Решена Вирус открывает вкладки(Вулкан) в браузере и всплывающая реклама в ВК

Тема в разделе "Лечение компьютерных вирусов", создана пользователем dagr, 1 дек 2015.

Статус темы:
Закрыта.
  1. dagr
    Оффлайн

    dagr Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    При открытии Оперы открывается автоматически окно с рекламой Вулкан, так же появляется всплывающая реклама в ВК, через некоторое время в браузере открывает вкладку с Вулканом, иногда подменяет переход по ссылке ссылкой на вулкан.
     

    Вложения:

  2. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
    Код (Text):

    begin
     TerminateProcessByName('c:\users\Перун\appdata\local\gmsd_ru_005010161\upgmsd_ru_005010161.exe');
     TerminateProcessByName('c:\program files (x86)\manager\manager.exe');
     TerminateProcessByName('c:\program files (x86)\1f7974a0-1448804936-11d9-876e-f46d045fbd50\knsx6222.tmp');
     TerminateProcessByName('c:\program files (x86)\1f7974a0-1448804936-11d9-876e-f46d045fbd50\jnsw7b83.tmp');
     TerminateProcessByName('c:\program files (x86)\1f7974a0-1448804936-11d9-876e-f46d045fbd50\hnsr9a2c.tmp');
     TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010161\gmsd_ru_005010161.exe');
     TerminateProcessByName('c:\users\Перун\appdata\roaming\daemon2.exe');
     TerminateProcessByName('C:\Program Files\Content Defender\ContentDefender.exe');
     QuarantineFile('C:\Users\Перун\AppData\Roaming\ASPackage\ASPackage.exe', '');
     QuarantineFile('C:\Windows\system32\drivers\contentdefenderdrv.sys', '');
     QuarantineFile('c:\users\Перун\appdata\local\gmsd_ru_005010161\upgmsd_ru_005010161.exe', '');
     QuarantineFile('c:\program files (x86)\manager\manager.exe', '');
     QuarantineFile('c:\program files (x86)\1f7974a0-1448804936-11d9-876e-f46d045fbd50\knsx6222.tmp', '');
     QuarantineFile('c:\program files (x86)\1f7974a0-1448804936-11d9-876e-f46d045fbd50\jnsw7b83.tmp', '');
     QuarantineFile('c:\program files (x86)\1f7974a0-1448804936-11d9-876e-f46d045fbd50\hnsr9a2c.tmp', '');
     QuarantineFile('c:\program files (x86)\gmsd_ru_005010161\gmsd_ru_005010161.exe', '');
     QuarantineFile('c:\users\Перун\appdata\roaming\daemon2.exe', '');
     QuarantineFile('C:\Program Files\Content Defender\ContentDefender.exe', '');
     DeleteFile('C:\Program Files\Content Defender\ContentDefender.exe', '32');
     DeleteFile('c:\users\Перун\appdata\roaming\daemon2.exe', '32');
     DeleteFile('c:\program files (x86)\1f7974a0-1448804936-11d9-876e-f46d045fbd50\hnsr9a2c.tmp', '32');
     DeleteFile('c:\program files (x86)\1f7974a0-1448804936-11d9-876e-f46d045fbd50\jnsw7b83.tmp', '32');
     DeleteFile('c:\program files (x86)\1f7974a0-1448804936-11d9-876e-f46d045fbd50\knsx6222.tmp', '32');
     DeleteFile('c:\program files (x86)\manager\manager.exe', '32');
     DeleteFile('C:\Windows\system32\drivers\contentdefenderdrv.sys', '32');
     DeleteFile('C:\Program Files (x86)\gmsd_ru_005010161\gmsd_ru_005010161.exe', '32');
     DeleteFile('C:\Users\Перун\AppData\Local\gmsd_ru_005010161\upgmsd_ru_005010161.exe', '32');
     DeleteFile('C:\Users\Перун\AppData\Roaming\ASPackage\ASPackage.exe', '32');
     DeleteService('juhqoykm');
     DeleteService('contentdefenderdrv');
     DeleteFileMask('C:\Users\Перун\AppData\Roaming\ASPackage', '*', true);
     DeleteFileMask('C:\Users\Перун\AppData\Local\gmsd_ru_005010161', '*', true);
     DeleteFileMask('c:\program files (x86)\1f7974a0-1448804936-11d9-876e-f46d045fbd50', '*', true);
     DeleteFileMask('C:\Program Files\Content Defender', '*', true);
     DeleteFileMask('c:\program files (x86)\manager', '*', true);
     DeleteFileMask('C:\ProgramData\OtIdpvb', '*', true);
     DeleteFileMask('C:\ProgramData\EBgobrimMj', '*', true);
     DeleteFileMask('C:\ProgramData\OJhkXaHdXvnTCXU', '*', true);
     DeleteDirectory('C:\Users\Перун\AppData\Roaming\ASPackage');
     DeleteDirectory('C:\Users\Перун\AppData\Local\gmsd_ru_005010161');
     DeleteDirectory('c:\program files (x86)\1f7974a0-1448804936-11d9-876e-f46d045fbd50');
     DeleteDirectory('C:\Program Files\Content Defender');
     DeleteDirectory('c:\program files (x86)\manager');
     DeleteDirectory('C:\ProgramData\OtIdpvb');
     DeleteDirectory('C:\ProgramData\EBgobrimMj');
     DeleteDirectory('C:\ProgramData\OJhkXaHdXvnTCXU');
     ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_Перун" /F', 0, 15000, true);
    ExecuteSysClean;
     ExecuteRepair(10);
     ExecuteRepair(9);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.
     
  3. dagr
    Оффлайн

    dagr Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Скрипты выполнил.
    файл C:\AdwCleaner\AdwCleaner[S1].txt не нашел прикреплю на всякий случай файл, который выдала программа в конце сканирования.

    Все вроде работает правильно, без всплывающих окон и открывания вкладок.
    Куллер перестал гудеть сильно.
     

    Вложения:

    Последнее редактирование: 1 дек 2015
  4. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    Это сделайте и новый лог прикрепите.
     
  5. dagr
    Оффлайн

    dagr Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Готово.
     

    Вложения:

  6. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    Отключите до перезагрузки все экраны Avast.
    Перетащите последний лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    Выполните скрипт в AVZ:
    Код (Text):
    begin
    TerminateProcessByName('c:\users\Перун\appdata\local\1f7974a0-1448981168-11d9-876e-f46d045fbd50\qnsu42fc.tmp');
    QuarantineFile('c:\users\Перун\appdata\local\1f7974a0-1448981168-11d9-876e-f46d045fbd50\qnsu42fc.tmp','');
    DeleteFile('c:\users\Перун\appdata\local\1f7974a0-1448981168-11d9-876e-f46d045fbd50\qnsu42fc.tmp','32');
    DeleteFileMask('c:\users\Перун\appdata\local\1f7974a0-1448981168-11d9-876e-f46d045fbd50','*',true);
    DeleteDirectory('c:\users\Перун\appdata\local\1f7974a0-1448981168-11d9-876e-f46d045fbd50');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки выполните в AVZ скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    и отправьте файл quarantine.zip аналогично предыдущему разу.

    Сделайте лог Farbar Recovery Scan Tool.
     
  7. dagr
    Оффлайн

    dagr Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Сделано.
     

    Вложения:

  8. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    Не надо карантин во вложения, даже пустой!


    Выполните скрипт в Farbar Recovery Scan Tool:
    Код (Text):

    CreateRestorePoint:
    () C:\Users\Перун\AppData\Local\1F7974A0-1448988383-11D9-876E-F46D045FBD50\qnsj5B8D.tmp
    CloseProcesses:
    HKLM-x32\...\Run: [gmsd_ru_005010162] => [X]
    HKLM\...\Winlogon: [Shell] C:\WINDOWS\EXPLORER.EXE [2872320 2010-11-21] (Microsoft Corporation)
    HKU\S-1-5-21-3510949189-3876553663-2544431871-1000\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-3510949189-3876553663-2544431871-1000\...\Run: [MAgent] => C:\Users\Перун\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
    OPR Extension: (AdBlock) - C:\Users\Перун\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2015-11-30]
    OPR Extension: (Translator) - C:\Users\Перун\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnbpedcoekjafichoehopgaaldogogch [2015-11-30]
    R2 hidekoqe; C:\Users\Перун\AppData\Local\1F7974A0-1448988383-11D9-876E-F46D045FBD50\qnsj5B8D.tmp [142336 2015-10-13] () [File not signed]
    2015-12-01 16:46 - 2015-12-01 16:46 - 00000000 ____D C:\Users\Перун\AppData\Local\1F7974A0-1448988383-11D9-876E-F46D045FBD50
    2015-12-01 13:05 - 2015-12-01 13:05 - 00000000 ____D C:\Users\Перун\AppData\Local\gamesdesktop
    2015-11-29 17:49 - 2015-11-29 17:49 - 00000176 _____ C:\Users\Перун\Desktop\Искать в Интернете.url
    2015-11-29 17:49 - 2014-09-16 22:11 - 00000854 _____ C:\Windows\system32\Drivers\etc\hp.bak
    2015-11-29 17:44 - 2015-11-29 17:44 - 04014552 ____R () C:\Users\Перун\Downloads\2FB1.tmp
    2015-09-29 18:37 - 2015-09-29 18:37 - 0000000 _____ () C:\Users\Перун\AppData\Local\{313C0920-8AA7-4236-BDBA-896EDCA2EF65}
    Task: {1417FABD-0FAE-441B-9834-58B53F68413F} - \{478C931F-77D8-445A-AE54-BAC5CF389333} -> No File <==== ATTENTION
    Task: {BD170AE4-844E-4FD5-9182-A19ED761E191} - \{C96BA36E-6D7B-4D82-911E-37FFF741ED34} -> No File <==== ATTENTION
    C:\Users\Перун\Desktop\Mail.Ru Агент.lnk
    C:\Users\Перун\AppData\Roaming\Microsoft\Windows\Start Menu\Mail.Ru Агент.lnk
    C:\Users\Перун\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
    C:\Users\Перун\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru Агент.lnk
    C:\Users\Перун\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mail.Ru Агент.lnk
    C:\Users\Перун\AppData\Roaming\IObit\Advanced SystemCare V8\Startup Manager\Shortcut\Mail.Ru Cloud.lnk
    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater" /f
    EmptyTemp:
    Reboot:
     
     
Статус темы:
Закрыта.

Поделиться этой страницей