Рекламные баннеры на любых сайтах, открытие рекламных вкладок [UDS:DangerousObject.Multi.Generic, Trojan.Win32.Loskad.gsy ]

**StasOn777** · 13.08.2017, 22:04

Здравствуйте. В браузере открываются рекламные сайты, на любом сайте появляются рекламные баннеры.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.08.2017, 22:05

Уважаемый(ая) StasOn777, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 14.08.2017, 07:54

Ace Stream Media 3.1.6 удалите через Установку программ.

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\STASEV~1\AppData\Roaming\setupsk\ml.py','');
 QuarantineFile('C:\Users\Stasevich\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Users\STASEV~1\AppData\Roaming\curl\curl.exe','');
 QuarantineFile('C:\Users\STASEV~1\AppData\Roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Users\STASEV~1\AppData\Roaming\SETUPS~1\ml.py','');
 TerminateProcessByName('c:\users\stasevich\appdata\local\yc\application\yc.exe');
 TerminateProcessByName('c:\users\stasev~1\appdata\roaming\setupsk\python\pythonw.exe');
 QuarantineFile('c:\users\stasev~1\appdata\roaming\setupsk\python\pythonw.exe','');
 DeleteFile('c:\users\stasev~1\appdata\roaming\setupsk\python\pythonw.exe','32');
 DeleteFile('c:\users\stasevich\appdata\local\yc\application\yc.exe','32');
 DeleteFile('C:\Users\Stasevich\AppData\Local\yc\Application\56.0.2924.76\chrome.dll','32');
 DeleteFile('C:\Users\Stasevich\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll','32');
 DeleteFile('C:\Users\Stasevich\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll','32');
 DeleteFile('C:\Users\Stasevich\AppData\Local\yc\Application\56.0.2924.76\libegl.dll','32');
 DeleteFile('C:\Users\Stasevich\AppData\Local\yc\Application\56.0.2924.76\libglesv2.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_519AFBF6CD64879483D6700185C7E895');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wfhocqhfis');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
 DeleteFile('C:\Users\STASEV~1\AppData\Roaming\SETUPS~1\ml.py','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
 DeleteFile('C:\Users\STASEV~1\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
 DeleteFile('C:\Users\STASEV~1\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\Stasevich\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\Users\STASEV~1\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

**StasOn777** · 14.08.2017, 11:27

Сделал

**thyrex** · 14.08.2017, 11:49

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**StasOn777** · 14.08.2017, 11:54

Сделано

**Vvvyg** · 15.08.2017, 23:07

Запустите FRST/FRST64. В окне программы нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Startup: C:\Users\Stasevich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar800.lnk [2017-02-26]
GroupPolicy: Restriction - Chrome <==== ATTENTION
Tcpip\..\Interfaces\{a295d329-afff-4c02-baa5-250283928bfc}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54,192.168.1.1
CHR HomePage: Default -> hxxps://inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=11956636
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=831119" 
CHR NewTab: Default -> "chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"     
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BF771914D-EC0F-44A8-8869-D4BD0AB2EEBF%7D&gp=831120
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Mail.Ru) - C:\Users\Stasevich\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2017-08-13]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Stasevich\AppData\Local\Google\Chrome\User Data\Default\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-08-13]
CHR Extension: (No Name) - C:\Users\Stasevich\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-12-12]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Stasevich\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif [2017-08-13]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
Task: {5D9AA67F-3BBF-4F88-A967-AC5D14483BEA} - \curl -> No File <==== ATTENTION
Task: {7DE2FE8F-1A0F-4AD3-B773-706CDFD535C7} - \setupsk_upd -> No File <==== ATTENTION
Task: {88C6E25D-F526-4908-B878-F75EF31A9869} - \setupsk -> No File <==== ATTENTION
Task: {8D55F129-259F-420A-B591-6B3B0887FEB8} - \curls -> No File <==== ATTENTION
Task: {E76E837E-C9EE-4191-8F6A-5174E47343D7} - \MSI -> No File <==== ATTENTION
C:\Users\Stasevich\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
FirewallRules: [TCP Query User{8EF65133-A4A3-46B8-AFF7-F55049003600}C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [UDP Query User{D0927CC1-B952-453D-AD2D-62B1E111E350}C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [TCP Query User{CE80818F-AEB8-4485-94D2-D58E359166DC}C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [UDP Query User{9CD67D37-C3E4-46D8-8BC7-A3C76E34CDCB}C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [{ADBD2E8E-6764-468C-A88D-0EBCD675F10B}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{6C9927ED-57D5-4779-B98C-637CD8AD1079}] => (Allow) C:\Users\Stasevich\AppData\Local\yc\Application\yc.exe
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

**StasOn777** · 17.08.2017, 18:36

Проблемы больше нет. Единственный вопрос - зачем удалять Ace stream?

**Vvvyg** · 17.08.2017, 21:05

Удалялись правила файрвола для него, т. к. самой программы, как я понимаю, нет.

**CyberHelper** · 17.08.2017, 21:15

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\users\stasevich\appdata\roaming\microsoft\msi.e xe - Trojan.Win32.Loskad.gsy ( AVAST4: Win32:Malware-gen )
2. c:\users\stasev~1\appdata\roaming\curl\curl_7_54.e xe - UDS:DangerousObject.Multi.Generic

Рекламные баннеры на любых сайтах, открытие рекламных вкладок [UDS:DangerousObject.Multi.Generic, Trojan.Win32.Loskad.gsy ] (заявка № 214611)

Опции темы