Показано с 1 по 17 из 17.

Клоны Google Chrome, вторжение Lucky Sites. [not-a-virus:AdWare.Win32.Wajam.aax ] (заявка № 211284)

  1. #1
    Junior Member Репутация
    Регистрация
    19.04.2017
    Сообщений
    8
    Вес репутации
    26

    Thumbs up Клоны Google Chrome, вторжение Lucky Sites. [not-a-virus:AdWare.Win32.Wajam.aax ]

    Здравствуйте! Когда искал в сети одну программу, попался на какой-то "левый" установщик и, когда я это понял и уже собирался выйти из него и удалить, совершенно случайно промахнулся и нажал на "Продолжить". В этот момент как раз был тот этап установки, где можно отказаться от дополнительного бесплатного ПО (названий не запомнил). После этого заметил, что браузер почему-то вышел из моего аккаунта Google и залогинен некий пользователь user_0. История пустая, закладки только остались, в общем браузер как будто только что скачанный. Потом я решил просмотреть установленные программы, нашел кое-что подозрительное, удалил, перезагрузил, не помогло. Потом внимательно просмотрел Program Files(x86) и увидел каталог с подозрительным именем, в котором к моему удивлению была воспроизведено содержимое папки с приложением Chrome. Я тут же проверил, куда ведет хромовская ссылка на раб столе и в панели задач. Они обе вели в эту фальшивую папку с хромом. То есть я все это время запускал своего рода клон. При попытке удалить эту папку я обнаружил, что она кем-то используется. Посмотрел в трей - увидел три значка хрома (сам хром, фальшивый или нет, в этот момент запущен не был), закрыл их. Снова попытался удалить папку с фальшивым хромом из Program Files, на этот раз получилось. Ярлыки удалил отовсюду, нашел оригинальный хром, запустил, в панель задач добавил. Через какое-то время хром стал внезапно падать, сразу после падения я обнаруживал на раб столе и в панели задач ссылки на новый фальшивый хром и новую папку клона в program files. После повторения удаления всего этого добра спокойно жить удается не больше суток. Как правило, если запустить "фальшивый" или оригинальный хром в поиске и в качестве стартовой страницы появляются lucky sites.CollectionLog-2017.04.19-09.19.zip
    Помогите, пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) DanielKish, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\program files (x86)\firefox\bin\firefoxupdate.exe');
     StopService('FirefoxU');
     StopService('AntannaSU');
     QuarantineFileF('c:\program files (x86)\firefox', '*.exe', true, '', 0 , 0);
     QuarantineFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe', '');
     QuarantineFile('c:\programdata\software\apple\apps\notification.dll', '');
     QuarantineFile('c:\users\daniel\appdata\local\kitty\kitty.dll', '');
     QuarantineFile('c:\users\daniel\appdata\roaming\winsapsvc\winsap.dll', '');
     QuarantineFile('c:\users\daniel\appdata\local\3dm\kitty.dll', '');
     QuarantineFile('C:\WINDOWS\TEMP\hp1744.tmp\ttff.exe', '');
     QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys', '');
     QuarantineFile('C:\Program Files (x86)\Antanna\Application\chrome.exe', '');
     QuarantineFile('C:\Program Files (x86)\Yeahship\Application\chrome.exe', '');
     QuarantineFile('C:\Program Files (x86)\Alltie\Application\chrome.exe', '');
     QuarantineFile('C:\Program Files (x86)\Eastness\Application\chrome.exe', '');
     QuarantineFile('C:\Users\Daniel\AppData\Local\SNARE\Snarer.dll', '');
     QuarantineFile('C:\Users\Daniel\AppData\Local\SNARER\Snarer.dll', '');
     QuarantineFile('C:\Program Files (x86)\Baperksulos Core\local64spl.dll', '');
     QuarantineFile('C:\Program Files (x86)\Philughgrukis\xteqerry.exe', '');
     QuarantineFile('"C:\Program Files (x86)\MIO\MIO.exe"  -bindurl http://api.suibianmaimaicom.com/hitachixhts547575a9e384_j2140059faar9afaar9ax.dat cmd=', '');
     QuarantineFile('C:\windows\Update\psgo\psgo.ps1', '');
     QuarantineFile('C:\Users\Daniel\appdata\local\kitty\cat.exe', '');
     DeleteFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe', '32');
     DeleteFile('c:\programdata\software\apple\apps\notification.dll', '32');
     DeleteFile('c:\users\daniel\appdata\local\kitty\kitty.dll', '32');
     DeleteFile('c:\users\daniel\appdata\roaming\winsapsvc\winsap.dll', '32');
     DeleteFile('c:\users\daniel\appdata\local\3dm\kitty.dll', '32');
     DeleteFile('C:\WINDOWS\TEMP\hp1744.tmp\ttff.exe', '32');
     DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys', '32');
     DeleteFile('C:\Program Files (x86)\Antanna\Application\chrome.exe', '32');
     DeleteFile('C:\Program Files (x86)\Yeahship\Application\chrome.exe', '32');
     DeleteFile('C:\Program Files (x86)\Alltie\Application\chrome.exe', '32');
     DeleteFile('C:\Program Files (x86)\Eastness\Application\chrome.exe', '32');
     DeleteFile('C:\Users\Daniel\AppData\Local\SNARE\Snarer.dll', '32');
     DeleteFile('C:\Users\Daniel\AppData\Local\SNARER\Snarer.dll', '32');
     DeleteFile('C:\Program Files (x86)\Baperksulos Core\local64spl.dll', '32');
     DeleteFile('C:\Program Files (x86)\Philughgrukis\xteqerry.exe', '32');
     DeleteFile('"C:\Program Files (x86)\MIO\MIO.exe"  -bindurl http://api.suibianmaimaicom.com/hitachixhts547575a9e384_j2140059faar9afaar9ax.dat cmd=', '32');
     DeleteFile('C:\windows\Update\psgo\psgo.ps1', '32');
     DeleteFile('C:\Users\Daniel\appdata\local\kitty\cat.exe', '32');
     DeleteService('FirefoxU');
     DeleteService('AntannaSU');
     DeleteService('iSafeKrnlMon');
     DeleteService('madngavn');
     DeleteFileMask('c:\program files (x86)\firefox', '*', true);
     DeleteFileMask('c:\users\daniel\appdata\local\kitty', '*', true);
     DeleteFileMask('c:\users\daniel\appdata\local\3dm', '*', true);
     DeleteFileMask('c:\program files (x86)\elex-tech', '*', true);
     DeleteFileMask('c:\program files (x86)\antanna', '*', true);
     DeleteFileMask('c:\program files (x86)\yeahship', '*', true);
     DeleteFileMask('c:\program files (x86)\alltie', '*', true);
     DeleteFileMask('c:\program files (x86)\eastness', '*', true);
     DeleteFileMask('c:\users\daniel\appdata\local\snare', '*', true);
     DeleteFileMask('c:\users\daniel\appdata\local\snarer', '*', true);
     DeleteFileMask('c:\program files (x86)\baperksulos core', '*', true);
     DeleteFileMask('c:\program files (x86)\philughgrukis', '*', true);
     DeleteFileMask('"c:\program files (x86)\mio', '*', true);
     DeleteFileMask('c:\windows\update\psgo', '*', true);
     DeleteDirectory('c:\program files (x86)\firefox');
     DeleteDirectory('c:\users\daniel\appdata\local\kitty');
     DeleteDirectory('c:\users\daniel\appdata\local\3dm');
     DeleteDirectory('c:\program files (x86)\elex-tech');
     DeleteDirectory('c:\program files (x86)\antanna');
     DeleteDirectory('c:\program files (x86)\yeahship');
     DeleteDirectory('c:\program files (x86)\alltie');
     DeleteDirectory('c:\program files (x86)\eastness');
     DeleteDirectory('c:\users\daniel\appdata\local\snare');
     DeleteDirectory('c:\users\daniel\appdata\local\snarer');
     DeleteDirectory('c:\program files (x86)\baperksulos core');
     DeleteDirectory('c:\program files (x86)\philughgrukis');
     DeleteDirectory('"c:\program files (x86)\mio');
     DeleteDirectory('c:\windows\update\psgo');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Baperksulos Core" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_A29CAD8D33637ACE34FF1D1876C590B6');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_B0401B2798D1C3A88B3ACD7D95767DCF');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_E6C4B8ABCBC5C59F305C56962C00B95C');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_E9A837614744C942D5D83D9ECDCA8BDB');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\3DM\Parameters', 'ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppleAzureSrv\Parameters', 'ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppleNotificationsSrv\Parameters', 'ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Kitty\Parameters', 'ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SNARE\Parameters', 'ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SNARER\Parameters', 'ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters', 'ServiceDll');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сделайте новый лог такой версией Autologger.

    Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    19.04.2017
    Сообщений
    8
    Вес репутации
    26

    Запрошенные логи

    Здравствуйте, спасибо за отзывчивость. В данном вами скрипте я увидел печально знакомые названия: Antanna, Yeahship и проч. Могу к этому списку добавить следующие имена "фальшивых" папок: Moncar, Dohat. Все запрошенное прикрепляю, карантин AVZ загрузил.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Не всё сделали, что просил.

    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

    Сделайте новый лог такой версией Autologger.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    19.04.2017
    Сообщений
    8
    Вес репутации
    26
    Здравствуйте, изивините, но почему-то файла C0 я не нашел и adwcleaner не просил перезагрузиться после очистки, я сам это сделал. Вместо этого в папке появился файл S3. Его прикрепил и последний лог autologger.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Так надо было "Очистка" нажимать после сканирования, выполните, прикрепите AdwCleaner[C0].txt.

    Затем выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('c:\programdata\microsoft\windows\gameexplorer\resources.dll', '');
     QuarantineFile('c:\programdata\package cache\{0c8d9d70-fa5a-4ca9-763f-d8d93bc099b6}v10.1.14393.795\installers\universal_crt_tools_x86-x86_en-us.dll', '');
     QuarantineFile('C:\ProgramData\Microsoft\OneDrive\Uploader.dll', '');
     DeleteFile('c:\programdata\microsoft\windows\gameexplorer\resources.dll', '32');
     DeleteFile('c:\programdata\package cache\{0c8d9d70-fa5a-4ca9-763f-d8d93bc099b6}v10.1.14393.795\installers\universal_crt_tools_x86-x86_en-us.dll', '32');
     DeleteFile('C:\Program Files (x86)\Dohat\Application\chrome.exe', '32');
     DeleteFile('C:\ProgramData\Microsoft\OneDrive\Uploader.dll', '32');
     DeleteFileMask('c:\programdata\microsoft\windows\gameexplorer', '*', true);
     DeleteFileMask('c:\programdata\package cache\{0c8d9d70-fa5a-4ca9-763f-d8d93bc099b6}v10.1.14393.795', '*', true);
     DeleteFileMask('c:\program files (x86)\dohat', '*', true);
     DeleteFileMask('c:\program files (x86)\baperksulos core', '*', true);
     DeleteDirectory('c:\programdata\microsoft\windows\gameexplorer');
     DeleteDirectory('c:\programdata\package cache\{0c8d9d70-fa5a-4ca9-763f-d8d93bc099b6}v10.1.14393.795');
     DeleteDirectory('c:\program files (x86)\dohat');
     DeleteDirectory('c:\program files (x86)\baperksulos core');
     ExecuteFile('schtasks.exe', '/delete /TN "Ckowuchnoteward" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_E59B9E203E688D264837C25A46A4FB89');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\GameExplorerUpdate\Parameters', 'ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\MVCSrv\Parameters', 'ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WindowsOfficeSrv\Parameters', 'ServiceDll');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Файл quarantine.zip отправьте по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    19.04.2017
    Сообщений
    8
    Вес репутации
    26
    Неудобно вас так напрягать, но и в тот раз нажал "Очистка" после "Сканирование". В обоих случаях adwcleaner не потребовал перезагрузки и в его папке не появился файл C0. Остальное пока не делал.

    - - - - -Добавлено - - - - -

    На всякий прикреплю файл AdwCleaner (теперь уже S4). Карантин загрузил, FRST и Addition прикрепляю.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Странно, судя по логам - очистку Вы вообще не делали. Нажимали "Очистка", надеюсь, после завершения сканирования?

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM\...\Providers\k74yju2z: C:\Program Files (x86)\Baperksulos Core\local64spl.dll
    ShellExecuteHooks: No Name - {D3923402-12F3-11E7-B19C-64006A5CFC23} -  -> No File
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX&q={searchTerms}
    HKU\S-1-5-21-2801119319-972907939-4266934886-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX
    HKU\S-1-5-21-2801119319-972907939-4266934886-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX
    SearchScopes: HKLM -> {3AF7279C-7DB1-41CE-ADDA-B853CD173DB1} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
    SearchScopes: HKLM-x32 -> {3AF7279C-7DB1-41CE-ADDA-B853CD173DB1} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
    SearchScopes: HKU\S-1-5-21-2801119319-972907939-4266934886-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2801119319-972907939-4266934886-1001 -> {3AF7279C-7DB1-41CE-ADDA-B853CD173DB1} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
    StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX
    FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.initialpage123.com/?z=37cb1e68c79ec023316fbb5g6z1t1gae7q0q5t6qfz&from=wak&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX&type=hp
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> initialpage123
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> initialpage123
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.initialpage123.com/?z=37cb1e68c79ec023316fbb5g6z1t1gae7q0q5t6qfz&from=wak&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX&type=hp
    FF SearchPlugin: C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\k74yju2z.xml [2017-04-01]
    FF NewTab: Firefox\Firefox\Profiles\nahd6ha2.default -> hxxp://www.initialpage123.com/?z=37cb1e68c79ec023316fbb5g6z1t1gae7q0q5t6qfz&from=wak&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX&type=hp
    FF SelectedSearchEngine: Firefox\Firefox\Profiles\nahd6ha2.default -> initialpage123
    FF Extension: (FF Adr) - C:\Users\Daniel\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-04-06] [not signed]
    FF SearchPlugin: C:\Users\Daniel\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\searchplugins\k74yju2z.xml [2017-04-01]
    FF SearchPlugin: C:\Users\Daniel\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\searchplugins\startsearch.xml [2017-04-21]
    CHR Profile: C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\System Profile [2017-04-10]
    StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX
    HKU\.DEFAULT\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Eastness\Application\chrome.exe <==== ATTENTION
    HKU\S-1-5-21-2801119319-972907939-4266934886-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.) <==== ATTENTION
    HKU\S-1-5-18\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Eastness\Application\chrome.exe <==== ATTENTION
    OPR Extension: (Lucky Bright) - C:\Users\Daniel\AppData\Roaming\Opera Software\Opera Stable\Extensions\pogiioopimdkbinddahohmgcinolabkn [2015-11-21]
    StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492076681&z=dc7f4c8729cb28ed7bc832bg5z4t0o3edm5qaq3bcc&from=che0812&uid=HitachiXHTS547575A9E384_J2140059FAAR9AFAAR9AX
    S2 3DM; C:\windows\system32\svchost.exe [38792 2014-10-29] (Microsoft Corporation)
    S2 3DM; C:\windows\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation)
    S2 WindowsOfficeSrv; C:\WINDOWS\System32\svchost.exe [38792 2014-10-29] (Microsoft Corporation) <==== ATTENTION
    S2 WindowsOfficeSrv; C:\WINDOWS\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation) <==== ATTENTION
    2017-04-21 13:10 - 2017-04-21 13:10 - 00000000 ____D C:\Program Files (x86)\Boxbob
    2017-04-21 13:00 - 2017-04-21 13:08 - 00000000 ____D C:\Program Files (x86)\AlphaGo
    2017-04-20 11:16 - 2017-04-21 13:08 - 00000000 _____ C:\WINDOWS\SysWOW64\22
    2017-04-20 11:16 - 2017-04-21 13:08 - 00000000 _____ C:\WINDOWS\SysWOW64\11
    2017-04-19 14:06 - 2017-04-19 14:06 - 00000000 ____D C:\Users\Daniel\AppData\Local\Dohat
    2017-04-19 09:07 - 2017-04-21 20:08 - 00000000 ____D C:\Users\Daniel\AppData\Local\3DM
    2017-04-14 11:22 - 2017-04-14 11:22 - 00000000 ____D C:\Program Files (x86)\Terela
    2017-04-13 14:16 - 2017-04-13 14:16 - 00000000 ____D C:\Program Files (x86)\MIO
    2017-04-13 12:18 - 2017-04-13 12:18 - 00000000 ____D C:\Users\Daniel\AppData\Local\Yeahship
    2017-04-13 12:16 - 2017-04-21 20:08 - 00000000 ____D C:\Users\Daniel\AppData\Local\Kitty
    2017-04-10 18:19 - 2017-04-10 18:19 - 00000000 ____D C:\Users\Daniel\AppData\Local\Antanna
    2017-04-06 13:09 - 2017-04-06 13:09 - 00000000 ____D C:\Users\Daniel\AppData\Local\Moncar
    2017-04-06 13:08 - 2017-04-06 13:08 - 00000007 _____ C:\WINDOWS\SysWOW64\BC0C.tmp
    2017-04-06 12:58 - 2016-05-23 05:41 - 00055056 _____ (Elex do Brasil Participa&#231;&#245;es Ltda) C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys
    2017-04-06 12:58 - 2016-05-19 09:42 - 00052392 _____ (Elex do Brasil Participa&#231;&#245;es Ltda) C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys
    2017-04-06 12:56 - 2017-04-16 13:27 - 00000000 _____ C:\WINDOWS\SysWOW64\4
    2017-04-06 12:55 - 2017-04-21 20:08 - 00000000 ____D C:\Users\Daniel\AppData\Roaming\WinSAPSvc
    2017-04-06 12:55 - 2017-04-16 13:48 - 00000000 ____D C:\Users\Daniel\AppData\Local\clean
    2017-04-06 12:55 - 2017-04-07 10:45 - 00000000 ____D C:\Users\Daniel\AppData\Roaming\SNARER
    2017-04-06 13:10 - 2017-04-06 13:10 - 00000000 ____D C:\Users\Daniel\AppData\Local\Firefox
    2017-04-06 13:09 - 2017-04-06 13:09 - 00000000 ____D C:\Users\Daniel\AppData\Roaming\Firefox
    2017-04-01 20:16 - 2017-04-01 20:44 - 00000000 ____D C:\Users\Daniel\AppData\Roaming\Anhqaboward
    2017-04-01 20:16 - 2017-04-01 20:18 - 00000000 ____D C:\Users\Daniel\AppData\Local\Bbuentserzpy
    C:\Users\Daniel\setup-x86_64.exe
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mipony
    C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\naweriweentcofise
    Найдена папка: C:\UPDATE\PSGO
    C:\WINDOWS\SysNative\log\iSafeKrnlCall.log
    C:\Users\Леонид\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_ciuvo.com_0.localstorage
    C:\Users\Леонид\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_ciuvo.com_0.localstorage-journal
    C:\Users\Леонид\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_ciuvo.com_0.localstorage
    C:\Users\Леонид\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_ciuvo.com_0.localstorage-journal
    2017-04-06 12:57 - 2017-04-23 16:13 - 00000000 _____ C:\Users\Public\Documents\temp.dat
    2017-04-06 12:57 - 2017-04-21 16:20 - 00000000 _____ C:\Users\Public\Documents\report.dat
    HKU\S-1-5-21-2801119319-972907939-4266934886-1001\...\ChromeHTML: -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.) <==== ATTENTION
    FirewallRules: [{8D70310B-CD26-4A21-9440-2484E623B32B}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
    FirewallRules: [{024D2F80-6B5F-44E7-B031-F1C3C431D805}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
    FirewallRules: [{0D393A69-E8E9-4E13-9AF2-6952DCA02F5C}] => (Allow) C:\Program Files (x86)\MIO\loader\hitachixhts547575a9e384_j2140059faar9afaar9ax.dat
    FirewallRules: [{3F71F806-3EBB-492E-AFD9-0A55EAFB03CB}] => (Allow) C:\Program Files (x86)\MIO\loader\hitachixhts547575a9e384_j2140059faar9afaar9ax.dat
    FirewallRules: [{00A26283-44C5-4F64-9350-8C905F1CED1C}] => (Allow) C:\Program Files (x86)\Boxbob\Application\chrome.exe
    CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E2F7C535-0785-4C2D-B56F-016BFD02B010}" /f /reg:32
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Потом ещё раз попроьуйте очистку в AdwCleaner.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    19.04.2017
    Сообщений
    8
    Вес репутации
    26
    Мне очень стыдно, но в прошлый раз я банально забыл выключить антивирус (я никакого не устанавливал, а о встроенном узнал сегодня).
    Теперь все вышло.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Хм, у меня на 10-ке "Защитник" более настырный, но AdwCleaner не блокирует...
    Проблема решена?
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    19.04.2017
    Сообщений
    8
    Вес репутации
    26
    Для того, чтобы понять, мне нужно подождать где-то сутки, потому что раньше среди дня браузер (если был запущен) внезапно падал, и сразу после этого на рабочем столе появлялись левые ссылки на хром и мозиллу (которую я, в отличие от первого никогда не устанавливал) и то же самое в панели задач. Через сутки я напишу, спасибо за потраченное время!

  14. #13
    Junior Member Репутация
    Регистрация
    19.04.2017
    Сообщений
    8
    Вес репутации
    26
    Добрый вечер. Прошли сутки, браузер к счастью не падал, почти ничего подозрительного не было. Я на всякий случай только что провел сканирование Adwcleaner, он нашел только две папки в AppData: Eastness и Boxbob (очистку нажал, потом последовала перезагрузка, в отчете кроме перечисленного ничего не было). Последнее, что осталось, - это сбитые настройки классов. Например, если в проводнике найти какую-нибудь html страничку и попытаться ее открыть, возникает ошибка "класс не зарегистрирован". Еще, если запустить хром, то в панели задач появляется его нормальный значок, но когда его закрепляешь он меняется на значок белого листка. На сколько я понимаю, это не по вашей части, но любой совет по этим вопросам приму. А в целом, спасибо за помощь, проблема похоже устранена!

    - - - - -Добавлено - - - - -

    Упс. Не совсем. Только что я пытался сменить все-таки значок хрома и увидел, что несмотря на то, что я запускал его из его родной папки (и потом закреплял на панели задач), ярлык указывает в папку карантина FRST на фальшивый chrome.exe в папке Boxbob.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Удалите ярлык, создайте новый, для файла C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    И сделайте его браузером по умолчанию.
    WBR,
    Vadim

  16. #15
    Junior Member Репутация
    Регистрация
    19.04.2017
    Сообщений
    8
    Вес репутации
    26
    А карантин FRST можно просто удалить?

    - - - - -Добавлено - - - - -

    Так. Все. Вроде все вернулось на круги своя. В списке предлагаемых программ для открытия html файлов раньше были какие-то мертвые ярлыки от фальшивой Оперы и гнилого хрома. Ярлык в панели все равно вел себя странно, он открывался не сам, о открывал как бы еще один хром а сам оставался неактивным. Еще были в реестре просто кучи какого-то г.на. Я снес хром. Скачал последний CCleaner. Запустил его на все виды очистки доступные в бесплатной версии. Где-то в три-четыре попытки он очистил все, что было в реестре лишнего. Скачал хром. Установил. Все ок.
    Еще раз большое спасибо!

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 22
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\programdata\package cache\{0c8d9d70-fa5a-4ca9-763f-d8d93bc099b6}v10.1.14393.795\installers\universal_ crt_tools_x86-x86_en-us.dll - not-a-virus:AdWare.Win32.Wajam.aax
      2. c:\users\daniel\appdata\local\kitty\cat.exe - Trojan.Win32.Eroyee.ai
      3. c:\users\daniel\appdata\local\kitty\kitty.dll - Trojan.Win32.Eroyee.ao
      4. c:\users\daniel\appdata\local\snarer\snarer.dll - not-a-virus:AdWare.Win64.Snare.a
      5. c:\users\daniel\appdata\local\3dm\kitty.dll - Trojan.Win32.Eroyee.aj
      6. c:\users\daniel\appdata\roaming\winsapsvc\winsap.d ll - HEUR:Trojan.Win32.Generic


  • Уважаемый(ая) DanielKish, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 05.03.2016, 22:06
    2. Ответов: 13
      Последнее сообщение: 10.12.2015, 22:11
    3. Ответов: 9
      Последнее сообщение: 05.11.2015, 17:36
    4. Ответов: 16
      Последнее сообщение: 30.07.2014, 19:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00021 seconds with 18 queries