Изменены ярлыки браузеров и рекламный редирект

@логин-ник · Регистрация: 30.03.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте!
На днях установил себе вирус.
Из видимых симптомов:
- к ярлыкам запуска всех браузеров дописана ссылка на esurf.biz/[...],
- на некоторых страницах при первом щелчке мыши отправляет на разные рекламные сайты.

Ярлыки почистил, а как решить вторую проблему не знаю и прошу помощи.

@shestale · 10.12.2015, 14:20

Удалите параметры запуска ярлыков.

Подготовьте лог AdwCleaner.

@логин-ник · 10.12.2015, 22:15 **[ТС]**

CleanerLNK исправил 1 ярлык

\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk" -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" -extoff ] (Метод R5-A2) (ОК)

@shestale · 11.12.2015, 07:38

Сообщение от логин-ник

CleanerLNK исправил 1 ярлык

Хорошо. Лог нужно было показать.
+
Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Подготовьте логи Farbar Recovery Scan Tool

@логин-ник · 11.12.2015, 23:54 **[ТС]**

Логи

@shestale · 12.12.2015, 11:42

Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file

start
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.

Проблема решена?

@логин-ник · 13.12.2015, 00:38 **[ТС]**

Кажется, решена.
Премного благодарен!

Добавлено через 47 минут
Нет, я поторопился с выводом. Редирект на рекламу всё ещё иногда выскакивает (например, на этом сайте), просто теперь гораздо реже

@shestale · 13.12.2015, 09:41

Подготовьте лог MBAM.

@логин-ник · 14.12.2015, 00:07 **[ТС]**

лог MBAM прикрепил.
Опережая ответ, хочу сразу задать ещё вопрос: я же могу просто вручную удалить найденное, чтобы заново не запускать сканирование?
PS из всего, что он нашёл, вредоносные только ключ реестра и мб C:\ProgramData\pclunst.exe

@shestale · 14.12.2015, 06:44

Просканировать можно только диск С:\
Удалите в Malwarebytes Anti-Malware

Hijack.AutoConfigURL.ShrtCln, HKU\S-1-5-21-3598923950-1301716262-3809094716-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AutoConfigUrl, http://unstopp.me/wpad.dat?5dc... 5312365425, , [2e6944607a113bfb1dcc738f44c03cc4]
PUP.Optional.PCCleaners, C:\ProgramData\pclunst.exe, , [e9aef9ab65268caa03b521f7bf42cb35],

+
Удалите\отключите все неизвестные вам расширения\дополнения в браузерах.
+
Почистите кэш и куки в браузерах.

Если проблема все еще осталась, тогда проверьте её наличие только в одном каком то браузере или в других тоже.

@логин-ник · 15.12.2015, 00:39 **[ТС]**

На этот раз, кажется, окончательно.
Ещё раз, спасибо!

@shestale · 15.12.2015, 07:14

Вот и хорошо)

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@логин-ник · 15.12.2015, 23:42 **[ТС]**

IE говорит, что уже самая последняя установлена, остальное, вроде не обязательно

SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
WebSite: www.safezone.cc
DateLog: 15.12.2015 23:22:06
Path starting: C:\Users\Руслан\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Руслан
VersionXML: 2.19is-15.12.2015
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 27.10.2015 12:30:14
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [465.7 Гб] Занято: [136.3 Гб] Свободно: [329.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18097 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2015-11-24 15:08:22
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Internet Security (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (включен и обновлен)
Windows Defender (включен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.16.0.0.614
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes Anti-Malware, версия 2.2.0.1024 v.2.2.0.1024
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.13 v.7.13.101 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 20 PPAPI v.20.0.0.228
Adobe Acrobat Reader DC - Russian v.15.009.20079
------------------------------- [ Browser ] -------------------------------
Google Chrome v.47.0.2526.80
Opera Stable 34.0.2036.25 v.34.0.2036.25
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Opera\34.0.2036.25\opera.exe v.34.0.2036.25
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.47.0.2526.80
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 16.0.0\avp.exe v.16.0.0.625
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 16.0.0\avpui.exe v.16.0.0.625
---------------------------- [ UnwantedApps ] -----------------------------
Skype Click to Call v.7.5.0.9082 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
----------------------------- [ End of Log ] ------------------------------

@shestale · 16.12.2015, 07:46

Рекомендации после удаления вредоносного ПО

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	10.12.2015, 14:20	2
	Удалите параметры запуска ярлыков. Подготовьте лог AdwCleaner. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	11.12.2015, 07:38	4
	Сообщение от логин-ник CleanerLNK исправил 1 ярлык Хорошо. Лог нужно было показать. + Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. + Подготовьте логи Farbar Recovery Scan Tool 0

@логин-ник 1 / 1 / 3 Регистрация: 30.03.2015 Сообщений: 38
	13.12.2015, 00:38 [ТС]	7
	Кажется, решена. Премного благодарен! Добавлено через 47 минут Нет, я поторопился с выводом. Редирект на рекламу всё ещё иногда выскакивает (например, на этом сайте), просто теперь гораздо реже 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	13.12.2015, 09:41	8
	Подготовьте лог MBAM. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	14.12.2015, 06:44	10
	Сообщение было отмечено логин-ник как решение Решение Просканировать можно только диск С:\ Удалите в Malwarebytes Anti-Malware Hijack.AutoConfigURL.ShrtCln, HKU\S-1-5-21-3598923950-1301716262-3809094716-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\|AutoConfigUrl, http://unstopp.me/wpad.dat?5dc... 5312365425, , [2e6944607a113bfb1dcc738f44c03cc4] PUP.Optional.PCCleaners, C:\ProgramData\pclunst.exe, , [e9aef9ab65268caa03b521f7bf42cb35], + Удалите\отключите все неизвестные вам расширения\дополнения в браузерах. + Почистите кэш и куки в браузерах. Если проблема все еще осталась, тогда проверьте её наличие только в одном каком то браузере или в других тоже. 1

@логин-ник 1 / 1 / 3 Регистрация: 30.03.2015 Сообщений: 38
	15.12.2015, 00:39 [ТС]	11
	На этот раз, кажется, окончательно. Ещё раз, спасибо! 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	15.12.2015, 07:14	12
	Вот и хорошо) Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам. 0

@логин-ник 1 / 1 / 3 Регистрация: 30.03.2015 Сообщений: 38
	15.12.2015, 23:42 [ТС]	13
	IE говорит, что уже самая последняя установлена, остальное, вроде не обязательно SecurityCheck by glax24 v.1.4.0.32 [01.11.15] WebSite: www.safezone.cc DateLog: 15.12.2015 23:22:06 Path starting: C:\Users\Руслан\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Руслан VersionXML: 2.19is-15.12.2015 ___________________________________________________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 27.10.2015 12:30:14 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [465.7 Гб] Занято: [136.3 Гб] Свободно: [329.4 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.18097 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Дата установки обновлений: 2015-11-24 15:08:22 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает ---------------------------- [ Antivirus_WMI ] ---------------------------- Kaspersky Internet Security (включен и обновлен) ---------------------------- [ Firewall_WMI ] ----------------------------- Kaspersky Internet Security (включен) --------------------------- [ AntiSpyware_WMI ] --------------------------- Kaspersky Internet Security (включен и обновлен) Windows Defender (включен и устарел) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Kaspersky Internet Security v.16.0.0.614 -------------------------- [ SecurityUtilities ] -------------------------- Malwarebytes Anti-Malware, версия 2.2.0.1024 v.2.2.0.1024 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.13 v.7.13.101 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 20 PPAPI v.20.0.0.228 Adobe Acrobat Reader DC - Russian v.15.009.20079 ------------------------------- [ Browser ] ------------------------------- Google Chrome v.47.0.2526.80 Opera Stable 34.0.2036.25 v.34.0.2036.25 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Opera\34.0.2036.25\opera.exe v.34.0.2036.25 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.47.0.2526.80 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 16.0.0\avp.exe v.16.0.0.625 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 16.0.0\avpui.exe v.16.0.0.625 ---------------------------- [ UnwantedApps ] ----------------------------- Skype Click to Call v.7.5.0.9082 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. ----------------------------- [ End of Log ] ------------------------------ 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	16.12.2015, 07:46	14
	Рекомендации после удаления вредоносного ПО 1

Изменены ярлыки браузеров и рекламный редирект

Решение