Рекламное ПО. Троян в dnsapi.dll. Реклама в браузере. [Trojan.Win32.Hosts2.gen ]

SQ · 29.02.2016, 00:57

Сообщение от belka__l

IP никакие не прописывали.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
Hosts:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Сообщение от belka__l

И кстати сейчас открыла Хром и он сообщил что добавлено расширение Поиск Mail.ru, хотя я конечно же его не добавляла.
Он дал выбор установить или удалить, я удалила. Но ведь если он опять лезет, значит все таки еще где-то есть остатки да?

Mail.ru - установлено расширение в браузере Chrome, поэтому это не угроза..

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**belka__l** · 29.02.2016, 08:36

Код пофискила. Но по моему ничего не изменилось..хром при загрузке и открытии вкладок все равно грузит ЦП до 99% а потом падает..
Лог прилагаю.

SQ · 29.02.2016, 09:55

приложите новый лог FRST.

**belka__l** · 29.02.2016, 10:16

Вы не написали какие именно, сделала все три.
Прилагаю.

SQ · 29.02.2016, 10:36

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=profitraf7","hxxp://www.mysites123.com/?type=hp&ts=1455948034&z=e6b73e66bcaba479f502d6dg8zbwdwct1zab7ecc0z&from=amt&uid=hgstxhts545032a7e680_tea45c4813wx1a13wx1ax"
CHR DefaultSearchKeyword: Default -> MusicSig VK.com
CHR Plugin: (Widevine Content Decryption Module) - C:\Users\Николай\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.823\_platform_specific\win_x86\widevinecdmadapter.dll => No File
CHR Plugin: (WildTangent Games App V2 Presence Detector) - C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll => No File
CHR Plugin: (Shockwave Flash) - C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32_18_0_0_209.dll => No File
CHR Extension: (MusicSig vkontakte) - C:\Users\Николай\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2016-02-29]
CHR Extension: (Google RU) - C:\Users\Николай\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbjopffcocgcnkigpnnmpcoimhjbjmba [2016-02-29]
CHR Profile: C:\Users\Николай\AppData\Local\Google\Chrome\User Data\Profile 1
HKU\S-1-5-21-719144644-2674792750-946892443-1001\...\StartupApproved\Run: => "DIMDownloading your update...1338924290338"
HKU\S-1-5-21-719144644-2674792750-946892443-1001\...\StartupApproved\Run: => "6AC05BB665D9BE05A76CB987836A19CFD5A17E42._service_run"
HKU\S-1-5-21-719144644-2674792750-946892443-1001\...\StartupApproved\Run: => "SaveYouTime"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\AdobeAAMUpdater-1.0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\DIMDownloading your update...1338924290338]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\6AC05BB665D9BE05A76CB987836A19CFD5A17E42._service_run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\SaveYouTime]
Reg: reg delete "HKU\S-1-5-21-719144644-2674792750-946892443-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\DIMDownloading your update...1338924290338" /f
Reg: reg delete "HKU\S-1-5-21-719144644-2674792750-946892443-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\6AC05BB665D9BE05A76CB987836A19CFD5A17E42._service_run" /f
Reg: reg delete "HKU\S-1-5-21-719144644-2674792750-946892443-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\SaveYouTime" /f
Reg: reg delete "HKU\S-1-5-21-719144644-2674792750-946892443-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\GoogleChromeAutoLaunch_619CD3A184F3B7BB8A9B0FCD21361735" /f
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**belka__l** · 29.02.2016, 10:51

Код профиксила, лог прилагаю. Новый лог FRST также сделала, прилагаю.

Про Universal Virus Sniffer, только что увидела. Сейчас сделаю!

SQ · 29.02.2016, 11:10

В браузере Chrome имеется два профиля:

Код:

CHR Profile: C:\Users\Николай\AppData\Local\Google\Chrome\User Data\Default
CHR Profile: C:\Users\Николай\AppData\Local\Google\Chrome\User Data\Profile 1

Каким из них Вы пользуетесь?

**belka__l** · 29.02.2016, 11:27

В Хроме, я так думаю Default рабочий, так как там иконка совпадает с используемым профилем.
А вот Profile 1 там я даже не знаю что..может когда заходили под другим профилем еще.

Полный образ автозапуска uVS сделала, прилагаю.

SQ · 29.02.2016, 11:48

Выполните скрипт в uVS:

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\EFPDLFPBBALMEEGEICFPCANIEMLOOHCH\3.5.1.2_0\NEIRON SEARCH TOOLS
delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EFPDLFPBBALMEEGEICFPCANIEMLOOHCH\3.5.1.2_0\NEIRON SEARCH TOOLS
delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HANJIAJGNONAOBDLKLNCDJDMPBOMLHOA\3.1.15_1\MUSICSIG VKONTAKTE
restart

Расширение "GOOGLE ДОКУМЕНТЫ ОФЛАЙН" в браузере chrome используете?

**belka__l** · 29.02.2016, 12:26

Скрипт uVS выполнила. В его папке появился лог.txt нужен??
Расширение "GOOGLE ДОКУМЕНТЫ ОФЛАЙН" в браузере chrome не используем.

SQ · 29.02.2016, 12:57

Сообщение от belka__l

Скрипт uVS выполнила. В его папке появился лог.txt нужен??

да.

Сообщение от belka__l

Расширение "GOOGLE ДОКУМЕНТЫ ОФЛАЙН" в браузере chrome не используем.

Выполните скрипт в uVS:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\GOOGLE\C HROME\USER DATA\PROFILE 1\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.1_ 0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\GOOGLE\C HROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDL OLHKHI\1.1_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
restart

**belka__l** · 29.02.2016, 13:23

Скрипт выполнила. Прилагаю оба лога (предыдущий скрипт и этот)

SQ · 29.02.2016, 13:32

Что с проблемой в браузере?

**belka__l** · 29.02.2016, 13:49

Да все также.
При запуске Хрома загрузка ЦП 99% + еще и диск под 90%..появляется окошко страница не отвечает..потом где-то через 40-60 секунд все ок...открывается и загрузка ЦП и диска падает.
Открываешь новую вкладку опять ЦП до 99%...думает секунд 30..потом выдает about blank..а потом загружает ссылку..и ЦП падает до 20% примерно.

SQ · 29.02.2016, 14:07

Попробуйте в качестве тестирование следующее:
1. закрыть браузер Chrome
2. Переименовать каталог:

Код:

C:\Users\Николай\AppData\Local\Google\Chrome\User Data

на

Код:

C:\Users\Николай\AppData\Local\Google\Chrome\User Data.bak

3. запустить браузре Chrome и воспроизвести проблему.

**belka__l** · 29.02.2016, 14:18

При старте загрузка тоже 99%..но потом новые вкладки открываются с меньшей загрузкой и намного быстрее и без about blank

SQ · 29.02.2016, 14:30

Проверьте целостность системных файлов используя следующую команду в комнадной строке (cmd.exe) в привилегированном режиме (Run as Administrator):

Код:

sfc /scannow

Сообщите результат.

**belka__l** · 29.02.2016, 15:54

В результате проверки нарушений целостности системы не обнаружено. Что делать с каталогом хрома который переименовала??

SQ · 29.02.2016, 16:09

Сообщение от belka__l

Что делать с каталогом хрома который переименовала??

Откатите обратно изменения предварительно закрыв Chrome, т.е. новый каталог удалите:

Код:

C:\Users\Николай\AppData\Local\Google\Chrome\User Data

Далее переименуйте каталог:

Код:

C:\Users\Николай\AppData\Local\Google\Chrome\User Data.bak

обратно в

Код:

C:\Users\Николай\AppData\Local\Google\Chrome\User Data

**belka__l** · 29.02.2016, 16:25

Переименовала. Что дальше делать?? Можно ли как-то исправить это?? Чтобы загрузка браузера и страниц была быстрее??

Рекламное ПО. Троян в dnsapi.dll. Реклама в браузере. [Trojan.Win32.Hosts2.gen ] (заявка № 197574)

Опции темы

Похожие темы

В браузере вылезло рекламное окошко после обновления

Рекламное расширение в браузере

Реклама в браузере. Панель поиска Bing. Не корректная работа браузеров. Троян

Рекламное окно в браузере

Рекламное окно в браузере + переадресация

Метки для этой темы

Ваши права в разделе