Всплывающая реклама при подключении зарядного устройства. bltopn.com/hohoj

@Trevorbrou · Регистрация: 02.01.2018

Здравствуйте, надеюсь на вашу помощь в решении этой проблемы.
Стоило отлучиться от ноута, как крестник, либо закачал амиго, либо через веб плеер подцепил. Каким то боком, умудрился подхватить такой вирусняк.
При загрузке виндовс появляется кмд строка с надписями "успех" и тд, что то подобное со словами трансфер. как я догадываюсь создается какая то ложная задача, которая наверное програмирует себя, запускать в браузере, как расписание.
А когда подключаешь зарядное устройство, сам ноут стал работать медленее, и в браузере появляется всплыващее окно, которое всегда редиректит на сайты, от главенствующего названия bltopn.com/hohoj.

@Trevorbrou · 02.01.2018, 06:55 **[ТС]**

Собрал логи. Галочки напротив своих дисков не ставил, просто в автоматике запустил автологгер и отправляю архив вам.

@thyrex · 02.01.2018, 11:07

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Users\Ярослав\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe');
 QuarantineFile('C:\Users\Ярослав\AppData\Roaming\uyajaydy.bat','');
 QuarantineFile('C:\WINDOWS\KYiAFXgNufa.exe','');
 QuarantineFile('C:\Users\Ярослав\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe','');
 QuarantineFile('C:\Users\Ярослав\kQoQA.bat','');
 DeleteFile('C:\Users\Ярослав\kQoQA.bat','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\kYnHOOyY','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\IcISYHMOiTIi','64');
 DeleteFile('C:\Users\Ярослав\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\App Explorer','64');
 DeleteFile('C:\WINDOWS\KYiAFXgNufa.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\QNPEo','64');
 DeleteFile('C:\Users\Ярослав\AppData\Roaming\uyajaydy.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

@Trevorbrou · 02.01.2018, 14:47 **[ТС]**

Скрипт, 1 и 2-ой в avz выполнил. Прикрепил новые логи. Почему то в карантине архив пустой, так и должно быть, или пока не обнаружилось?

@thyrex · 02.01.2018, 15:37

Скачайте Farbar Recovery Scan Tool [img]https://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]https://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@Trevorbrou · 02.01.2018, 16:13 **[ТС]**

Просканировал. Вот архив. Сейчас даже подключил зарядку, сразу соответственно реклама вылезала.

@thyrex · 02.01.2018, 16:36

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
FF Extension: (VK Universal Downloader) - C:\Users\Ярослав\AppData\Roaming\Mozilla\Firefox\Profiles\ylwolfoj.default\Extensions\@vkmad.xpi [2017-12-31]
FF Extension: (__MSG_appName__) - C:\Users\Ярослав\AppData\Roaming\Mozilla\Firefox\Profiles\ylwolfoj.default\Extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}.xpi [2017-10-24]
OPR Extension: (ScriptGate) - C:\Users\Ярослав\AppData\Roaming\Opera Software\Opera Stable\Extensions\eeocknbjpmfgaclencnfjfkklmmfmiie [2018-01-01]
OPR Extension: (Rutube) - C:\Users\Ярослав\AppData\Roaming\Opera Software\Opera Stable\Extensions\pfmlgdpgagephflfijfmhjckammbifgk [2018-01-01]
2018-01-01 17:56 - 2018-01-01 17:56 - 000000001 _____ C:\Users\Ярослав\AppData\Local\WMI.ini
2018-01-01 17:56 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Program Files (x86)\biBUAIoi.exe
2018-01-01 17:56 - 2017-09-29 16:42 - 000001181 _____ C:\WINDOWS\SysWOW64\djFquad
2018-01-01 17:56 - 2017-09-29 16:42 - 000001107 _____ C:\Program Files (x86)\EoQugYYzVoW
2018-01-01 17:56 - 2017-09-29 16:42 - 000000064 _____ C:\Users\Ярослав\AppData\Roaming\uyajaydy
2018-01-01 17:56 - 2017-09-29 16:42 - 000000057 _____ C:\Users\Ярослав\kQoQA
2017-12-31 21:49 - 2018-01-01 18:39 - 000000000 ____D C:\Users\Ярослав\AppData\Local\Amigo
2018-01-02 05:11 - 2017-08-01 18:41 - 000000000 ____D C:\Users\Ярослав\AppData\Local\Host App Service
2017-09-29 16:42 - 2017-09-29 16:42 - 000000057 _____ () C:\Users\Ярослав\kQoQA.bat
2018-01-01 17:56 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Program Files (x86)\biBUAIoi.exe
2018-01-01 17:56 - 2017-09-29 16:42 - 000001107 _____ () C:\Program Files (x86)\EoQugYYzVoW
2017-09-29 16:42 - 2017-09-29 16:42 - 000001107 _____ () C:\Program Files (x86)\EoQugYYzVoW.bat
2018-01-01 17:56 - 2017-09-29 16:42 - 000000064 _____ () C:\Users\Ярослав\AppData\Roaming\uyajaydy
2017-09-29 16:42 - 2017-09-29 16:42 - 000000064 _____ () C:\Users\Ярослав\AppData\Roaming\uyajaydy.bat
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
Task: {12B93A39-889B-4A63-A81A-0BE19B99FAE6} - System32\Tasks\QNPEo => C:\Users\Ярослав\AppData\Roaming\uyajaydy.bat [2017-09-29] () <==== ATTENTION
Task: {2672213A-443C-4AF3-B242-77402C8B6D22} - \IcISYHMOiTIi -> No File <==== ATTENTION
Task: {ED072858-5E4E-4382-B601-704AFE0990B4} - \kYnHOOyY -> No File <==== ATTENTION
Task: {F061BCE6-D820-4E42-B769-F632412184B4} - \App Explorer -> No File <==== ATTENTION
Task: {FFF377F0-28DD-410D-8323-15B4CF356BC2} - System32\Tasks\bltopncomhohoj => "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" bltopn.com/hohoj <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@Trevorbrou · 02.01.2018, 16:46 **[ТС]**

Прилагаю фикслог ниже.

@thyrex · 02.01.2018, 16:59

Сделайте лог AdwCleaner

@Trevorbrou · 02.01.2018, 17:15 **[ТС]**

Просканировал клинером, прилагаю лог.

@thyrex · 02.01.2018, 17:31

Удалите в AdwCleaner все найденное

@Trevorbrou · 02.01.2018, 17:42 **[ТС]**

Почистил, прилагаю лог очистки.

@thyrex · 02.01.2018, 17:51

Проблема решена?

@Trevorbrou · 02.01.2018, 18:13 **[ТС]**

Да, думаю да. Спасибо большое за помощь! Вроде все проверили. Никаких нареканий.

@thyrex · 02.01.2018, 18:41

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Процитируйте содержимое файла в своем следующем сообщении.

@Trevorbrou 0 / 0 / 0 Регистрация: 02.01.2018 Сообщений: 8
		1
	Всплывающая реклама при подключении зарядного устройства. bltopn.com/hohoj 02.01.2018, 06:42. Просмотров 2032. Ответов 14 Метки нет (Все метки) Здравствуйте, надеюсь на вашу помощь в решении этой проблемы. Стоило отлучиться от ноута, как крестник, либо закачал амиго, либо через веб плеер подцепил. Каким то боком, умудрился подхватить такой вирусняк. При загрузке виндовс появляется кмд строка с надписями "успех" и тд, что то подобное со словами трансфер. как я догадываюсь создается какая то ложная задача, которая наверное програмирует себя, запускать в браузере, как расписание. А когда подключаешь зарядное устройство, сам ноут стал работать медленее, и в браузере появляется всплыващее окно, которое всегда редиректит на сайты, от главенствующего названия bltopn.com/hohoj. 0 Миниатюры

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	02.01.2018, 15:37	5
	Скачайте Farbar Recovery Scan Tool [img]https://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]https://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	02.01.2018, 16:59	9
	Сделайте лог AdwCleaner 0

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	02.01.2018, 17:31	11
	Удалите в AdwCleaner все найденное 0

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	02.01.2018, 17:51	13
	Проблема решена? 0

@Trevorbrou 0 / 0 / 0 Регистрация: 02.01.2018 Сообщений: 8
	02.01.2018, 18:13 [ТС]	14
	Да, думаю да. Спасибо большое за помощь! Вроде все проверили. Никаких нареканий. 0

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	02.01.2018, 18:41	15
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. 0

Опции темы