Помогите удалить вирусную рекламу

**Igor Toropov** · 19.01.2015, 00:28

Добрый вечер.

Вирусной атаке подвергся компьютер моей бабушки.

Она живет в Финляндии, я им помогаю через утилиту Teamviewer.

Компьютером они пользуются в основном для звонков в Skype и для просмотра русского телевидения.
Поскольку живут они далеко от своих родственников, в чужой стране - задачи эти для них высоки.

Основная проблема:
В следствии последнего на компьютер установился вирус, который тормозит работу браузера и выдает рекламу. Компьютер был подвергнут проверке AVZ4, Ccleaner - были исправлены некоторые ошибки, однако проблема не ушла.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.01.2015, 00:29

Уважаемый(ая) Igor Toropov, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 19.01.2015, 10:38

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\solution real\updatesolutionreal.exe');
 TerminateProcessByName('C:\Program Files (x86)\Solution Real\bin\SolutionReal.PurBrowse64.exe');
 TerminateProcessByName('c:\program files (x86)\solution real\bin\solutionreal.expext.exe');
 TerminateProcessByName('C:\Program Files (x86)\Solution Real\bin\SolutionReal.BrowserAdapter64.exe');
 TerminateProcessByName('c:\program files (x86)\solution real\bin\solutionreal.browseradapter.exe');
 QuarantineFile('C:\Users\Babushka\AppData\Roaming\WSE_VO~1\UPDATE~1\UPDATE~1.EXE', '');
 QuarantineFile('C:\Program Files (x86)\Solution Real\SolutionRealbho.dll', '');
 QuarantineFile('C:\PROGRA~3\{90327~1\171~1.0\foco.dll', '');
 QuarantineFile('C:\Windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64.sys', '');
 QuarantineFile('c:\program files (x86)\solution real\updatesolutionreal.exe', '');
 QuarantineFile('C:\Program Files (x86)\Solution Real\bin\SolutionReal.PurBrowse64.exe', '');
 QuarantineFile('c:\program files (x86)\solution real\bin\solutionreal.expext.exe', '');
 QuarantineFile('C:\Program Files (x86)\Solution Real\bin\SolutionReal.BrowserAdapter64.exe', '');
 QuarantineFile('c:\program files (x86)\solution real\bin\solutionreal.browseradapter.exe', '');
 DeleteFile('c:\program files (x86)\solution real\bin\solutionreal.browseradapter.exe', '32');
 DeleteFile('C:\Program Files (x86)\Solution Real\bin\SolutionReal.BrowserAdapter64.exe', '32');
 DeleteFile('c:\program files (x86)\solution real\bin\solutionreal.expext.exe', '32');
 DeleteFile('C:\Program Files (x86)\Solution Real\bin\SolutionReal.PurBrowse64.exe', '32');
 DeleteFile('c:\program files (x86)\solution real\updatesolutionreal.exe', '32');
 DeleteFile('C:\Program Files (x86)\Solution Real\bin\6e9af5d3a8f94461ad38.dll', '32');
 DeleteFile('C:\Program Files (x86)\Solution Real\bin\6e9af5d3a8f94461ad381433888f55dc.dll', '32');
 DeleteFile('C:\Program Files (x86)\Solution Real\bin\SolutionReal.expextdll.dll', '32');
 DeleteFile('C:\Windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64.sys', '32');
 DeleteFile('C:\PROGRA~3\{90327~1\171~1.0\foco.dll', '32');
 DeleteFile('C:\Program Files (x86)\Solution Real\SolutionRealbho.dll', '32');
 DeleteFile('C:\Users\Babushka\AppData\Roaming\WSE_VO~1\UPDATE~1\UPDATE~1.EXE', '32');
 DeleteFile('C:\Windows\system32\Tasks\LaunchSignup', '64');
 DeleteFile('C:\Windows\system32\Tasks\WSE_Vosteran', '64');
 DeleteFileMask('C:\Users\Babushka\AppData\Roaming\WSE_VO~1', '*', true);
 DeleteFileMask('C:\Program Files (x86)\Solution Real', '*', true);
 DeleteFileMask('C:\PROGRA~3\{90327~1\171~1.0', '*', true);
 DeleteDirectory('C:\Users\Babushka\AppData\Roaming\WSE_VO~1');
 DeleteDirectory('C:\Program Files (x86)\Solution Real');
 DeleteDirectory('C:\PROGRA~3\{90327~1\171~1.0');
 DelBHO('{1bb456da-878f-44a5-b013-4bfe0ae02fce}');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

**Igor Toropov** · 19.01.2015, 14:32

ваши указания получил, но сейчас на работе. вечером на связь со старичками выйду, сделаю все и выложу вам лог. спасибо

- - - - -Добавлено - - - - -

готово

**Vvvyg** · 19.01.2015, 14:41

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Igor Toropov** · 19.01.2015, 15:04

проблема осталась и даже усугубилась. теперь появляется реклама с левого бока высотой во все окно.

**Vvvyg** · 19.01.2015, 15:11

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.

**Igor Toropov** · 19.01.2015, 15:49

сделал

**Vvvyg** · 19.01.2015, 16:29

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HomePage: Default -> hxxp://vosteran.com/?f=1&a=vst_ir_15_03_ch&cd=2XzuyEtN2Y1L1Qzu0Fzz0AzyyCtAzy0CyB0F0EzzyDyEyCyDtN0D0Tzu0StCtCtCtAtN1L2XzutAtFyBtFtBtFtCtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StAtBzyyEtCyB0F0FtGtAtBzzzztGtBtDyByDtG0EtCyE0CtGtDtD0F0C0CyEyE0D0DzytB0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyBzz0A0C0CyC0A0CtGzytD0EyCtGyEyC0E0AtGzytD0A0FtG0D0C0EyByB0CtB0FtBtAyD0E2Q&cr=794795546&ir=
CHR StartupUrls: Default -> "hxxp://kaban.tv/"
CHR Extension: (Solution Real) - C:\Users\Babushka\AppData\Local\Google\Chrome\User Data\Default\Extensions\mhobkkmfkjcnjbidcjgahclnibmdhhcm [2015-01-19]
2015-01-18 21:02 - 2015-01-18 04:41 - 00048792 _____ (StdLib) C:\Windows\system32\Drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64.sys
2015-01-18 20:54 - 2015-01-19 13:09 - 00000000 ____D () C:\Program Files (x86)\Solution Real
2015-01-18 20:53 - 2015-01-19 13:07 - 00000000 ____D () C:\ProgramData\{903278F1-C0B0-A977-7136-D9F5A1B40A7B}
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае).
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

Если не поможет, делайте следующее.
Зайдите в настройки роутера и посмотрите, что прописано в качестве DNS-сервера.

**Igor Toropov** · 19.01.2015, 17:10

Ну все в порядке! Спасибо.

**Vvvyg** · 19.01.2015, 20:11

Удалите папку C:\FRST со всем содержимым.

Запустите AdwCleaner и нажмите Удалить.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Выполните рекомендации после лечения.

**Igor Toropov** · 19.01.2015, 20:52

Вадим, спасибо за помощь. Бабушка с дедом на 7ом небе от счастья, огромное спасибо вам передают!

**CyberHelper** · 19.01.2015, 21:02

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 9
В ходе лечения вредоносные программы в карантинах не обнаружены

Помогите удалить вирусную рекламу (заявка № 175013)

Опции темы

Помогите удалить вирусную рекламу

Это понравилось:

Это понравилось:

Это понравилось:

Это понравилось:

Это понравилось:

Это понравилось:

Итог лечения

Похожие темы

Удалить рекламу dirazn11.pw

помогите удалить появляющуюся рекламу страница сама загружается adcash.com очень мешает

удалить ненужную рекламу

Помогите удалить рекламу

Ваши права в разделе