Adware akisho win10

@okenhate · Регистрация: 21.08.2017

Author24 — интернет-сервис помощи студентам

Приветствую!

С регулярной периодичностью на компьютере открывались окна браузера с рекламой и трекинговым доменом akisho.ru. После удаления нескольких файлов, вместо рекламы начали выпадать системные ошибки вида "Windows Script Host" C:\Users\*\AppData\Local\ImmediateHelp\regCheck.vbs и ещё несколько подобных с разными финальными папками, генерящимися, видимо, рандомно.

Autologger в нескольких версиях не сработал, прикрепляю отчет uVS.

Заранее благодарен!

@okenhate · 23.08.2017, 14:51 **[ТС]**

День добрый!

Вирус продолжает работать. Помогите, пожалуйста.

@thyrex · 23.08.2017, 17:46

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@okenhate · 23.08.2017, 18:58 **[ТС]**

Спасибо! Отчет во вложении.

@thyrex · 23.08.2017, 19:15

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
HKLM\...\Policies\Explorer\Run: [TestMenu] => C:\Users\Елена\AppData\Local\TestMenu\regCheck.vbs www.testmenu.xyz
HKLM\...\Policies\Explorer\Run: [ImmediateHelp] => C:\Users\Елена\AppData\Local\ImmediateHelp\regCheck.vbs www.2road.xyz
HKU\S-1-5-21-3205913146-3055336827-3582905683-1001\...\Policies\Explorer\Run: [LastNews] => C:\Users\Елена\AppData\Local\LastNews\regCheck.vbs www.snowyear.xyz
HKU\S-1-5-21-3205913146-3055336827-3582905683-1001\...\Policies\Explorer\Run: [ValidateLife] => C:\Users\Елена\AppData\Local\ValidateLife\regCheck.vbs www.hitopup.xyz
Startup: C:\Users\Елена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regCheck.lnk [2016-09-26]
ShortcutTarget: regCheck.lnk -> C:\Users\Елена\AppData\Local\rightchose\regCheck.vbs ()
2016-09-23 20:37 - 2016-09-23 20:37 - 000000279 _____ () C:\Users\Елена\AppData\Local\expand.ini
C:\Users\Елена\AppData\Local\TestMenu
C:\Users\Елена\AppData\Local\ImmediateHelp
C:\Users\Елена\AppData\Local\LastNews
C:\Users\Елена\AppData\Local\ValidateLife
C:\Users\Елена\AppData\Local\rightchose
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

@okenhate · 23.08.2017, 19:26 **[ТС]**

Готово!

@thyrex · 23.08.2017, 20:19

Проблема решена?

@okenhate · 23.08.2017, 20:37 **[ТС]**

Пока ни одного открытия не было.
Спасибо!

@thyrex · 23.08.2017, 21:33

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Скопируйте содержимое файла в свое следующее сообщение.

@okenhate · 25.08.2017, 10:39 **[ТС]**

SecurityCheck by glax24 & Severnyj v.1.4.0.52 [25.07.17]
WebSite: www.safezone.cc
DateLog: 25.08.2017 10:37:15
Path starting: C:\Users\Елена\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Елена
VersionXML: 4.57is-21.08.2017
___________________________________________________________________________

Windows 10(6.3.15063) (x64) Core Версия: 1703 Lang: Russian(0419)
Дата установки ОС: 23.08.2017 15:43:26
Статус лицензии: Windows(R), Core edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe)
Системный диск: C: ФС: [NTFS] Емкость: [68.6 Гб] Занято: [56.3 Гб] Свободно: [12.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.540.15063.0 [+]
Контроль учётных записей пользователя включен
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Восстановление системы отключено
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Free (включен и обновлен)
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Free (включен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Free v.16.0.1.445
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.39 v.7.39.102
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Yandex v.17.7.1.725
--------------------------- [ RunningProcess ] ----------------------------
C:\Users\Елена\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.17.7.1.725
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 16.0.1 (AVP16.0.1) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 16.0.1\avp.exe v.16.0.1.445
klvssbrigde64 (klvssbrigde64) - Служба остановлена
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 16.0.1\avpui.exe v.16.0.1.527
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.11.15063.0
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe v.3.12.0.38
Mail.Ru Update Service (mrupdsrv) - Служба работает
C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe v.3.12.0.10
----------------------------- [ End of Log ] ------------------------------

@thyrex · 26.08.2017, 12:20

Служба автоматического обновления программ удалите через Установку программ + Рекомендации после удаления вредоносного ПО

@okenhate · 28.08.2017, 14:12 **[ТС]**

Спасибо!

@okenhate 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 7
	23.08.2017, 14:51 [ТС]	2
	День добрый! Вирус продолжает работать. Помогите, пожалуйста. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	23.08.2017, 17:46	3
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	23.08.2017, 20:19	7
	Проблема решена? 0

@okenhate 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 7
	23.08.2017, 20:37 [ТС]	8
	Пока ни одного открытия не было. Спасибо! 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	23.08.2017, 21:33	9
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Скопируйте содержимое файла в свое следующее сообщение. 0

@okenhate 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 7
	25.08.2017, 10:39 [ТС]	10
	SecurityCheck by glax24 & Severnyj v.1.4.0.52 [25.07.17] WebSite: www.safezone.cc DateLog: 25.08.2017 10:37:15 Path starting: C:\Users\Елена\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Елена VersionXML: 4.57is-21.08.2017 ___________________________________________________________________________ Windows 10(6.3.15063) (x64) Core Версия: 1703 Lang: Russian(0419) Дата установки ОС: 23.08.2017 15:43:26 Статус лицензии: Windows(R), Core edition Windows находится в режиме уведомления Режим загрузки: Normal Браузер по умолчанию: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe) Системный диск: C: ФС: [NTFS] Емкость: [68.6 Гб] Занято: [56.3 Гб] Свободно: [12.3 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.540.15063.0 [+] Контроль учётных записей пользователя включен Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена Восстановление системы отключено ---------------------------- [ Antivirus_WMI ] ---------------------------- Kaspersky Free (включен и обновлен) Windows Defender (выключен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Kaspersky Free (включен и обновлен) Windows Defender (выключен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Kaspersky Free v.16.0.1.445 --------------------------------- [ IM ] ---------------------------------- Skype™ 7.39 v.7.39.102 --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. ------------------------------- [ Browser ] ------------------------------- Yandex v.17.7.1.725 --------------------------- [ RunningProcess ] ---------------------------- C:\Users\Елена\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.17.7.1.725 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Kaspersky Anti-Virus Service 16.0.1 (AVP16.0.1) - Служба работает C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 16.0.1\avp.exe v.16.0.1.445 klvssbrigde64 (klvssbrigde64) - Служба остановлена C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 16.0.1\avpui.exe v.16.0.1.527 C:\Program Files\Windows Defender\MSASCuiL.exe v.4.11.15063.0 Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена ---------------------------- [ UnwantedApps ] ----------------------------- Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe v.3.12.0.38 Mail.Ru Update Service (mrupdsrv) - Служба работает C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe v.3.12.0.10 ----------------------------- [ End of Log ] ------------------------------ 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	26.08.2017, 12:20	11
	Служба автоматического обновления программ удалите через Установку программ + Рекомендации после удаления вредоносного ПО 0

@okenhate 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 7
	28.08.2017, 14:12 [ТС]	12
	Спасибо! 0