Рекламные всплывающие окна [Trojan.MSIL.Agent.aaile ]

[Pavel0077]

Здравствуйте, появилась проблема с большим количеством всплывающих окон. Данная проблема распространяется на все браузеры.

[Info_bot]

Уважаемый(ая) Pavel0077, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\Павел\appdata\local\microsoft\windows\toolbar.exe');
 QuarantineFile('C:\windows\system32\DRIVERS\rsutils.sys', '');
 QuarantineFile('C:\windows\system32\drivers\protreg.sys', '');
 QuarantineFile('C:\windows\system32\DRIVERS\kguard.sys', '');
 QuarantineFile('C:\windows\system32\DRIVERS\sysmon.sys', '');
 QuarantineFile('C:\Program Files\Application Installer\ServerCore.exe', '');
 QuarantineFile('c:\users\Павел\appdata\local\microsoft\windows\toolbar.exe', '');
 DeleteFile('c:\users\Павел\appdata\local\microsoft\windows\toolbar.exe', '32');
 DeleteFile('C:\Program Files\Application Installer\ServerCore.exe', '32');
 DeleteFile('C:\windows\system32\DRIVERS\sysmon.sys', '32');
 DeleteFile('C:\windows\system32\DRIVERS\kguard.sys', '32');
 DeleteFile('C:\windows\system32\drivers\protreg.sys', '32');
 DeleteFile('C:\windows\system32\DRIVERS\rsutils.sys', '32');
 DeleteFile('C:\windows\system32\Tasks\DSite', '32');
 DeleteFile('C:\windows\system32\Tasks\SystemScript', '32');
 DeleteService('rsutils');
 DeleteService('rsdsys');
 DeleteService('kguard');
 DeleteService('sysmon');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('kguard');
 BC_DeleteSvc('rsdsys');
 BC_DeleteSvc('rsutils');
 BC_DeleteSvc('sysmon');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.

[Pavel0077]

Карантин выслан, файлы прикреплены.

[Vvvyg]

Удалите программы iLivid, Search.us.com.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

HKU\S-1-5-21-3441761189-3170517905-3391597793-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.us.com/?guid={E7A906ED-EFD3-4A29-9D24-D068578A2060}&serpv=17
SearchScopes: HKU\S-1-5-21-3441761189-3170517905-3391597793-1000 -> {0C8ECF9C-847C-4623-B66E-B75FAC20AF25} URL = http://search.us.com/serp?guid={E7A906ED-EFD3-4A29-9D24-D068578A2060}&action=default_search&serpv=5&k={searchTerms}
SearchScopes: HKU\S-1-5-21-3441761189-3170517905-3391597793-1000 -> {BB420C5D-EFFA-4D4E-A499-EC02280A0FD7} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10583
SearchScopes: HKU\S-1-5-21-3441761189-3170517905-3391597793-1000 -> {F901746B-E3A6-4655-AA8C-802895ABB7A0} URL = http://ru.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=937811&p={searchTerms}
FF Plugin HKU\S-1-5-21-3441761189-3170517905-3391597793-1000: @tnt2ghost.com/Plugin -> C:\Users\Павел\AppData\Local\TNT2\2.0.0.1676\npTNT2ghost.dll (Search.Us.com)
FF Plugin HKU\S-1-5-21-3441761189-3170517905-3391597793-1000: @tnt2npapi.com/Plugin -> C:\Users\Павел\AppData\Local\TNT2\2.0.0.1676\npTNT2.dll (Search.Us.com)
FF user.js: detected! => C:\Users\Павел\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
2015-01-25 14:22 - 2015-01-25 14:22 - 00000000 ____D () C:\ProgramData\Rising
2015-01-25 14:22 - 2015-01-25 14:22 - 00000000 ____D () C:\Program Files\Rising
2015-01-25 14:22 - 2015-01-25 14:22 - 00000000 ____D () C:\Program Files\Assistance
2015-01-25 14:23 - 2015-01-25 14:23 - 00000000 ___RD () C:\RavBin
2015-01-25 14:22 - 2013-12-30 10:33 - 00256280 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\system32\ravext.dll
2015-01-25 14:22 - 2012-09-06 03:30 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\system32\bsmain.exe
2015-01-25 14:22 - 2012-02-29 10:49 - 00010808 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\system32\Drivers\rsndisp.sys
2015-01-25 14:16 - 2014-05-08 01:05 - 00000176 _____ () C:\Users\Павел\Desktop\Искать в Интернете.url
2010-12-29 04:17 - 2010-12-29 04:18 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
2010-12-29 04:11 - 2010-12-29 04:11 - 0000113 _____ () C:\ProgramData\{34FBC7C4-CD31-4D93-A428-0E524EAC4586}.log
2010-12-29 04:15 - 2010-12-29 04:15 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
2010-12-29 04:11 - 2010-12-29 04:14 - 0000106 _____ () C:\ProgramData\{80E158EA-7181-40FE-A701-301CE6BE64AB}.log
2010-12-29 04:15 - 2010-12-29 04:17 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
Task: {13AC8E76-FA16-47B8-AEC2-8F020CA0991E} - \SystemScript No Task File <==== ATTENTION
Task: {D091BF20-F63F-4EDB-BE8F-6A89C7526D51} - \DSite No Task File <==== ATTENTION
Task: {59899B89-DC11-43E8-8239-B564C3E369FE} - System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => C:\PROGRAM FILES\RISING\RAV\rsdelaylauncher.exe
AlternateDataStreams: C:\ProgramData\Temp:07BF512B
S2 RsMgrSvc; No ImagePath
S2 RsRavMon; No ImagePath
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (в папку Лечение компьютера на рабочем столе в Вашем случае).
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

[Pavel0077]

Сделано. К сожалению, проблема осталась.

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Сделайте аппаратный сброс настроек роутера кнопкой reset, настройте заново, смените пароль на веб-интерфейс роутера на сложный.
Очистите кеш и куки брoузеров и кэш DNS на всех устройствах, работающих через этот роутер.
Обновите прошивку роутера, если есть для вашей модели.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\павел\appdata\local\microsoft\windows\too lbar.exe - Trojan.MSIL.Agent.aaile ( AVAST4: Win32:Malware-gen )