Автоматически открываются вкладки с рекламой. [Trojan-Downloader.Win32.Stantinko.bct ]

[vavaka]

Автоматически открываются вкладки с рекламой.

[Info_bot]

Уважаемый(ая) vavaka, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Сомнение]

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\Максим\appdata\roaming\notepadplusplusapp\nppapplication.exe');
 TerminateProcessByName('c:\program files (x86)\screenup\future_helper.exe');
 TerminateProcessByName('c:\users\Максим\appdata\local\filterstart\filterstart.exe');
 TerminateProcessByName('C:\Program Files\UBar\ubar.exe');
 TerminateProcessByName('C:\Program Files\UBar\UbarService.exe');
 QuarantineFile('C:\Users\Максим\AppData\Local\Manifest System Mgr.exe ','');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\svshost\svshost.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\SearchGo\searchgo.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\FilterStart\FilterStart.exe','');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 QuarantineFile('C:\Users\Максим\AppData\Local\rightchose\regCheck.vbs','');
 QuarantineFile('C:\Users\Максим\AppData\Local\DateOption\regCheck.vbs','');
 QuarantineFile('C:\Users\Максим\AppData\Local\ValidateLife\regCheck.vbs','');
 QuarantineFile('C:\Users\Максим\AppData\Local\LastNews\regCheck.vbs','');
 QuarantineFile('C:\Users\Максим\AppData\Local\ImmediateHelp\regCheck.vbs','');
 QuarantineFile('C:\Users\Максим\AppData\Local\TestMenu\regCheck.vbs','');
 QuarantineFile('C:\Users\Максим\AppData\Local\FileSystemOptions\regCheck.vbs','');
 QuarantineFile('C:\Users\Максим\AppData\Local\FilterOptions\regCheck.vbs','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\NotepadPlusPlusApp\nppApplication.exe','');
 StopService('UbarCalloutDriver');
 DeleteService('UbarCalloutDriver');
 StopService('UbarPolicyProvider');
 DeleteService('UbarPolicyProvider');
 QuarantineFile('C:\Program Files\UBar\UbarDriver.sys','');
 QuarantineFile('C:\Program Files\UBar\UbarService.exe','');
 QuarantineFile('C:\Program Files\UBar\ubar.exe','');
 QuarantineFile('c:\users\Максим\appdata\roaming\notepadplusplusapp\nppapplication.exe','');
 QuarantineFile('c:\program files (x86)\screenup\future_helper.exe','');
 QuarantineFile('c:\users\Максим\appdata\local\filterstart\filterstart.exe','');
 DeleteFile('c:\users\Максим\appdata\local\filterstart\filterstart.exe','32');
 DeleteFile('c:\program files (x86)\screenup\future_helper.exe','32');
 DeleteFile('c:\users\Максим\appdata\roaming\notepadplusplusapp\nppapplication.exe','32');
 DeleteFile('C:\Program Files\UBar\ubar.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarDriver.sys','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lxhqlxiwni');
 DeleteFile('C:\Users\Максим\AppData\Roaming\NotepadPlusPlusApp\nppApplication.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\FilterOptions\regCheck.vbs','32');
 DeleteFile('C:\Users\Максим\AppData\Local\FileSystemOptions\regCheck.vbs','32');
 DeleteFile('C:\Users\Максим\AppData\Local\TestMenu\regCheck.vbs','32');
 DeleteFile('C:\Users\Максим\AppData\Local\ImmediateHelp\regCheck.vbs','32');
 DeleteFile('C:\Users\Максим\AppData\Local\LastNews\regCheck.vbs','32');
 DeleteFile('C:\Users\Максим\AppData\Local\ValidateLife\regCheck.vbs','32');
 DeleteFile('C:\Users\Максим\AppData\Local\DateOption\regCheck.vbs','32');
 DeleteFile('C:\Users\Максим\AppData\Local\rightchose\regCheck.vbs','32');
 DeleteFile('C:\Users\Максим\AppData\LocalLow\SearchGo\searchgo.dll','32');
 DeleteFile('C:\Users\Максим\AppData\Local\FilterStart\FilterStart.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\SearchGo\searchgo.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\svshost\svshost.exe','32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\Manifest System Mgr.exe ','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Manifest System Mgr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Request Current Mgr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "System Root Manager" /F', 0, 15000, true); 
 DeleteFileMask('C:\Users\Максим\appdata\local\filterstart', '*', true);
 DeleteDirectory('C:\Users\Максим\appdata\local\filterstart');
 DeleteFileMask('C:\Users\Максим\appdata\locallow\searchgo', '*', true);
 DeleteDirectory('C:\Users\Максим\appdata\locallow\searchgo');
 DeleteFileMask('c:\program files (x86)\screenup', '*', true);
 DeleteDirectory('c:\program files (x86)\screenup');
 DeleteFileMask('C:\Program Files\UBar', '*', true);
 DeleteDirectory('C:\Program Files\UBar');
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Пофиксите в HiJackThis (используйте тот, который находится в папке с AutoLogger'ом):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=56E3D370DE6C98518BF60FE6B3FC9A2D&utm_d=20161010
O4 - HKCU\..\Policies\Explorer\Run: [LastNews] C:\Users\Максим\AppData\Local\LastNews\regCheck.vbs www.snowyear.xyz/?rnd=141 0 2400000
O4 - HKCU\..\Run: [FileSystemOptions] C:\Users\Максим\AppData\Local\FileSystemOptions\regCheck.vbs www.minipigping.com/?rnd=141 0 1200000
O4 - HKCU\..\Run: [lxhqlxiwni] explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=56E3D370DE6C98518BF60FE6B3FC9A2D&utm_d=20161010"
O4 - HKLM\..\Policies\Explorer\Run: [ImmediateHelp] C:\Users\Максим\AppData\Local\ImmediateHelp\regCheck.vbs www.2road.xyz/?rnd=141 0 3600000
O4 - HKLM\..\Policies\Explorer\Run: [TestMenu] C:\Users\Максим\AppData\Local\TestMenu\regCheck.vbs www.testmenu.xyz/?rnd=141 0 1800000
O4 - HKLM\..\Run: [DateOption] C:\Users\Максим\AppData\Local\DateOption\regCheck.vbs www.syschecksync.com/?rnd=141 0 0
O4-32 - HKLM\..\Policies\Explorer\Run: [ImmediateHelp] C:\Users\Максим\AppData\Local\ImmediateHelp\regCheck.vbs www.2road.xyz/?rnd=141 0 3600000
O4-32 - HKLM\..\Policies\Explorer\Run: [TestMenu] C:\Users\Максим\AppData\Local\TestMenu\regCheck.vbs www.testmenu.xyz/?rnd=141 0 1800000
O4-32 - HKLM\..\Run: [FilterOptions] C:\Users\Максим\AppData\Local\FilterOptions\regCheck.vbs www.regtestproc.com/?rnd=141 0 600000

3. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

4. Сделайте новые логи AutoLogger'a.

[vavaka]

все сделал. В пункте №2 был только такой код R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://granena.ru/?utm_content=31b5c...utm_d=20161010. Его пофиксил. Других не нашел.

- - - - -Добавлено - - - - -

Пока что без изменений.

[Сомнение]

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Windows\system32\ihctrl32.dll','');
 QuarantineFile('C:\Program Files (x86)\Windows Mail\WinMail.exe','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2.Сделайте и пришлите в ответном сообщении лог AdwCleaner.

[vavaka]

Еле добавил файл. При нажатии сразу открывается окно с рекламой.

[Сомнение]

Удалите все найденное AdwCleaner'ом.
Потребуется перезагрузка компьютера. Лог сформированный после удаления предоставьте в ответном сообщении.

[vavaka]

Эти логи, правильно я понял?

[Сомнение]

Правильно, что с проблемой сейчас ?

[vavaka]

1 сайт все равно открывается при нажатии.

[Сомнение]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.



Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[vavaka]

Вот, все сделал.

[Сомнение]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  FirewallRules: [{7307A145-BCD9-4485-9D77-7B8D8BE55187}] => (Allow) C:\Program Files\UBar\ubar.exe
  HKU\S-1-5-21-2259704238-699038889-844724022-1001\...\MountPoints2: {f99c1dec-c840-11e5-b6ef-20cf30d94d7c} - H:\SETUP.EXE
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin HKU\S-1-5-21-2259704238-699038889-844724022-1001: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Максим\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [2015-06-08] (Unity Technologies ApS)
  CHR Extension: (Teddy Protection) - C:\Users\Максим\AppData\Local\Google\Chrome\User Data\Default\Extensions\mofelbkemhligelpmjmohgphhmogbkni [2017-02-08]
  OPR Extension: (Teddy Protection Lite) - C:\Users\Максим\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-01-08]
  R2 ihctrl32; C:\Windows\SysWOW64\ihctrl32.dll [221184 2016-04-09] () [File not signed]
  R2 wsaudio; C:\Windows\SysWOW64\wsaudio.dll [367104 2016-04-09] () [File not signed]
  C:\Program Files\UBar\ubar.exe
  2016-10-10 22:40 - 2016-10-10 22:40 - 2109768 ____N () C:\Users\Максим\AppData\Local\Temp\1OmPtVYyChYn.exe
  2016-10-10 22:45 - 2016-10-10 22:45 - 1008648 _____ () C:\Users\Максим\AppData\Local\Temp\6UKwXx5p2aVg.exe
  2016-01-31 21:09 - 2016-01-31 21:09 - 0102912 _____ () C:\Users\Максим\AppData\Local\Temp\bitool.dll
  2016-10-10 22:45 - 2016-10-10 22:45 - 0401128 _____ (Mail.Ru) C:\Users\Максим\AppData\Local\Temp\bOrD8FxfivGh.exe
  2016-12-22 16:57 - 2016-12-22 16:54 - 0705560 _____ () C:\Users\Максим\AppData\Local\Temp\C8F9.tmp.exe
  2016-10-10 22:39 - 2016-10-10 22:39 - 0026112 ____N (Ubar Plugin Soft) C:\Users\Максим\AppData\Local\Temp\coi1634.exe
  2016-10-10 22:44 - 2016-10-10 22:44 - 0216576 ____N ( ) C:\Users\Максим\AppData\Local\Temp\CWv6UXQGPBAP.exe
  2016-10-10 22:45 - 2016-10-10 22:45 - 1008648 _____ () C:\Users\Максим\AppData\Local\Temp\dRG5v7NTCq3B.exe
  2016-10-10 22:45 - 2016-10-10 22:45 - 0104072 _____ () C:\Users\Максим\AppData\Local\Temp\GAoGCIKTqCjq.exe
  2016-10-10 22:45 - 2016-10-10 22:45 - 1008648 _____ () C:\Users\Максим\AppData\Local\Temp\HpmA0tsLfR5y.exe
  2016-10-10 22:45 - 2016-10-10 22:45 - 1008648 _____ () C:\Users\Максим\AppData\Local\Temp\jU88CUBy3izi.exe
  2016-05-16 19:18 - 2016-05-16 19:18 - 4718920 _____ (Gretech Corporation) C:\Users\Максим\AppData\Local\Temp\KB2C01840.exe
  2016-05-16 19:18 - 2016-05-16 19:18 - 48920808 _____ (Mail.Ru) C:\Users\Максим\AppData\Local\Temp\KBB64E9F57D4727CB8.exe
  2016-05-16 19:18 - 2016-05-16 19:18 - 4423896 _____ () C:\Users\Максим\AppData\Local\Temp\KBDC53D39D13B09A16.exe
  2016-10-10 22:45 - 2016-10-10 22:45 - 1008648 _____ () C:\Users\Максим\AppData\Local\Temp\lLCiilEzdvvX.exe
  2006-12-12 13:10 - 2006-12-12 13:10 - 0145184 ____R (Microsoft Corporation) C:\Users\Максим\AppData\Local\Temp\ose00000.exe
  2016-10-10 22:45 - 2016-10-10 22:45 - 1008648 _____ () C:\Users\Максим\AppData\Local\Temp\QuhKBFJMiNTc.exe
  2017-01-13 14:21 - 2017-01-13 14:23 - 0171695 ___RS () C:\Users\Максим\AppData\Local\Temp\qweAC36.tmp.exe
  2016-10-10 22:43 - 2016-10-10 22:43 - 0104072 ____N () C:\Users\Максим\AppData\Local\Temp\umrzVZa6sd5k.exe
  2016-10-10 22:38 - 2016-10-10 22:38 - 3038424 ____N () C:\Users\Максим\AppData\Local\Temp\WRTFXFEkJdWc.exe
  2016-10-10 22:45 - 2016-10-10 22:45 - 2660874 _____ () C:\Users\Максим\AppData\Local\Temp\WYMhy2yTtyAZ.exe
  2016-10-10 22:42 - 2016-10-10 22:42 - 0415232 ____N (Searchgo) C:\Users\Максим\AppData\Local\Temp\XrIgggqpHhf6.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[vavaka]

Сделал как вы сказали.

[Сомнение]

Что сейчас с проблемой ?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 19
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\screenup\future_helper.exe - not-a-virus:RiskTool.Win32.Agent.amup
  2. c:\users\максим\appdata\local\filterstart\filterst art.exe - not-a-virus:NetTool.Win32.NetFilter.ge
  3. c:\users\максим\appdata\local\manifest system mgr.exe - UDS:DangerousObject.Multi.Generic
  4. c:\users\максим\appdata\local\searchgo\searchgo.ex e - not-a-virus:AdWare.Win32.Searchgo.a ( BitDefender: Trojan.GenericKD.3141570, AVAST4: Win32:Adware-gen [Adw] )
  5. c:\windows\system32\ihctrl32.dll - Trojan-Downloader.Win32.Stantinko.bct