• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Рекламные страницы в google chrome + сторонние программы

Ironvar

Активный пользователь
Сообщения
19
Реакции
0
Баллы
81
Добрый день!

Пожалуйста, помогите разобраться с возникшими проблемами:
  1. В google chrome периодически открываются рекламные вкладки.
  2. Произошла установка настроек от mail.ru: поменялась стартовая страница в google chrome на поиск mail.ru, на рабочем столе появился ярлык "Поиск в интернете" (удален вручную)
  3. В меню пуск в области "закрепленных программ" появился ярлык с адресом C:\Windows\explorer.exe "[Malicious site] utm_content=adbf052057e305ed7ecce74202676864&utm_term=C27321276F9BB751DC0C75686349C079&utm_d=20161230".
  4. В установленных программах появились следующие: urlopener (C:\Users\***\AppData\Roaming\urlopener) и PBot (C:\Users\***\AppData\Roaming\PBot)

Ниже ссылка на результат сканирования, согласно инструкции оформления тем:
CollectionLog-2017.01.09-16.26.zip

Прикрепить логи к посту не удается из-за ошибки "При загрузке файла возникла проблема.". :(

Заранее спасибо за ответы и удачи!
 
Последнее редактирование модератором:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
753
Ниже ссылка на результат сканирования, согласно инструкции оформления тем:
Выложите файл здесь. Ссылка на ваш файл блокируется антивирусом и защитой браузера.
Scan report for http://meson.rghost.ru/download/7X47xHP5k/5820f068bcaeadc63f1f469835b6e0b8c9246f1b/CollectionLog-2017.01.09-16.26.zip at 2017-01-09 14:17:59 UTC - VirusTotal
Прикрепить логи к посту не удается из-за ошибки "При загрузке файла возникла проблема.".
Это какой-то косяк этого форума.
Подождите немного, пока разберутся.
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,193
Реакции
6,232
Баллы
1,003
Здравствуйте.

Настройки Прокси-сервера в настройках IE сами прописали ?:
Код:
https://hcas1.forum.local
ManualProxies = 1pmc-inet.pmc.local:3128
ProxyServer = pmc-inet.pmc.local:3128

1) Удалите программы через "Настройки" - "Программы и компоненты":
Код:
PBot [2016/12/30 12:06:12]-->C:\Users\***\AppData\Roaming\PBot\uninstall.exe
urlopener [2016/12/30 12:06:49]-->C:\Users\***\AppData\Roaming\urlopener\uninstall.exe

2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\***\appdata\local\scriptwriter\scriptwriter.exe');
TerminateProcessByName('C:\Users\***\AppData\Roaming\PBot\python\pythonw.exe');
 QuarantineFile('C:\Users\***\AppData\Roaming\PBot\launchall.py','');
 QuarantineFile('C:\Users\***\AppData\Roaming\MinesweeperApp2\mineApplication2.exe','');
 QuarantineFile('c:\users\***\appdata\local\scriptwriter\scriptwriter.exe','');
 QuarantineFileF('C:\Users\***\AppData\Roaming\PBot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\***\AppData\Roaming\MinesweeperApp2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\***\AppData\Roaming\urlopener', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\***\appdata\local\scriptwriter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 ExecuteFile('schtasks.exe', '/delete /TN "ScriptWriter" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "urlopener" /F', 0, 15000, true);
 DeleteFile('c:\users\***\appdata\local\scriptwriter\scriptwriter.exe','32');
 DeleteFile('C:\Users\***\AppData\Roaming\PBot\launchall.py','32');
 DeleteFile('C:\Users\***\AppData\Roaming\MinesweeperApp2\mineApplication2.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mineApplication');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tncdbfxzls');
 DeleteFileMask('C:\Users\***\AppData\Roaming\PBot','*', true);
 DeleteFileMask('C:\Users\***\AppData\Roaming\MinesweeperApp2','*', true);
 DeleteFileMask('c:\users\***\appdata\local\scriptwriter','*', true);
 DeleteFileMask('C:\Users\***\AppData\Roaming\urlopener','*', true);
 DeleteDirectory('C:\Users\***\AppData\Roaming\PBot');
 DeleteDirectory('C:\Users\***\AppData\Roaming\MinesweeperApp2');
 DeleteDirectory('c:\users\***\appdata\local\scriptwriter');
 DeleteDirectory('C:\Users\***\AppData\Roaming\urlopener');
 ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

3) Подготовьте и приложите к следующему сообщению новый CollectionLog, повторно запустив Autologger.exe.

4) Подготовьте и приложите к следующему сообщению лог AdwCleaner (http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/). Найденные утилитой объекты самостоятельно не удаляйте.

5) Перетащите файл C:\Users\***\Desktop\321\AutoLogger\CheckBrowserLnk\CheckBrowserLnk.log на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Ironvar

Активный пользователь
Сообщения
19
Реакции
0
Баллы
81
Добрый день!

shestale, ниже ссылка на скачивание файлов. К сожалению, так же ошибка, не могу прикреплять файлы.

Kиpилл:

настройки прокси верные
1) удалил через "Настройки" - "Программы и компоненты" указанные программы;
2) выполнил указанный скрипт AVZ, но с включенным антивирусом, к сожалению поздно заметил, сделал перезагрузку. И повторно запустил скрипт, но уже с выключенным антивирусом. В итоге файл quarantine.zip оказался пустым :( Не отсылаю его Вам на анализ;
3) подготовил новый CollectionLog и выгрузил на внешний ресурс, ссылка ниже;
4) подготовил лог AdwCleaner и выгрузил на внешний ресурс, ссылка ниже. Самостоятельно ничего не удалял;
5) подготовил файл ClearLNK и выгрузил на внешний ресурс, ссылка ниже.

Ссылка на скачивание файлов, проверил на VirusTotal(Scan report for http://dropmefiles.com/UJaq0 at 2017-01-10 11:01:23 UTC - VirusTotal):

DropMeFiles – free one-click file sharing service

Всем отвечающим большая благодарность и удачи!
 

Кирилл

Команда форума
Администратор
Сообщения
14,193
Реакции
6,232
Баллы
1,003
1) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyParamDel('HKEY_USERS','S-1-5-21-754687995-1579746219-2587340142-1941\Software\Microsoft\Windows\CurrentVersion\Run','tncdbfxzls');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

2) Перетащите файл C:\Users\***\Desktop\antivir\AutoLogger\CheckBrowserLnk\CheckBrowserLnk.log на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3)
  • Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
Если пользователям Администратор, ZhukovSI нужны Mail.RU и rambler, то по окончанию сканирования оставьте галочки только на следующих строках:
Код:
C:\Users\ZhukovSI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk ( url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008" )
C:\Users\oreshnikovvy\AppData\Roaming\zona
Если не нужны, то поставьте все галочки.
  • Нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.

4) Скачайте FRST (для вашей системы 64-Bit файл) и сохраните на Рабочем столе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Отметьте галочками Shortcut.tx", Addition.txt
  • Нажмите кнопку Scan.
  • После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Пожалуйста, прикрепите все отчеты в следующем сообщении. (Если не помещаются - упакуйте в один архив).
  • Подробнее читайте в http://safezone.cc/threads/kak-podgotovit-log-farbar-recovery-scan-tool.17759/
 

Ironvar

Активный пользователь
Сообщения
19
Реакции
0
Баллы
81
Добрый день!

Нашел решение почему не загружались файлы. Не получается через firefox 50, через internet explorer 11 удается прикрепить файлы к сообщению.

Kиpилл, запрошенные логи во вложении.

Всем отвечающим большая благодарность и удачи!
 

Вложения

  • Addition.txt
    25.9 KB · Просмотры: 2
  • AdwCleaner[C0].txt
    5.1 KB · Просмотры: 2
  • ClearLNK-11.01.2017_09-43.log
    1.2 KB · Просмотры: 2
  • FRST.txt
    22.5 KB · Просмотры: 3
  • Shortcut.txt
    86.4 KB · Просмотры: 2

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
753
1) За последний месяц в Chrome были установлены следующие расширения:
Код:
CHR Extension: (Chrome Web Store Payments) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-10]
CHR Extension: (Chrome Media Router) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-12-08]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-12-08]
если вы не сами установили их, то скопируйте эти строки в основной скрипт выше строки Reboot: .

2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Task: {F76356E9-6674-4D94-94B0-E7097B9A2D13} - \PowerMonitor -> No File <==== ATTENTION
HKLM-x32\...\Run: [] => [X]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
C:\Users\OreshnikovVY\AppData\Local\Temp\jre-8u66-windows-au.exe
C:\Users\OreshnikovVY\AppData\Local\Temp\jre-8u71-windows-au.exe
C:\Users\OreshnikovVY\AppData\Local\Temp\jre-8u77-windows-au.exe
C:\Users\ZhukovSI\AppData\Local\Temp\8CncWLusfJ2h.exe
C:\Users\ZhukovSI\AppData\Local\Temp\B7OhnsNflhDO.exe
C:\Users\ZhukovSI\AppData\Local\Temp\cHVCMlkT19u5.exe
C:\Users\ZhukovSI\AppData\Local\Temp\DAeABavbI9Gk.exe
C:\Users\ZhukovSI\AppData\Local\Temp\dHFldyy3QnqJ.exe
C:\Users\ZhukovSI\AppData\Local\Temp\f68ZESDsmeVz.exe
C:\Users\ZhukovSI\AppData\Local\Temp\gXwczhaKGVta.exe
C:\Users\ZhukovSI\AppData\Local\Temp\HyVK2mtFXqgD.exe
C:\Users\ZhukovSI\AppData\Local\Temp\iPhimA7kwrLD.exe
C:\Users\ZhukovSI\AppData\Local\Temp\KA4NkTFJUUGa.exe
C:\Users\ZhukovSI\AppData\Local\Temp\KbVfEfjLx7Qh.exe
C:\Users\ZhukovSI\AppData\Local\Temp\MjdMKBIkoOb7.exe
C:\Users\ZhukovSI\AppData\Local\Temp\n1gZQxoQBeuI.exe
C:\Users\ZhukovSI\AppData\Local\Temp\O7i4gEnfwwoi.exe
C:\Users\ZhukovSI\AppData\Local\Temp\P4AjGA83XU5V.exe
C:\Users\ZhukovSI\AppData\Local\Temp\sUZoVPQIMTSq.exe
C:\Users\ZhukovSI\AppData\Local\Temp\uql5PZFJwH68.exe
C:\Users\ZhukovSI\AppData\Local\Temp\WHp1ZPmQZb8O.exe
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION

Reboot:
end
и сохраните как fixlist.txt в папку с FRST64.exe. При сохранении выберите кодировку Юникод.
Отключите до перезагрузки антивирус, запустите FRST (через контекстное меню Проводника - "Запуск имени Администратора"), нажмите Fix и подождите. Программа создаст лог-файл Fixlog.txt. Прикрепите его следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

3) Сообщите о наличии проблем.
 

Ironvar

Активный пользователь
Сообщения
19
Реакции
0
Баллы
81
Добрый день!

shestale, запрошенные логи во вложении.

После перезагрузки проблем не было обнаружено. Понаблюдаю за компьютером дополнительно до обеда завтрашнего дня и отпишусь.

Всем отвечающим большая благодарность и удачи!
 

Вложения

  • Fixlog.txt
    5.6 KB · Просмотры: 2

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
753
Пожалуйста, заархивируйте папку C:\FRST\Quarantine, установив пароль virus, и полученный архив отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @ ).
В тексте письма укажите ссылку на данную тему и пароль - virus .
 

Ironvar

Активный пользователь
Сообщения
19
Реакции
0
Баллы
81
Добрый день!

shestale, отправил запрошенные данные на указанную почту.

Всем отвечающим большая благодарность и удачи!
 
Сверху Снизу