Открытие рекламмы при кликах на ссылки в браузере Chrome

[Голованов Д.]

При переходе по некоторым ссылкам в браузере Chrome открывается дополнительное окно (не вкладка) с рекламой. Реклама разная. Окно даёт себя закрыть с подтверждением.

В диспетчере задач вижу подозрительный процесс CommandContextualRuby.exe, экзешник в папке C:\Users\DIMA\AppData\Local\FAT32FileTask\. При попытке скопировать имя этого экзешного файла либо имя папки, в которой он лежит, с помощью Ctrl+C/Ctrl+V вставка не выполняется, приходится копировать частями. Насколько я понимаю, происходит перехват вызова АПИ-функции (не уверен, так ли это называется, но, думаю, вы меня поймёте).

Помогите

PS: в инструкции к оформлению заявки написано, что необходимо прикрепить 3 файла, однако в инструкции по оформлению запроса о помощи указано, что для 64 битных систем шаг с создание файла virusinfo_syscure.zip выполнять не нужно. Соответственно во вложении только 2 файла.

[Info_bot]

Уважаемый(ая) Голованов Д., спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
 QuarantineFile('C:\Users\DIMA\AppData\Local\fe8cdb934a28775e12a304fc0ce56c38\RegFltrX64.sys','');
 DeleteService('RegFltrX64');
 QuarantineFile('C:\Users\DIMA\AppData\Local\fe8cdb934a28775e12a304fc0ce56c38\c53013747826088.exe','');
 DeleteService('c53013747826088.exe');
 SetServiceStart('FAT32FileTask.exe', 4);
 DeleteService('FAT32FileTask.exe');
 TerminateProcessByName('c:\users\dima\appdata\local\fat32filetask\fat32filetask.exe');
 QuarantineFile('c:\users\dima\appdata\local\fat32filetask\fat32filetask.exe','');
 TerminateProcessByName('c:\users\dima\appdata\local\fat32filetask\commandcontextualruby.exe');
 QuarantineFile('c:\users\dima\appdata\local\fat32filetask\commandcontextualruby.exe','');
 DeleteFile('c:\users\dima\appdata\local\fat32filetask\commandcontextualruby.exe','32');
 DeleteFile('c:\users\dima\appdata\local\fat32filetask\fat32filetask.exe','32');
 DeleteFile('C:\Users\DIMA\AppData\Local\fe8cdb934a28775e12a304fc0ce56c38\c53013747826088.exe','32');
 DeleteFile('C:\Users\DIMA\AppData\Local\fe8cdb934a28775e12a304fc0ce56c38\RegFltrX64.sys','32');
 DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
DeleteFileMask('C:\Users\DIMA\AppData\Local\fe8cdb934a28775e12a304fc0ce56c38', '*', true);
DeleteDirectory('C:\Users\DIMA\AppData\Local\fe8cdb934a28775e12a304fc0ce56c38');
DeleteFileMask('c:\users\dima\appdata\local\fat32filetask', '*', true);
DeleteDirectory('c:\users\dima\appdata\local\fat32filetask');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пофиксите в Hijack

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1397228247&from=cor&uid=WDCXWD15EARS-00S8B1_WD-WCAVY439733397333&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1397228247&from=cor&uid=WDCXWD15EARS-00S8B1_WD-WCAVY439733397333&q={searchTerms}
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:27747

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[Голованов Д.]

Выполнил скрипт, который в Вашем сообщении после - - - Добавлено - - -
Профиксил указанный код в Hijack
Карантин послал, но не совсем понял, дошёл ли он (вес 50 МБ)
Новые логи во вложении
Лог полного сканирования MBAM во вложении

[thyrex]

Поместите в карантин МВАМ только указанные ниже записи

Код:

Registry Keys: 9
PUP.Optional.BrowseFox.A, HKLM\SOFTWARE\CLASSES\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}, , [8e13049c81fa3600986ad0c5c14149b7], 
PUP.Optional.BrowseFox.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}, , [8e13049c81fa3600986ad0c5c14149b7], 
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}, , [049d8719611a33030e1f1302a2621ce4], 
PUP.Optional.SweetPage.A, HKLM\SOFTWARE\WOW6432NODE\sweet-pageSoftware, , [a3fe68389ae1c17563b144da4bb9ee12], 
PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}, , [9a07e5bb7dfee0562c017d98e321649c], 
PUP.Optional.BrowseMark.A, HKU\S-1-5-21-2630088265-666293794-904998807-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\BrowseMark, , [bce54957502b270f5968c422748e1ee2], 
PUP.Optional.BlockAndSurf.A, HKU\S-1-5-21-2630088265-666293794-904998807-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\APPDATALOW\SOFTWARE\BlockAndSurf, , [dbc6178978037bbb07944088a260649c], 
PUP.Optional.InstallCore.A, HKU\S-1-5-21-2630088265-666293794-904998807-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE\1I1T1Q1S, , [6f32465ae8933df925444ea539c957a9], 
PUP.Optional.InstallCore.A, HKU\S-1-5-21-2630088265-666293794-904998807-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE, , [267b9a06ee8df343502edf2a857f58a8], 

Registry Values: 1
PUP.Optional.InstallCore.A, HKU\S-1-5-21-2630088265-666293794-904998807-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE|tb, 0I2Z1H1E2V1R0O1O, , [267b9a06ee8df343502edf2a857f58a8]

Registry Data: 4
PUP.Optional.SweetPage.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, http://www.sweet-page.com/web/?type=ds&ts=1397228247&from=cor&uid=WDCXWD15EARS-00S8B1_WD-WCAVY439733397333&q={searchTerms}, Good: (www.google.com), Bad: (http://www.sweet-page.com/web/?type=ds&ts=1397228247&from=cor&uid=WDCXWD15EARS-00S8B1_WD-WCAVY439733397333&q={searchTerms}),,[acf56b35b3c8979fa4694e67f70d9769]
PUP.Optional.SweetPage.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, http://www.sweet-page.com/web/?type=ds&ts=1397228247&from=cor&uid=WDCXWD15EARS-00S8B1_WD-WCAVY439733397333&q={searchTerms}, Good: (www.google.com), Bad: (http://www.sweet-page.com/web/?type=ds&ts=1397228247&from=cor&uid=WDCXWD15EARS-00S8B1_WD-WCAVY439733397333&q={searchTerms}),,[d8c9920e1f5c2d097972d5d42ed6d828]
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Good: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Bad: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[7f22fea2522985b104a2f3c1b94bcb35]
PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Good: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Bad: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[732e1b854e2dcb6b9e08d7dd50b4946c]

Folders: 4
PUP.Optional.IePluginService.A, C:\ProgramData\IePluginService, , [dac7950b84f7f046cb1cbdedd42e6997], 
PUP.Optional.IePluginService.A, C:\ProgramData\IePluginService\update, , [dac7950b84f7f046cb1cbdedd42e6997], 
PUP.Optional.SupTab.A, C:\Program Files (x86)\SupTab, , [643d950bc8b395a1a6fbbd09d131d42c], 
PUP.Optional.SupTab.A, C:\Users\DIMA\AppData\Roaming\SupTab, , [b8e9e4bc037888aeeeb47353ce349868], 

Files: 25
Worm.AutoRun, D:\?????? ??????N????µ??N?N?\??N?????N??°????N??????°?????µ\????N?N?N?N? (??N?N???N????¶????!!!)\????N?N?N? 070409.rar, , [6a37d7c993e89f97469cc72e05fc11ef], 
PUP.Optional.Superfish.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage, , [8d14722edf9c88ae9cbf26b5ef13d52b], 
PUP.Optional.Superfish.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage-journal, , [663bb7e996e571c5ec6f3c9fff03c43c], 
PUP.Optional.IePluginService.A, C:\ProgramData\IePluginService\update\conf, , [dac7950b84f7f046cb1cbdedd42e6997], 
PUP.Optional.SweetPage.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Preferences, Good: (), Bad: (      "startup_urls": [ "http://www.google.com/", "http://www.sweet-page.com/?type=hp&ts=1397228247&from=cor&uid=WDCXWD15EARS-00S8B1_WD-WCAVY439733397333" ],), ,[821ffca48cef89ad1880c421bd47db25]

[Голованов Д.]

Спасибо

[mike 1]

Новый лог MBAM сделайте и отпишитесь что с проблемой?

[Голованов Д.]

Логи постараюсь сделать завтра. Проблема вроде решилась.

[Голованов Д.]

Жена устанавливала какие-то программы. Итог - новая проблема. При открытии Хрома открывается ссылка bing-poickcom.ru. В IE так же. Ярлаки Хрома и яндекс.диска на рабочем столе подменены таким образом, что бы при их запуске открывалась та же ссылка.

Логи АВЗ и хайджек во вложении.

Пожалуйста помогите ещё раз

[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files (x86)\win\win.exe','');
 QuarantineFile('C:\Users\DIMA\AppData\Local\FAT32FileTask\RgFltX64.sys','');
 DeleteService('RgFltX64');
 DeleteFile('C:\Users\DIMA\AppData\Local\FAT32FileTask\RgFltX64.sys','32');
 DeleteFile('C:\Program Files (x86)\win\win.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','win');
 DeleteFileMask('C:\Users\DIMA\AppData\Local\FAT32FileTask', '*', true, ' ');
 DeleteDirectory('C:\Users\DIMA\AppData\Local\FAT32FileTask');
 DeleteFileMask('C:\Program Files (x86)\win', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\win');     
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
 ExecuteRepair(2);
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=02da64a703077a495368874d44f08ff5&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=02da64a703077a495368874d44f08ff5&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=02da64a703077a495368874d44f08ff5&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=02da64a703077a495368874d44f08ff5&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите FixerBro
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы нажмите на кнопку "Проверить"
5. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro найдите лог в формате FixerBro_yyyymmdd.txt
6. Прикрепите этот отчет в вашей теме.

[Голованов Д.]

Скрипты выполнил в АВЗ. Карантин пустой (захожу в АВЗ Файл-Просмотр карантина, есть папка от сегодняшнего числа. но она пустая). FixerBro выполнил.

[mike 1]

1. Запустите повторно FixerBro by glax24.
   Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
2. Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
   
   
   Код:

   C:\Users\DIMA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "http://bing-poickcom.ru" ]
   C:\Users\DIMA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe "http://bing-poickcom.ru" ]
   C:\Users\DIMA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "http://bing-poickcom.ru" ]
   C:\Users\DIMA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (3).lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "http://bing-poickcom.ru" ]
   C:\Users\DIMA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "http://bing-poickcom.ru" ]
   C:\Users\DIMA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://bing-poickcom.ru" ]

3. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
4. По окончанию удаления нажмите на кнопку "Отчет"
5. Сохраните лог утилиты
6. Прикрепите сохраненный отчет в вашей теме.

[Голованов Д.]

Всё OK. Лог во вложении
Спасибо

[mike 1]

Порядок.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 26
• В ходе лечения вредоносные программы в карантинах не обнаружены