Решена adware от mail

Статус
В этой теме нельзя размещать новые ответы.

puertorikanez

Постоянный участник
Сообщения
189
Реакции
18
Захаров удалил, от майла поиск удалил, не удалилось - Ultimate-Discounter Browser, осталось открытие левых страниц самостоятельно
 

Вложения

  • CollectionLog-2017.02.25-20.23.zip
    104.4 KB · Просмотры: 5
  • AdwCleaner[C2].txt
    4.1 KB · Просмотры: 4
  • AdwCleaner[S1].txt
    4.2 KB · Просмотры: 2
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\ultimate-discounter browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files\ultimate-discounter browser\udservice.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
 DeleteFile('c:\program files\ultimate-discounter browser\udservice.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files\ultimate-discounter browser', '*', true);
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\program files\ultimate-discounter browser');
 DeleteDirectory('c:\program files\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
 DeleteService('Coupons Browser Update Service');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте логи Farbar Recovery Scan Tool
 
Последнее редактирование:
Карантин отправил с помощью формы, логи прикрепил
 

Вложения

  • ClearLNK-26.02.2017_12-26.log
    1.8 KB · Просмотры: 1
  • Addition.txt
    50.3 KB · Просмотры: 3
  • FRST.txt
    34.8 KB · Просмотры: 2
  • Shortcut.txt
    7.2 KB · Просмотры: 0
в планировщике задач появились записи на запуск яндекс браузера "C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" с параметром "waycnews.com/bymonsm"
каждые 33 минуты наверное он и запускал яндекс с рекламой
 

Вложения

  • Fixlog.txt
    1.2 KB · Просмотры: 1
не удалял, просто отключил задачу в планировщике
если есть что проверить, давайте проверим
а так проблема решена
 
если есть что проверить, давайте проверим
Имел ввиду, что вы потестируете какое-то время)))
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 
сам яндекс заблокировал эту ссылку, вчера он загрузился несколько раз с ней, потом в яндеке выскочило сообщение что то типа открыть страницу яндекс, и потом только каждые 33 минуты запускался яндекс браузер без рекламы и посторонних ссылок
SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 26.02.2017 14:54:08
Path starting: C:\Users\1\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: 1
VersionXML: 3.53s-23.11.2016
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x86) HomeBasic Lang: Russian(0419)
Дата установки ОС: 26.07.2011 16:49:33
Статус лицензии: Windows(R) 7, HomeBasic edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
Системный диск: C: ФС: [NTFS] Емкость: [50 Гб] Занято: [43.7 Гб] Свободно: [6.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18537 [+]
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2017-02-25 22:48:07
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.7015.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Avast Antivirus (выключен и устарел)
---------------------------- [ Firewall_WMI ] -----------------------------
Avast Antivirus (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
Avast Antivirus (выключен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Internet Security v.17.1.2286
Norton Online Backup v.2.10.3.20
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer 11 v.11.0.66695
VLC media player v.2.2.4
WinRAR 4.00 beta 2 (32-bit) v.4.00.2 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50901.0
TeamViewer 11 (TeamViewer) - Служба работает
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.32 v.7.32.104 [+]
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.3.1.29963 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 ActiveX v.24.0.0.186 [+]
Adobe Flash Player 23 NPAPI v.23.0.0.162 Внимание! Скачать обновления
Adobe Flash Player 24 PPAPI v.24.0.0.221 [+]
Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
Adobe Reader 9.4.6 - Russian v.9.4.6 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Tor Browser 5.5.8 v.5.5.8 Внимание! Скачать обновления
Yandex v.17.1.1.1003 [+]
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mail v.15.4.3502.0922
„Windows Live Mail“ v.15.4.3502.0922
Почта Windows Live v.15.4.3502.0922
--------------------------- [ RunningProcess ] ----------------------------
C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.17.1.1.1003
C:\Обход торрентов\Tor\tor.exe v.0.0.0.0
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avast Antivirus (avast! Antivirus) - Служба работает
C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.17.1.3394.0
C:\Program Files\AVAST Software\Avast\avastui.exe v.17.1.3394.46
C:\Program Files\AVAST Software\Avast\afwServ.exe v.17.1.3394.0
Avast Firewall Service (avast! Firewall) - Служба работает
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------
 
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Это необходимо исправить обязательно, иначе мы вам к нам абонемент будем выписывать. Остальное желательно пофиксить.

Тему можно отмечать решенной?
 
потом в яндеке выскочило сообщение что то типа открыть страницу яндекс, и потом только каждые 33 минуты запускался яндекс браузер без рекламы и посторонних ссылок
Да уж, яндекс славится своей навязчивостью, вот и браузер их тоже.
+
Рекомендации после лечения
 
Последнее редактирование:
Это необходимо исправить обязательно, иначе мы вам к нам абонемент будем выписывать. Остальное желательно пофиксить.

Тему можно отмечать решенной?

в этот раз попался.. а так стараюсь смотреть что и куда, но амиго не подцепил))
тему закрывайте, спасибо
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу