Открытие нежелательной рекламы в IE браузере [not-a-virus:WebToolbar.Win32.CrossRider.ljd, not-a-virus:AdWare.Win32.Shopper.adw ]

[DeLorean41]

Добрый день! Просьба помочь в решении следующей проблемы.
Знакомый в интернете нацеплял кучу нежелательного ПО и пару вирусов. Два трояна, пакость от маил.ру и еще что-то удалось удалить через AVZ и DrWeb. Так же через программу ADW Cleaner почистил то чего вызвало подозрение. В итоге проблема решена частично, при открытие ИЕ все равно перекидывает на рекламные сайты.
Буду рад любым советам.

[Info_bot]

Уважаемый(ая) DeLorean41, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js','');
 QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll','');
 QuarantineFile('C:\Users\анд\AppData\Roaming\GRUBP.exe','');
 QuarantineFile('C:\Users\анд\AppData\Roaming\LUQU.exe','');
 QuarantineFile('C:\Program Files (x86)\HQCinema Pro 2.1V25.01\96dae145-8eda-439c-b20d-d507e3405571-7.exe','');
 QuarantineFile('C:\Program Files (x86)\HQCinema Pro 2.1V25.01\96dae145-8eda-439c-b20d-d507e3405571-6.exe','');
 QuarantineFile('C:\Program Files (x86)\HQCinema Pro 2.1V25.01\96dae145-8eda-439c-b20d-d507e3405571-5.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-7.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-6.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-5.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-11.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\315bbf7a-ba98-4540-a9f8-60062bfb4cec-7.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\315bbf7a-ba98-4540-a9f8-60062bfb4cec-6.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\315bbf7a-ba98-4540-a9f8-60062bfb4cec-5.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\315bbf7a-ba98-4540-a9f8-60062bfb4cec-11.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\Sense-codedownloader.exe','');
 DelBHO('{1bb456da-878f-44a5-b013-4bfe0ae02fce}');
 QuarantineFile('C:\Program Files (x86)\Solution Real\SolutionRealBHO.dll','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\анд\AppData\Local\wincheck\wincheck.exe','');
 QuarantineFile('C:\Users\анд\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_100\gmsd_ru_100.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_100\gmsd_ru_100.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_100');
 DeleteFile('C:\Users\анд\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
 DeleteFile('C:\Users\анд\AppData\Local\wincheck\wincheck.exe','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Program Files (x86)\Solution Real\SolutionRealBHO.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-1.job','64');
 DeleteFile('C:\WINDOWS\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-10_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-11.job','64');
 DeleteFile('C:\WINDOWS\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-5.job','64');
 DeleteFile('C:\WINDOWS\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-5_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\315bbf7a-ba98-4540-a9f8-60062bfb4cec-1.job','64');
 DeleteFile('C:\Program Files (x86)\Sense\Sense-codedownloader.exe','32');
 DeleteFile('C:\Program Files (x86)\Sense\315bbf7a-ba98-4540-a9f8-60062bfb4cec-11.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\315bbf7a-ba98-4540-a9f8-60062bfb4cec-11.job','64');
 DeleteFile('C:\WINDOWS\Tasks\315bbf7a-ba98-4540-a9f8-60062bfb4cec-5.job','64');
 DeleteFile('C:\Program Files (x86)\Sense\315bbf7a-ba98-4540-a9f8-60062bfb4cec-5.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\315bbf7a-ba98-4540-a9f8-60062bfb4cec-5_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\315bbf7a-ba98-4540-a9f8-60062bfb4cec-6.job','64');
 DeleteFile('C:\Program Files (x86)\Sense\315bbf7a-ba98-4540-a9f8-60062bfb4cec-6.exe','32');
 DeleteFile('C:\Program Files (x86)\Sense\315bbf7a-ba98-4540-a9f8-60062bfb4cec-7.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\315bbf7a-ba98-4540-a9f8-60062bfb4cec-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-1.job','64');
 DeleteFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe','32');
 DeleteFile('C:\Program Files (x86)\Ge-Force\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-11.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-11.job','64');
 DeleteFile('C:\WINDOWS\Tasks\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-5.job','64');
 DeleteFile('C:\Program Files (x86)\Ge-Force\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-5.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-5_user.job','64');
 DeleteFile('C:\Program Files (x86)\Ge-Force\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-6.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-7.job','64');
 DeleteFile('C:\Program Files (x86)\Ge-Force\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-7.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\96dae145-8eda-439c-b20d-d507e3405571-1.job','64');
 DeleteFile('C:\WINDOWS\Tasks\96dae145-8eda-439c-b20d-d507e3405571-11.job','64');
 DeleteFile('C:\WINDOWS\Tasks\96dae145-8eda-439c-b20d-d507e3405571-5.job','64');
 DeleteFile('C:\Program Files (x86)\HQCinema Pro 2.1V25.01\96dae145-8eda-439c-b20d-d507e3405571-5.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\96dae145-8eda-439c-b20d-d507e3405571-5_user.job','64');
 DeleteFile('C:\Program Files (x86)\HQCinema Pro 2.1V25.01\96dae145-8eda-439c-b20d-d507e3405571-6.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\96dae145-8eda-439c-b20d-d507e3405571-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\96dae145-8eda-439c-b20d-d507e3405571-7.job','64');
 DeleteFile('C:\Program Files (x86)\HQCinema Pro 2.1V25.01\96dae145-8eda-439c-b20d-d507e3405571-7.exe','32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\WINDOWS\Tasks\GRUBP.job','64');
 DeleteFile('C:\WINDOWS\Tasks\LUQU.job','64');
 DeleteFile('C:\Users\анд\AppData\Roaming\LUQU.exe','32');
 DeleteFile('C:\Users\анд\AppData\Roaming\GRUBP.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\20b9a285-202b-40f5-8dca-bdb3fa127f47-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\315bbf7a-ba98-4540-a9f8-60062bfb4cec-1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\315bbf7a-ba98-4540-a9f8-60062bfb4cec-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\315bbf7a-ba98-4540-a9f8-60062bfb4cec-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\315bbf7a-ba98-4540-a9f8-60062bfb4cec-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\315bbf7a-ba98-4540-a9f8-60062bfb4cec-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\3cd002ae-8f59-4d74-9112-d34a7dffbb3e-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\96dae145-8eda-439c-b20d-d507e3405571-1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\96dae145-8eda-439c-b20d-d507e3405571-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\96dae145-8eda-439c-b20d-d507e3405571-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\96dae145-8eda-439c-b20d-d507e3405571-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\96dae145-8eda-439c-b20d-d507e3405571-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Maintenance\SMupdate2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Multimedia\SMupdate3','64');
 DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SMupdate1','64');
 DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\SPDriver','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SPBIW_UpdateTask_Time_3133353038373735342d2355786c325a5b5734412d34','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;	
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[DeLorean41]

Cпасибо за ответ. Выкладываю новые логи.
Карантин:
Файл сохранён как 150205_143440_virus_54d347407a5c2.zip
Размер файла 2589709
MD5 7c3197e5654531383accf9497cb7a820

[thyrex]

Поместите в карантин МВАМ всё, кроме

Код:

Registry Values: 5
Trojan.Agent.ED, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\SHAREDDLLS|C:\PROGRAM FILES (X86)\CYBERLINK\SHARED FILES\RICHVIDEO.EXE, 1, , [ea28c95131596acc7e960615ba489a66]

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\progra~1\common~1\system\sysmenu.dll - not-a-virus:AdWare.Win32.Shopper.adw ( DrWEB: Adware.Searcher.2747 )
  2. c:\users\анд\appdata\roaming\grubp.exe - not-a-virus:WebToolbar.Win32.CrossRider.ljd ( BitDefender: Gen:Application.Heur.Xv1@kWQXe3eO, AVAST4: Win32:Malware-gen )
  3. c:\users\анд\appdata\roaming\luqu.exe - not-a-virus:WebToolbar.Win32.CrossRider.ljd ( BitDefender: Gen:Application.Heur.Xv1@kae27oiO, AVAST4: Win32:Malware-gen )