PDA

Показать полную графическую версию : [решено] Вирус самопроизвольно открывает рекламу в браузере


inyourspace
13-04-2017, 16:13
Добрый день. Столкнулся с проблемой, подхватил вирус, который сам открывает браузер и запускает в нем рекламу. Чистил комп программой cureit, та нашла несколько вирусов и удалила их, но проблема осталась. Так же, в автозагрузке нашел программу Zaxar (я так понял вирусняк), но при этом папка на которую эта программа ссылается - удалена, как будто этот "захар" накачал вирусов и позже сам удалился. Прошу вас помочь, спасибо!

Sandor
13-04-2017, 16:33
Здравствуйте!

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

inyourspace
13-04-2017, 17:40
Сделал!

Sandor
14-04-2017, 09:30
Через Панель управления - Удаление программ - удалите нежелательное ПО:

Ultimate-Discounter Browser


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
QuarantineFile('C:\Windows\system32\tasks\bossnewsbizhugosm', '');
ExecuteFile('schtasks.exe', '/delete /TN "bossnewsbizhugosm" /F', 0, 15000, true);
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
DeleteDirectory('c:\program files (x86)\zaxar');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceD ll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zaxar','command');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Скачайте AdwCleaner (by Malwarebytes) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

inyourspace
15-04-2017, 10:29
Готово! После удаления найденных объектов, появился еще один отчет. Высылаю оба.

shestale
15-04-2017, 10:35
Подготовьте логи FRST (http://safezone.cc/threads/17759/)

inyourspace
25-04-2017, 15:41
Прошу прощения за столь долгий ответ, не было возможности пересечься с данным компьютером. Высылаю запрошенные выше логи. Так же, высылаю свежие логи из adwcleaner, так как при проверке сегодня он нашел еще 49 угроз.

Sandor
25-04-2017, 15:59
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (TestTrue mini) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\hjjgjobepeoneoaemimcdkefocoedblg [2017-04-19]
OPR Extension: (TestTrue mini) - C:\Users\Andrey\AppData\Roaming\Opera Software\Opera Stable\Extensions\hjjgjobepeoneoaemimcdkefocoedblg [2017-04-19]
Task: {56DF4C5C-5420-49AF-ADC1-7B70F2A50DB9} - System32\Tasks\notbadnewsnetnexasm => Chrome.exe notbadnews.net/nexasm <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
http://dragokas.com/tools/FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

inyourspace
25-04-2017, 16:13
Готово

Sandor
25-04-2017, 16:21
Что с проблемой?

inyourspace
25-04-2017, 17:50
Огромное спасибо, проблема решена!

Sandor
26-04-2017, 08:32
В завершение:
1. Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.




© OSzone.net 2001-2012