

отключил. пока открытия рекламных страниц в Яндексе не замечено. в Хроме снова открываются допстраницы и есть дополнительная реклама внутри страниц: https://yadi.sk/i/cOH43vJ93GykqG

SQ · 15.04.2017, 18:03

Отключите все расширения в Chrome и понаблюдайте.

**CyberHelper** · 15.04.2017, 18:13

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\themctrl.dll - Trojan.Win32.StartServ.gw

Самопроизвольное открытие рекламных страниц в Google chrome [Trojan.Win32.StartServ.gw ] (заявка № 210999)

Опции темы