Вирус. Браузер
Доброго времени суток! В очередной раз компьютер заражен, после неосторожного обращения со скачанным exe-шным файлом с ФО. Рабочий браузер(Google Chrome) тормозит, открываются новые окна и лезут баннеры рекламные. Пожалуйста, помогите в лечении. Файлы необходимые прилагаю. С уважением, пострадавший.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) laudaxx, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Отключите временно антивирус.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\sancho\appdata\local\yc\application\yc.exe'); TerminateProcessByName('c:\users\sancho\appdata\roaming\microsoft\searchindexer.exe'); QuarantineFile('c:\users\sancho\appdata\local\yc\application\yc.exe', ''); QuarantineFile('c:\users\sancho\appdata\roaming\microsoft\searchindexer.exe', ''); QuarantineFile('C:\Windows\microsoft\svchost.exe', ''); QuarantineFile('C:\Windows\microsoft\svchost.exe.exe', ''); QuarantineFile('C:\WINDOWS\mssecsvc.exe', ''); QuarantineFile('C:\Windows\System32\ihctrl32.dll', ''); QuarantineFile('C:\Windows\system32\winhost.exe', ''); QuarantineFile('C:\Windows\System32\wsaudio.dll', ''); DeleteFile('C:\Program Files\Mail.Ru\Sputnik\mailrusputnik.exe', '32'); DeleteFile('C:\Users\sancho\AppData\Local\yc\Application\62.0.3202.62\chrome.dll', '32'); DeleteFile('C:\Users\sancho\AppData\Local\yc\Application\62.0.3202.62\chrome_child.dll', '32'); DeleteFile('C:\Users\sancho\AppData\Local\yc\Application\62.0.3202.62\chrome_elf.dll', '32'); DeleteFile('C:\Users\sancho\AppData\Local\yc\Application\62.0.3202.62\libegl.dll', '32'); DeleteFile('C:\Users\sancho\AppData\Local\yc\Application\62.0.3202.62\libglesv2.dll', '32'); DeleteFile('c:\users\sancho\appdata\local\yc\application\yc.exe', '32'); DeleteFile('C:\Users\sancho\AppData\Roaming\Mail.Ru\Agent\magent.exe', '32'); DeleteFile('c:\users\sancho\appdata\roaming\microsoft\searchindexer.exe', '32'); DeleteFile('C:\Windows\microsoft\svchost.exe', '32'); DeleteFile('C:\Windows\microsoft\svchost.exe.exe', '32'); DeleteFile('C:\WINDOWS\mssecsvc.exe', '32'); DeleteFile('C:\Windows\System32\ihctrl32.dll', '32'); DeleteFile('C:\Windows\system32\winhost.exe', '32'); DeleteFile('C:\Windows\System32\wsaudio.dll', '32'); DeleteFile('Manager.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "{6C3D256A-531D-4C37-BDC5-61DC82D5C5EF}" /F', 0, 15000, true); DeleteService('mssecsvc2.0'); DeleteFileMask('c:\program files\mail.ru', '*', true); DeleteFileMask('c:\users\sancho\appdata\local\yc', '*', true); DeleteFileMask('c:\users\sancho\appdata\roaming\mail.ru', '*', true); DeleteDirectory('c:\program files\mail.ru'); DeleteDirectory('c:\users\sancho\appdata\local\yc'); DeleteDirectory('c:\users\sancho\appdata\roaming\mail.ru'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Clarus Drive Manager', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eksbrvdwce', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MAgent', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Search Indexer', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wfhroitylx', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ycAutoLaunch_A6AACB2E101C1F98CA9BA78B7A21BB0E', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 151.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.
Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
Вчера я делал это и сейчас при загрузке quarantine.zip система выдала: "Результат загрузки
Ошибка загрузки. Данный файл уже был загружен".... При удалении одной из Jav - ошибка 1723 Что делать дальше?
- - - - -Добавлено - - - - -
C:\AdwCleaner\AdwCleaner[S7].txt
Попробуйте загрузить карантин снова, он теперь должен быть не пустой. Там свежие зловреды. нужны на анализ.
Удалите Java 6 утилитой JavaRa Stable version 2.6.1.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Отчёты
Карантин так и не удалось загрузить?
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: HKU\S-1-5-21-3974331004-1504228598-2743864104-1000\...\MountPoints2: {84c10784-ad92-11e6-bed4-d43d7e9329d7} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\Start.exe Toolbar: HKU\S-1-5-21-3974331004-1504228598-2743864104-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxps://glopart.ru/app/profile/withdrawal","hxxps://www.google.ru/search?num=100&newwindow=1&ei=C_IPWoyBIoee6ATjurHgCg&q=vsl+templates+plus+%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C+%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D0%BE&oq=VSL+TEMPLATES+PLUS+crfxfnm&gs_l=psy-ab.1.0.33i160k1.15528.18032.0.20828.8.8.0.0.0.0.102.728.6j2.8.0....0...1.1.64.psy-ab..0.7.628...33i22i29i30k1j33i21k1.0.jHdYusVHcCI","hxxp://graphicsling.com/vsltemplatespro/dl-vtp-190817/","hxxp://intrsection.com/tag/vsl-plus-pro-download/","hxxps://flashreviewz.com/vsl-plus-pro-review/","hxxps://www.udemy.com/cart/checkout/express/course/630050/?couponCode=17HOLIDAY10","hxxp://telegra.ph/Sozdaem-svoj-pribylnyj-avtoblog-10-06-2","hxxp://openssource.biz/","hxxps://mail.yandex.ru/?uid=68485016&login=ale-kechaev#inbox","hxxp://telegra.ph/Sozdaem-svoj-pribylnyj-avtoblog-11-10","hxxps://www.google.ru/search?num=100&newwindow=1&source=hp&ei=hfAPWrjBOsKY6ATg-7fQDQ&q=clickbank+success+affiliate+marketing+with+free+download&oq=ClickBank+Success%3A+Affiliate+Marketing+With+Free+&gs_l=psy-ab.1.0.33i160k1.1871.1871.0.3782.3.2.0.0.0.0.149.149.0j1.2.0....0...1.2.64.psy-ab..1.2.333.6..35i39k1.184.h_cJoJnaJI0","hxxp://vbogatstve.com/zarabotok-na-igrax-cherez-youtube/","hxxps://www.jvzoo.com/products/topsellers","hxxp://goodmotion.co/discount/","hxxp://mail.ru/cnt/10445?gp=855144" OPR StartupUrls: "hxxp:\/\/granena.ru\/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=429A844D491D28D7258622821131E4B5&utm_d=20160915","hxxps:\/\/www.yandex.ru\/?win=307&clid=2255755-392" OPR Extension: (Quick Searcher) - C:\Users\sancho\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecnphlgnajanjnkcmbpancdjoidceilk [2017-12-05] OPR Extension: (Блокировщик рекламы в социальных сетях) - C:\Users\sancho\AppData\Roaming\Opera Software\Opera Stable\Extensions\kbmbmoljonchdkbjgkioneippcfpnpmp [2016-10-17] OPR Extension: (Teddy Protection Lite) - C:\Users\sancho\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-04-29] S4 ihctrl32; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S4 wsaudio; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S3 4F95F27BB65F55EA; \??\C:\Users\sancho\AppData\Local\Temp\1F7AD694FE.sys [X] S3 4F95F2EA2006B6F6; \??\C:\Users\sancho\AppData\Local\Temp\2FF0C749.sys [X] S2 BstHdDrv; \??\C:\Program Files\BlueStacks\HD-Hypervisor-x86.sys [X] S3 cpuz138; \??\C:\Users\sancho\AppData\Local\Temp\cpuz138\cpuz138_x32.sys [X] S3 MSICDSetup; \??\E:\CDriver.sys [X] U4 noexist360AntiHacker; no ImagePath S3 NTIOLib_1_0_C; \??\E:\NTIOLib.sys [X] S3 RimUsb; System32\Drivers\RimUsb.sys [X] U2 TMAgent; no ImagePath 2017-12-09 15:17 - 2017-12-09 15:17 - 000000000 _____ C:\Windows\system32\REN7936.tmp 2017-12-09 15:17 - 2017-12-09 15:17 - 000000000 _____ C:\Windows\system32\REN7935.tmp 2017-12-09 15:17 - 2017-12-09 15:17 - 000000000 _____ C:\Windows\system32\REN7934.tmp 2017-12-06 21:54 - 2017-12-07 00:31 - 000174653 ____C C:\Users\sancho\AppData\Roaming\f.txt 2017-12-06 21:13 - 2017-12-06 21:13 - 000000000 __HDC C:\ProgramData\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8} 2017-12-06 21:11 - 2017-12-07 13:59 - 000000000 ___DC C:\Users\sancho\AppData\Roaming\1337 2017-12-06 21:11 - 2017-12-06 21:11 - 000000000 __HDC C:\ProgramData\{4FCEED6C-B7D9-405B-A844-C3DBF418BF87} 2017-12-06 19:45 - 2017-12-07 12:01 - 000000000 ___DC C:\Users\sancho\AppData\Roaming\curl 2017-12-03 15:20 - 2017-12-03 15:20 - 000000000 ___DC C:\Users\sancho\AppData\Local\{C1C46F64-CDA0-44F3-B198-D652F918E413} 2017-11-22 17:51 - 2017-11-22 17:51 - 000000000 ___DC C:\Users\sancho\AppData\Local\{0F376500-DFBE-47DE-A1F0-B86761A82BF2} 2017-04-23 16:35 - 2017-04-23 16:35 - 007680000 ____C () C:\Program Files\GUT7D60.tmp 2017-04-23 16:29 - 2017-04-23 16:35 - 007680000 ____C () C:\Program Files\GUT9295.tmp 2017-04-23 16:35 - 2017-04-23 16:35 - 007680000 ____C () C:\Program Files\GUTACAA.tmp Virustotal: C:\Users\sancho\AppData\Roaming\inst.exe 2013-05-31 18:36 - 2015-03-04 14:26 - 000087608 ____C () C:\Users\sancho\AppData\Roaming\inst.exe 2017-12-10 14:05 - 2017-12-10 14:06 - 012052552 ____C (VS Revo Group ) C:\Users\sancho\AppData\Local\Temp\VSUSetup.exe CustomCLSID: HKU\S-1-5-21-3974331004-1504228598-2743864104-1000_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Users\sancho\AppData\Roaming\Mail.Ru\Agent\Mra\dll\mramenu.dll -> No File Task: {28FA7394-2FC2-4721-8686-28582D1EA294} - System32\Tasks\{122997EE-07F3-495C-86CA-E1EBD97BB5A0} => C:\Program Files\Google\Chrome\Application\chrome.exe Task: {65084C18-F48D-47DD-B076-BD740FFC217D} - System32\Tasks\{6F446404-D199-4383-9759-9E94858694DB} => C:\Program Files\Google\Chrome\Application\chrome.exe Task: {698AB6CE-793C-4EC1-9877-2ACCF88E9CEA} - System32\Tasks\{BEC8E672-AC01-4BA0-ADE0-283FCD1D7409} => C:\Program Files\Google\Chrome\Application\chrome.exe Task: {D35CC5D0-5D22-48C6-A07C-C6FE49991ED6} - System32\Tasks\{98385227-9D86-4BDF-8D87-5CD7CC342ECD} => "c:\users\sancho\appdata\local\xpom\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.5.66.158/ru/go/help.faq.installer?LastError=1603 Task: {D917BCBF-A04F-4CE1-A485-DACD1369422D} - System32\Tasks\{48EF6E12-9C7B-49E3-81C4-CDF16A5C08A4} => C:\Program Files\Google\Chrome\Application\chrome.exe Shortcut: C:\Users\sancho\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e2c33d2a110b3a02\Yandex.lnk -> C:\ProgramData\iCrVIvnK\HpNQKFKQNMEnzc1.bat (No File) C:\Users\sancho\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" HKU\S-1-5-21-3974331004-1504228598-2743864104-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION MSCONFIG\startupfolder: C:^Users^sancho^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Schedule.lnk => C:\Windows\pss\Schedule.lnk.Startup MSCONFIG\startupfolder: C:^Users^sancho^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^爱奇艺PPS影音.lnk => C:\Windows\pss\爱奇艺PPS影音.lnk.Startup MSCONFIG\startupreg: 11-20150313-154741 => MSCONFIG\startupreg: eksbrvdwce => MSCONFIG\startupreg: GoogleChromeAutoLaunch_A2424D8172B66DD35E44C9F70782D8BD => "C:\Program Files\Google\Chrome\Application\chrome.exe" --no-startup-window /prefetch:5 MSCONFIG\startupreg: MAgent => MSCONFIG\startupreg: Malwarebytes TrayApp => C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\mbamtray.exe MSCONFIG\startupreg: MyDesktop => MSCONFIG\startupreg: newSI_2 => MSCONFIG\startupreg: pluginupdate => MSCONFIG\startupreg: SearchIndexer => "C:\Users\sancho\AppData\Roaming\SearchIndexer\desktopsearchservice.exe" MSCONFIG\startupreg: Skymonk2 => MSCONFIG\startupreg: wfhroitylx => MSCONFIG\startupreg: ycAutoLaunch_A6AACB2E101C1F98CA9BA78B7A21BB0E => MSCONFIG\startupreg: Zaxar Games Browser => FirewallRules: [{9AB515BF-D2FB-4381-9D16-9FAE57B00CEE}] => (Allow) C:\Program Files\UBar\ubar.exe FirewallRules: [{B3E70FCD-756E-489D-8B42-5FF07E70FBA7}] => (Allow) C:\Program Files\UBar\ubar.exe Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
WBR,
Vadim
Fixlog.txt
- - - - -Добавлено - - - - -
Кэш и cookies-файлы браузеров почистил. Картина не поменялась, лезет реклама https://prnt.sc/hlnhhu на ютубе либо просто на любой стр. https://prnt.sc/hlni7g
- - - - -Добавлено - - - - -
https://prnt.sc/hlnm0l
В Хроме множество расширений по логам, отключите все, если пропадёт реклама - подключайте по одному, проверяйте эффект.
Сообщите результат.
WBR,
Vadim
У меня включены были только friGate CDN и Image Downloader. Выключаю Image Downloader - пропадает реклама, включаю - появляется. Совершенно точно. Единственное напрягло - при отключенных приложениях на яндексе вылез баннер посреди страницы https://prnt.sc/hltya7
- - - - -Добавлено - - - - -
Вот опять на яндексе вылез. Все приложения отключены2017-12-11_101648.png
Если после отключения расширений куки/кэш почистить?
WBR,
Vadim
Всё вроде, почистил, в течении дня никакой гадости больше не наблюдалось.
Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Уважаемый(ая) laudaxx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
