Всплывающая реклама и самопроизвольно запускаюшийся браузер [Trojan.JS.Starter.d, not-a-virus:AdWare.NSIS.Agent.hp ]

**Likvidator** · 28.12.2015, 07:18

После загрузки файла (каюсь, сомнения на счет него были, но все таки запустил) На любых страницах, в том числе и на поисковых стала всплывать реклама, а так же после загрузки компа самопроизвольно запускется браузер с рекламными страницами, типа Вулкана удачи или мегого
Выполнить пункт 1 из инструкции по Подготовке (Скрипт №3 лечения/карантина) - не возможно - так как АВЗ аварийно прекращает работу

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.12.2015, 07:20

Уважаемый(ая) Likvidator, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 28.12.2015, 08:54

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Program Files\Content Defender\cd.exe');
 TerminateProcessByName('c:\users\likvidator\appdata\roaming\daemon2.exe');
 TerminateProcessByName('c:\windows\syswow64\searchprotectservice.exe');
 StopService('cd');
 StopService('SPS');
 StopService('condef');
 QuarantineFileF('C:\Users\Likvidator\AppData\Local\epohbbbfeldaodfhfljalhiilifmneie', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0);
 QuarantineFile('C:\Program Files\Content Defender\cd.exe', '');
 QuarantineFile('c:\users\likvidator\appdata\roaming\daemon2.exe', '');
 QuarantineFile('c:\windows\syswow64\searchprotectservice.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\condef.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\QMUdisk64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\softaal64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\tsskx64.sys', '');
 QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
 QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\R', '');
 QuarantineFile('C:\Users\Likvidator\AppData\Local\epohbbbfeldaodfhfljalhiilifmneie\stub.exe', '');
 QuarantineFile('D:\Mail.Ru\DwarChrome\dwarclient.exe', '');
 QuarantineFile('C:\Program Files (x86)\Sense\d8b5485b-d489-4c81-9042-bba41162ccb9-5.exe', '');
 QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.2000\jsdrv.exe', '');
 QuarantineFile('C:\Users\Likvidator\AppData\Roaming\istartsurf\UninstallManager.exe', '');
 QuarantineFile('C:\Windows\system32\searchprotectservice.exe', '');
 QuarantineFile('C:\Program Files\content defender\condefsetup.exe', '');
 QuarantineFile('C:\Program Files\content defender\libeay32.dll', '');
 QuarantineFile('C:\Program Files\content defender\ssleay32.dll', '');
 DeleteFile('C:\Windows\Tasks\d8b5485b-d489-4c81-9042-bba41162ccb9-5.job', '64');
 DeleteFile('C:\Windows\Tasks\d8b5485b-d489-4c81-9042-bba41162ccb9-5_user.job', '64');
 DeleteFile('C:\Program Files\Content Defender\cd.exe', '32');
 DeleteFile('c:\users\likvidator\appdata\roaming\daemon2.exe', '32');
 DeleteFile('c:\windows\syswow64\searchprotectservice.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\condef.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\QMUdisk64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\softaal64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\tsskx64.sys', '32');
 DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32');
 DeleteFile('C:\Windows\system32\GroupPolicy\Machine\R', '32');
 DeleteFile('C:\Users\Likvidator\AppData\Local\epohbbbfeldaodfhfljalhiilifmneie\stub.exe', '32');
 DeleteFile('C:\Users\Likvidator\AppData\Local\epohbbbfeldaodfhfljalhiilifmneie\config.json', '32');
 DeleteFile('C:\Users\Likvidator\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32');
 DeleteFile('C:\ProgramData\qoPqEmuwQe\KGnmkNoEY5.bat', '32');
 DeleteFile('D:\Mail.Ru\DwarChrome\dwarclient.exe', '32');
 DeleteFile('C:\Program Files (x86)\Sense\d8b5485b-d489-4c81-9042-bba41162ccb9-5.exe', '32');
 DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '32');
 DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.2000\jsdrv.exe', '32');
 DeleteFile('C:\Users\Likvidator\AppData\Roaming\istartsurf\UninstallManager.exe', '32');
 DeleteFile('C:\Windows\system32\searchprotectservice.exe', '32');
 DeleteFile('C:\Program Files\content defender\condefsetup.exe', '32');
 DeleteFile('C:\Program Files\content defender\libeay32.dll', '32');
 DeleteFile('C:\Program Files\content defender\ssleay32.dll', '32');
 DeleteService('cd');
 DeleteService('SPS');
 DeleteService('condef');
 DeleteService('QMUdisk');
 DeleteService('softaal');
 DeleteService('TSSKX64');
 DeleteFileMask('C:\Program Files\Content Defender', '*', true);
 DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
 DeleteFileMask('C:\Users\Likvidator\AppData\Local\epohbbbfeldaodfhfljalhiilifmneie', '*', true);
 DeleteFileMask('C:\Users\Likvidator\AppData\Local\Mail.Ru', '*', true);
 DeleteFileMask('D:\Mail.Ru', '*', true);
 DeleteFileMask('C:\Program Files (x86)\Sense', '*', true);
 DeleteFileMask('C:\Program Files (x86)\ShopperPro', '*', true);
 DeleteFileMask('C:\Users\Likvidator\AppData\Roaming\istartsurf', '*', true);
 DeleteDirectory('C:\Program Files\Content Defender');
 DeleteDirectory('C:\Program Files (x86)\Tencent');
 DeleteDirectory('C:\Users\Likvidator\AppData\Local\epohbbbfeldaodfhfljalhiilifmneie');
 DeleteDirectory('C:\Users\Likvidator\AppData\Local\Mail.Ru');
 DeleteDirectory('D:\Mail.Ru');
 DeleteDirectory('C:\Program Files (x86)\Sense');
 DeleteDirectory('C:\Program Files (x86)\ShopperPro');
 DeleteDirectory('C:\Users\Likvidator\AppData\Roaming\istartsurf');
 ExecuteFile('schtasks.exe', '/delete /TN "d8b5485b-d489-4c81-9042-bba41162ccb9-5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "d8b5485b-d489-4c81-9042-bba41162ccb9-5_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SMupdate2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SMupdate3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UNELEVATE_25398" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{5035EB6C-CEE1-4922-B9D4-9D20E3E45414}" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\epohbbbfeldaodfhfljalhiilifmneie', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mailruhomesearch', 'command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

Сделайте лог Check Browsers' LNK.

**Likvidator** · 28.12.2015, 15:05

Выполнено

В обычном режиме АВЗ при выполнении первого скрипта зависал, так что все делал в безопасном режиме

**Vvvyg** · 28.12.2015, 15:49

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования если есть почта на Mail.Ru и/или используете программы от этого портала уберите галочки на вкладках Папки (Folders), Реестр (Registry) и вкладках браузеров со всех пунктов, где упоминаются Mail.Ru.
В пункте меню "Настройки" (Settings)установите галочку "Сброс политик Chrome".
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Likvidator** · 28.12.2015, 16:26

Выполнено.
Реклама и открытие пропали уже после срабатывания первого написанного Вами скрипта

**Vvvyg** · 28.12.2015, 19:24

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.

**Likvidator** · 28.12.2015, 22:04

Спасибо огромное за оперативную и высококвалифицированно оказанную помощь! С наступающим Новым Годом Вас.
Я хотел бы как то отблагодарить Вас - это возможно как то сделать?

**Vvvyg** · 28.12.2015, 23:12

Спасибо, и Вас с наступающим

Баннер "Поддержать проект" вверху.

**Likvidator** · 29.12.2015, 20:17

donate.jpg

Еще раз с наступающим!

**Vvvyg** · 29.12.2015, 22:34

Спасибо, удачи!

**CyberHelper** · 29.12.2015, 22:44

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 36
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\content defender\cd.exe - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
2. c:\program files\content defender\condefsetup.exe - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
3. c:\program files\content defender\libeay32.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
4. c:\program files\content defender\ssleay32.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
5. c:\progra~1\common~1\system\sysmenu.dll - not-a-virus:AdWare.Win32.Shopper.and ( DrWEB: Adware.Searcher.2794 )
6. c:\users\likvidator\appdata\local\epohbbbfeldaodfh fljalhiilifmneie\launcher.js - Trojan.JS.Starter.d ( DrWEB: Adware.Shopper.1270 )
7. c:\users\likvidator\appdata\local\epohbbbfeldaodfh fljalhiilifmneie\stub.exe - not-a-virus:AdWare.NSIS.Agent.hp
8. c:\users\likvidator\appdata\roaming\daemon2.exe - not-a-virus:WebToolbar.Win32.Neobar.h
9. c:\windows\system32\drivers\condef.sys - not-a-virus:NetTool.Win64.NetFilter.ap

Всплывающая реклама и самопроизвольно запускаюшийся браузер [Trojan.JS.Starter.d, not-a-virus:AdWare.NSIS.Agent.hp ] (заявка № 195109)

Опции темы