Неудаляемый Redirect VIRUS во всех браузерах!

**ALECKTOP** · 07.04.2017, 11:54

Подхватил программу (маскировалась под приложение) Redirect VIRUS, перенаправляющую стартовую страницу на рекламу во всех браузерах: IE 11, Chrome, Firefox. Windows 10 x64
Такое уже случалось и лечилось программами Malwarebytes Free и AdwCleaner - но теперь "это" не находят.
И на этот раз ничего не помогает: ни сканирование всеми известными антивирусами и утилитами (Comodo IS, Zone Alarm, Kaspersky, AVG, Norton Power Eraser, Microsoft Malicious Software Removal Tool), ни сброс настроек браузера, файл hosts дополнительных адресов не имеет, ложные ярлыки отсутствуют, дополнительная ссылка в ярлыках отсутствует, поиск в реестре по имени первой рекламной страницы результатов не дал, расширений в браузерах нет, подозрительных процессов не обнаружено. В браузерах можно всё сбросить и почистить, обновить стартовые страницы - но после перезагрузки - всё повторяется вновь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.04.2017, 11:56

Уважаемый(ая) ALECKTOP, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**lex0819** · 07.04.2017, 21:23

Пофиксите в HiJackThis.

Код:

O22 - Task (Ready): Line Standart Helper - C:\Program Files (x86)\ScreenUp\future_helper.exe (file missing)
O22 - Task (Ready): Render Account Manager - C:\Users\Alex\AppData\Local\FilterStart\FilterStart.exe (file missing)

Выполните скрипт AVZ.

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\drivers\ServiceMgr.sys','');
 SetServiceStart('ServiceMgr', 4);
 StopService('ServiceMgr');
 DeleteService('ServiceMgr');
 DeleteFile('C:\WINDOWS\system32\drivers\ServiceMgr.sys','32');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

Пришлите архив карантина из папки AVZ.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи программой Autologger и пришлите их.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**ALECKTOP** · 09.04.2017, 14:28

Спасибо, за помощь,
Но, при выполнении уже первого пункта - при запуске программы HiJackThis.exe выходит ошибка: "Run-time error '326': Resourсe with identifier 'VERSION' not found"
Скриншот в приложении.

**lex0819** · 09.04.2017, 15:37

Вы сделали логи по правилам программой Autologger, которую скачали и сохранили на своём компьютере.
Войдите в папку с этой программой, в папку Autologger.
Там будет папка HiJackThis, откройте её.
Запустите файл HiJackThis.exe на выполнение.

В этой же папке Autologger находятся и другие папки с остальным софтом - AVZ и CheckBrowsersLNK, которые нужно применять для выполнения лечебных скриптов.

**ALECKTOP** · 10.04.2017, 09:21

Направляю файл карантина в приложении.
(Ранее отправил неверное вложение через красную надпись)

- - - - -Добавлено - - - - -

Направляю файл ClearLNK-10.04.2017_08-16.log в приложении после выполнения ClearLNK

- - - - -Добавлено - - - - -

Направляю новый лог от AutoLogger в приложении.

- - - - -Добавлено - - - - -

Направляю 2 отчета от сканирования Farbar Recovery Scan Tool в приложени

**lex0819** · 10.04.2017, 11:20

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3410000113-ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
BootExecute: autocheck autochk * sdnclean64.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3410000113-2392252564-3253713625-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Plugin HKU\S-1-5-21-3410000113-2392252564-3253713625-1002: @mail.ru/GameCenter ->   [No File]
R3 semav6msr64; C:\WINDOWS\system32\drivers\semav6msr64.sys [21984 2016-03-09] ()
C:\WINDOWS\system32\drivers\semav6msr64.sys
Task: {2209AD5C-6008-4141-8F36-937CBA67BCBE} - \WPD\SqmUpload_S-1-5-21-3410000113-2392252564-3253713625-1002 -> No File <==== ATTENTION
Task: {236D4BA9-95BD-4FE2-89F7-8DCDF03FA699} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {286C8DE4-C70B-4829-88DD-381822797B36} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {2A880498-33E6-4DC3-BAEA-4E4A32D7C6A0} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {4DE5BEA8-B89E-4EF7-85E0-A0780B2644DE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {6E9B304E-99F0-46FF-90CF-ACF7B4A9B222} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {784BA163-AF74-4E6D-89EC-52DB469A525D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {7DA3EFC4-EF84-4DA7-B589-005A274C1D4C} - \GenericSettingsHandler\Windows-Credentials\RetrySyncTask_for_S-1-5-21-3410000113-2392252564-3253713625-1002 -> No File <==== ATTENTION
Task: {87246836-4C24-4207-AD32-40AA7650C690} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {A7D00CBE-AF5C-4BB6-AB6F-3528C7249C2B} - \Auslogics\BoostSpeed\Start BoostSpeed оn Alex logon -> No File <==== ATTENTION
Task: {AC5E34EB-FD4B-45A7-914F-841D5C813804} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {B4B0E5B1-5C8B-40F5-9EC9-D540921F345C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {C5135B6A-E6BD-43F2-8454-D5CA5DD28D5E} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {C54A83F1-AEFC-414E-ABA9-9EA29454DF6D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {FAAFE639-E08A-423F-81CF-2BB741FC39F0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**ALECKTOP** · 17.04.2017, 21:20

Направляю лог-файл Fixlog.txt

**lex0819** · 17.04.2017, 21:48

В логах проблемы не видно.
Уточните, переход по зловредным ссылкам в браузерах по прежнему происходит?

**ALECKTOP** · 20.04.2017, 22:05

Да, конечно. К сожалению, всё как и было (см. название темы) izogreb.ru и потом пересылка на ещё две страницы...(

**lex0819** · 20.04.2017, 22:20

Сделайте новые логи программами FRST и Autologger

**ALECKTOP** · 21.04.2017, 07:48

Направляю новые логи программами FRST и Autologger

**lex0819** · 24.04.2017, 11:51

Обратите внимание! У вас установлено несколько анивирусов, - Kaspersky, Malwarebytes, ZoneAlarm (в контексте модели Internet Security), DrWeb, AVG, COMODO, - остановитесь на каком-то одном.

Знакома ли вам программа?

Код:

MetaTrader 4 - RoboForex (HKLM-x32\...\MetaTrader 4 - RoboForex) (Version: 4.00 - MetaQuotes Software Corp.)

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
Task: {9CD2BF24-4AF6-4E73-911A-FB41CFAE0D18} - \Command Translator Manager -> No File <==== ATTENTION
ShortcutWithArgument: C:\Users\Alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Project Reality\Project Reality BF2\Project Reality BF2.lnk -> C:\Program Files (x86)\Project Reality\Project Reality BF2\mods\pr\bin\PRLauncher.exe (Project Reality) -> hxxp://mohtute.ru/?utm_source=imp&utm_d=20170316
AlternateDataStreams: C:\ProgramData\.rdata:X [526]
HKU\S-1-5-21-3410000113-2392252564-3253713625-1002\...\Policies\Explorer: [FolderWSext] 90A292113A9
HKU\S-1-5-21-3410000113-2392252564-3253713625-1002\...\Policies\Explorer: [insWStime] 1428229279
HKU\S-1-5-21-3410000113-2392252564-3253713625-1002\...\Policies\Explorer: [uniWSid] 1428229279561
HKU\S-1-5-21-3410000113-2392252564-3253713625-1002\...\Policies\Explorer: [FolderWSinst] B0A05B24A02
HKU\S-1-5-21-3410000113-2392252564-3253713625-1002\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
SearchScopes: HKU\S-1-5-21-3410000113-2392252564-3253713625-1002 -> yandex.ru-233929 URL = 
FF Plugin HKU\S-1-5-21-3410000113-2392252564-3253713625-1002: @mail.ru/GameCenter ->   [No File]
CHR Extension: (Tampermonkey) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-03-17]
R2 gramblrclient; C:\Program Files\Gramblr\gramblr.exe [10426448 2017-04-17] () [File not signed]
U5 UnlockerDriver5; C:\Program Files\Unlocker\UnlockerDriver5.sys [12352 2010-07-01] ()
S1 vdm3nzkw; C:\WINDOWS\SysWOW64\Drivers\vdm3nzkw.sys [13312 2017-04-10] () [File not signed]
U3 iswSvc; no ImagePath
S3 semav6msr64; \??\C:\WINDOWS\system32\drivers\semav6msr64.sys [X]
2017-04-21 06:36 - 2017-04-21 06:36 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
C:\Program Files (x86)\ScreenUp
C:\Users\Alex\AppData\Local\FilterStart
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**ALECKTOP** · 03.05.2017, 18:41

Уважаемые коллеги,
Разработчики утилиты Dr.Web CureIt! выпустили недавно новые сигнатуры обновления.
После сканирования удалось споймать вредоносную программу.
Спасибо за оказанную помощь и поддержку.
Тему можно закрывать.

**CyberHelper** · 03.05.2017, 18:51

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 87
В ходе лечения вредоносные программы в карантинах не обнаружены

Неудаляемый Redirect VIRUS во всех браузерах! (заявка № 210963)

Опции темы