Браузер самопроизвольно открывает рекламу разных казино

[440]

Вирус подхвачен примерно в 15.00 4 января 2017 года.
Всё, что смог вручную, уже удалил, перешерстил весь реестр. Не помогает.

[Info_bot]

Уважаемый(ая) 440, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{1D65FA74-0FC0-422A-86AE-7F58C4676983}.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{044C4CA8-3A5C-4EB1-B02C-DFB091AAF50D}.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\{E6946ECA-4B77-45E7-B456-32415B242BF9}\FlashPlayerUpdateService.exe','');
 DeleteService('allnet');
 QuarantineFile('C:\Program Files (x86)\skinapp\allnet.sys','');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll','');
 DeleteFile('C:\Windows\TEMP\clearcache.dll','32');
 DeleteFile('C:\Program Files (x86)\skinapp\allnet.sys','32');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\{E6946ECA-4B77-45E7-B456-32415B242BF9}\FlashPlayerUpdateService.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Force_{E6946ECA-4B77-45E7-B456-32415B242BF9}','64');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\InternetBE','64');
 DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{044C4CA8-3A5C-4EB1-B02C-DFB091AAF50D}.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{1D65FA74-0FC0-422A-86AE-7F58C4676983}.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{1D65FA74-0FC0-422A-86AE-7F58C4676983}','64');
 DeleteFile('C:\Windows\system32\Tasks\{044C4CA8-3A5C-4EB1-B02C-DFB091AAF50D}','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\{E6946ECA-4B77-45E7-B456-32415B242BF9}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[440]

Сразу после перезагрузки реклама выпрыгнула опять(((.
Какие-то помойные новостные ленты.

- - - - -Добавлено - - - - -

Выкладываю логи.

Карантин тоже выслал.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[440]

Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Представляю отчеты FRST64.
Опять выпрыгнула реклама казино вулкан. Проклятье на мою голову - посадил на рабочую машину 11-летнего бандита. Вот результат.

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-1771641454-1423502667-3866363202-1000\...\MountPoints2: {07f5d94d-7a03-11e4-a8b7-00241dce18fa} - G:\AutoRun.exe
  HKU\S-1-5-21-1771641454-1423502667-3866363202-1000\...\MountPoints2: {aadfa371-3884-11e6-9a23-00241dce18fa} - D:\AutoRun.exe
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  BHO: Radio Canyon -> {11111111-1111-1111-1111-110611081104} -> C:\Program Files (x86)\Radio Canyon\Radio Canyon-bho64.dll => No File
  BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
  BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  Toolbar: HKU\S-1-5-21-1771641454-1423502667-3866363202-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF Extension: (Adblock Plus) - C:\Users\TOP\AppData\Roaming\Mozilla\Firefox\Profiles\g9yis9up.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2017-01-04]
  Task: {200807C3-E520-45DD-8A8A-94287E6F45F2} - \{1D65FA74-0FC0-422A-86AE-7F58C4676983} -> No File <==== ATTENTION
  Task: {754C0B6F-8C47-437B-B17B-A4B07B78E01C} - \GameXPService Autoupdate -> No File <==== ATTENTION
  Task: {8FC78860-EA3B-4640-A091-A79C71052C6E} - \{044C4CA8-3A5C-4EB1-B02C-DFB091AAF50D} -> No File <==== ATTENTION
  Task: {A299DF5E-4622-4F95-9310-BE55CBED405B} - \Safebrowser -> No File <==== ATTENTION
  Task: {A6ABA845-DD06-4D78-B2C2-3918A9BB6967} - \Microsoft\Windows\Force_{E6946ECA-4B77-45E7-B456-32415B242BF9} -> No File <==== ATTENTION
  Task: {AD2A70E5-DFF2-4739-863B-6A45A795A5C4} - \KRB Updater Utility -> No File <==== ATTENTION
  Task: {C29B0440-CB9E-483E-AD36-C0D1AB908DC2} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
  Task: {D23BD1BF-B1F3-4620-B78B-8D5FFC53DFE1} - \Microsoft Windows Video -> No File <==== ATTENTION
  Task: {DA551403-C2D4-4BBE-9544-A6967771C4B3} - System32\Tasks\newcityinworld => Firefox.exe hxxp://newcityinworld.ru/gvotes
  Task: {DB97CA8C-D044-4665-A62D-D8FEA0B1AB45} - \extsetup -> No File <==== ATTENTION
  Task: {FBDB7E08-4BFC-4D32-B303-3FBA7A191CF2} - \Microsoft\Windows\{E6946ECA-4B77-45E7-B456-32415B242BF9} -> No File <==== ATTENTION
  Task: {FEAA9A44-FE22-4F97-9941-8F6E104610DC} - \InternetBE -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[440]

Ух, шайтан!!! Вроде, получилось.
Прикрепляю лог.

З.Ы. Я видел в логах KRB updater. Как сберечь машину от повторного заражения этой дрянью? Есть ли какое-нибудь программное средство, препятствующее внедрению этой дряни?

[mrak74]

Сегодня был на сайте, искал информацию кое какую, наткнулся на статью. Привожу, частично ответит на Ваши вопросы. http://www.cezurity.com/ru/teaser/faster

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены