Рекламные вирусы [not-a-virus:AdWare.Win32.Agent.gzjr, not-a-virus:AdWare.Win32.Buen.j ]

**pomfair** · 10.02.2015, 12:22

Здравствуйте!
При включении компьютера автоматически запускаются разные программы, а при открытии браузера (любого) появляются рекламные баннеры. Компьютер зависает, особенно при работе в интернете.

Прикрепил логи

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.02.2015, 12:23

Уважаемый(ая) pomfair, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 10.02.2015, 19:07

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\microsoft data\installaddons.exe','');
 QuarantineFile('C:\Program Files\igs\optimizermonitorcert.dll','');
 QuarantineFile('C:\Program Files\clearthink\bin\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}.dll','');
 QuarantineFile('C:\Users\алексей\appdata\roaming\pricef~1\update~1\update~1.exe','');
 QuarantineFile('C:\Users\алексей\appdata\roaming\vopackage\vosrv.exe','');
 QuarantineFile('C:\Users\алексей\appdata\local\pricefountain\pricefountainw.exe','');
 QuarantineFile('C:\Users\алексей\appdata\local\pricefountain\pricefountain.exe','');
 DelBHO('{e1d42aa9-00b2-4d09-870c-7ebc5eca7083}');
 QuarantineFile('C:\Program Files\SaverADdon\SfrIGosGs3fXzx.dll','');
 DelBHO('{7e6d4e3e-fc66-4036-9799-ce5c625c4c56}');
 DelBHO('{b608cc98-54de-4775-96c9-097de398500c}');
 DelBHO('{C330D4EC-AFE2-9A69-CAAD-C5E77FABCBCB}');
 QuarantineFile('C:\Program Files\ver0BlockAndSurf\187.dll','');
 QuarantineFile('C:\Users\алексей\AppData\Local\PriceFountain\PriceFountainIE.dll','');
 QuarantineFile('C:\Program Files\ClearThink\ClearThinkbho.dll','');
 DelBHO('{692accd4-9e7d-46c1-a146-2e6e56ba4c5c}');
 QuarantineFile('C:\Program Files\ddeaaLsttEr\oNpHZWbpzSeJIe.dll','');
 DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
 DelBHO('{16194496-3603-449e-ae9b-a7e10a5e849c}');
 QuarantineFile('C:\Program Files\sAvEroN\AxkAZjj7XG104A.dll','');
 QuarantineFile('C:\opera.bat','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\алексей\AppData\Roaming\eTranslator\eTranslator.exe','');
 QuarantineFile('C:\Users\алексей\AppData\Local\wincheck\wincheck.exe','');
 QuarantineFile('C:\Users\алексей\AppData\Local\pricehorse\pricehorse\1.3.17.0\pricehorse.exe','');
 QuarantineFile('C:\Users\алексей\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\Users\алексей\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Users\алексей\AppData\Local\PriceFountain\pricefountainw.exe','');
 QuarantineFile('C:\Users\алексей\AppData\Local\Google\chrome.bat','');
 QuarantineFile('C:\Users\DBEF~1\AppData\Roaming\PriceFountain\UpdateProc\bkup.dat','');
 SetServiceStart('wpnfd_1_10_0_6', 4);
 DeleteService('wpnfd_1_10_0_6');
 SetServiceStart('wpsvc_1.10.0.6', 4);
 DeleteService('wpsvc_1.10.0.6');
 SetServiceStart('WindowsMangerProtect', 4);
 DeleteService('WindowsMangerProtect');
 SetServiceStart('serversu', 4);
 DeleteService('serversu');
 SetServiceStart('serverig', 4);
 DeleteService('serverig');
 SetServiceStart('serverca', 4);
 DeleteService('serverca');
 SetServiceStart('OptimizerMonitor', 4);
 DeleteService('OptimizerMonitor');
 SetServiceStart('IHProtect Service', 4);
 DeleteService('IHProtect Service');
 SetServiceStart('BackupStack', 4);
 DeleteService('BackupStack');
 QuarantineFile('C:\windows\system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw.sys','');
 QuarantineFile('C:\windows\system32\drivers\wpnfd_1_10_0_6.sys','');
 QuarantineFile('C:\windows\system32\OptimizerMonitor.dll','');
 QuarantineFile('C:\Program Files\XTab\IeWatchDog.dll','');
 QuarantineFile('C:\Program Files\XTab\BrowserAction.dll','');
 QuarantineFile('C:\Program Files\XTab\BrowerWatchCH.dll','');
 QuarantineFile('C:\Program Files\IGS\OptimizerMonitorCert.dll','');
 TerminateProcessByName('c:\program files\wordproser_1.10.0.6\service\wpsvc.exe');
 QuarantineFile('c:\program files\wordproser_1.10.0.6\service\wpsvc.exe','');
 TerminateProcessByName('c:\users\алексей\appdata\local\gmsd_ru_111\upgmsd_ru_111.exe');
 QuarantineFile('c:\users\алексей\appdata\local\gmsd_ru_111\upgmsd_ru_111.exe','');
 TerminateProcessByName('c:\users\алексей\appdata\roaming\softwareupdater\susrv.exe');
 QuarantineFile('c:\users\алексей\appdata\roaming\softwareupdater\susrv.exe','');
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
 TerminateProcessByName('c:\program files\xtab\protectservice.exe');
 QuarantineFile('c:\program files\xtab\protectservice.exe','');
 TerminateProcessByName('c:\program files\igs\optimizermonitor.exe');
 QuarantineFile('c:\program files\igs\optimizermonitor.exe','');
 TerminateProcessByName('c:\users\алексей\appdata\local\igs\igsrv.exe');
 QuarantineFile('c:\users\алексей\appdata\local\igs\igsrv.exe','');
 TerminateProcessByName('c:\users\алексей\appdata\local\igs\igs.exe');
 QuarantineFile('c:\users\алексей\appdata\local\igs\igs.exe','');
 TerminateProcessByName('c:\program files\xtab\hpnotify.exe');
 QuarantineFile('c:\program files\xtab\hpnotify.exe','');
 QuarantineFile('c:\program files\fastplayer\fpupdaterservice.exe','');
 TerminateProcessByName('c:\users\алексей\appdata\local\convertad\convertad.exe');
 QuarantineFile('c:\users\алексей\appdata\local\convertad\convertad.exe','');
 TerminateProcessByName('c:\program files\xtab\cmdshell.exe');
 QuarantineFile('c:\program files\xtab\cmdshell.exe','');
 TerminateProcessByName('c:\users\алексей\appdata\local\convertad\casrv.exe');
 QuarantineFile('c:\users\алексей\appdata\local\convertad\casrv.exe','');
 TerminateProcessByName('c:\program files\mypc backup\backupstack.exe');
 DeleteFile('c:\program files\mypc backup\backupstack.exe','32');
 DeleteFile('c:\users\алексей\appdata\local\convertad\casrv.exe','32');
 DeleteFile('c:\program files\xtab\cmdshell.exe','32');
 DeleteFile('c:\users\алексей\appdata\local\convertad\convertad.exe','32');
 DeleteFile('c:\program files\xtab\hpnotify.exe','32');
 DeleteFile('c:\users\алексей\appdata\local\igs\igs.exe','32');
 DeleteFile('c:\users\алексей\appdata\local\igs\igsrv.exe','32');
 DeleteFile('c:\program files\igs\optimizermonitor.exe','32');
 DeleteFile('c:\program files\xtab\protectservice.exe','32');
 DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
 DeleteFile('c:\users\алексей\appdata\roaming\softwareupdater\susrv.exe','32');
 DeleteFile('c:\users\алексей\appdata\local\gmsd_ru_111\upgmsd_ru_111.exe','32');
 DeleteFile('c:\program files\wordproser_1.10.0.6\service\wpsvc.exe','32');
 DeleteFile('C:\Program Files\IGS\OptimizerMonitorCert.dll','32');
 DeleteFile('C:\Program Files\MyPC Backup\x86\SQLite.Interop.dll','32');
 DeleteFile('c:\Program Files\Optimizer Pro 3.26\OptProMon.dll','32');
 DeleteFile('C:\Program Files\XTab\BrowerWatchCH.dll','32');
 DeleteFile('C:\Program Files\XTab\BrowserAction.dll','32');
 DeleteFile('C:\Program Files\XTab\IeWatchDog.dll','32');
 DeleteFile('C:\Program Files\XTab\SupTab.dll','32');
 DeleteFile('C:\windows\system32\OptimizerMonitor.dll','32');
 DeleteFile('C:\windows\system32\drivers\wpnfd_1_10_0_6.sys','32');
 DeleteFile('C:\windows\system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw.sys','32');
 DeleteFile('C:\Users\DBEF~1\AppData\Roaming\PriceFountain\UpdateProc\bkup.dat','32');
 DeleteFile('C:\Users\алексей\AppData\Local\Google\chrome.bat','32');
 DeleteFile('C:\Users\алексей\AppData\Local\PriceFountain\pricefountainw.exe','32');
 DeleteFile('C:\Users\алексей\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pricefountainw.exe','command');
 DeleteFile('C:\Users\алексей\AppData\Local\Yandex\browser.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_111.exe');
 DeleteFile('C:\Users\алексей\AppData\Local\pricehorse\pricehorse\1.3.17.0\pricehorse.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Price-Horse','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinCheck','command');
 DeleteFile('C:\Users\алексей\AppData\Local\wincheck\wincheck.exe','32');
 DeleteFile('C:\Users\алексей\AppData\Roaming\eTranslator\eTranslator.exe','32');
 DeleteFile('C:\iexplore.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command');
 DeleteFile('C:\opera.bat','32');
 DeleteFile('C:\Program Files\sAvEroN\AxkAZjj7XG104A.dll','32');
 DeleteFile('C:\Program Files\ddeaaLsttEr\oNpHZWbpzSeJIe.dll','32');
 DeleteFile('C:\Program Files\ClearThink\ClearThinkbho.dll','32');
 DeleteFile('C:\Users\алексей\AppData\Local\PriceFountain\PriceFountainIE.dll','32');
 DeleteFile('C:\Program Files\ver0BlockAndSurf\187.dll','32');
 DeleteFile('C:\Program Files\SaverADdon\SfrIGosGs3fXzx.dll','32');
 DeleteFile('C:\Users\алексей\appdata\local\pricefountain\pricefountain.exe','32');
 DeleteFile('C:\Users\алексей\appdata\local\pricefountain\pricefountainw.exe','32');
 DeleteFile('C:\Users\алексей\appdata\roaming\vopackage\vosrv.exe','32');
 DeleteFile('C:\Users\алексей\appdata\roaming\pricef~1\update~1\update~1.exe','32');
 DeleteFile('C:\Program Files\clearthink\bin\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}.dll','32');
 DeleteFile('C:\Program Files\igs\optimizermonitorcert.dll','32');
 DeleteFile('C:\Program Files\microsoft data\installaddons.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;	
ExecuteRepair(15); 
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422791650&from=tugs&uid=SAMSUNGXHM250HI_S20TJDQZ636943
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422791650&from=tugs&uid=SAMSUNGXHM250HI_S20TJDQZ636943&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422791650&from=tugs&uid=SAMSUNGXHM250HI_S20TJDQZ636943&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422791650&from=tugs&uid=SAMSUNGXHM250HI_S20TJDQZ636943
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422791650&from=tugs&uid=SAMSUNGXHM250HI_S20TJDQZ636943
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422791595&from=tugs&uid=SAMSUNGXHM250HI_S20TJDQZ636943&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422791595&from=tugs&uid=SAMSUNGXHM250HI_S20TJDQZ636943&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422791650&from=tugs&uid=SAMSUNGXHM250HI_S20TJDQZ636943
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://isearch.omiga-plus.com/web/?type=ds&ts=1422791595&from=tugs&uid=SAMSUNGXHM250HI_S20TJDQZ636943&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://isearch.omiga-plus.com/web/?type=ds&ts=1422791595&from=tugs&uid=SAMSUNGXHM250HI_S20TJDQZ636943&q={searchTerms}
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7b3fc20da23b762fdbe80c780a0fa5e8&text=

Сделайте новые логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте лог Check Browsers' LNK

**pomfair** · 11.02.2015, 13:09

Логи сделаны, карантин отправлен

**thyrex** · 11.02.2015, 18:39

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Удалите вручную

C:\windows\tasks\APSnotifierPP1.job -
C:\windows\tasks\APSnotifierPP2.job -
C:\windows\tasks\APSnotifierPP3.job -
C:\windows\tasks\BlockAndSurf Update.job
C:\windows\tasks\SpeedUpMyPC Maintenance.job
C:\windows\tasks\SpeedUpMyPC Startup.job
C:\windows\tasks\SpeedUpMyPC Subscription.job
C:\ProgramData\RandomDealApp
C:\ProgramData\WildWestCoupon
C:\Program Files\AnyProtectEx
C:\Users\алексей\AppData\Roaming\AnyProtectEx
C:\Program Files\ver0BlockAndSurf
C:\Program Files\gmsd_ru_111
C:\windows\system32\OptimizerMonitor.ini
C:\Program Files\IGS
C:\Users\алексей\AppData\Roaming\SoftwareUpdater
C:\ProgramData\IHProtectUpDate
C:\Program Files\XTab
C:\Users\алексей\AppData\Roaming\VOPackage
C:\Users\алексей\AppData\Roaming\Uniblue
C:\Program Files\Uniblue
C:\ProgramData\WindowsMangerProtect
C:\Program Files\FastPlayer
C:\Users\алексей\AppData\Roaming\omiga-plus
C:\Program Files\MyPC Backup
C:\Program Files\PuroSuhuopper
C:\Program Files\SaverADdon
C:\Program Files\Video Bookmarks
C:\Program Files\eaisytOsihopp
C:\ProgramData\hmldmmjmnlcpkeikppmfnhibdeeffdpj
C:\Program Files\SaViinnshoP
C:\Program Files\sAvEroN
C:\ProgramData\14875432795458523268
C:\Program Files\ddeaaLsttEr
C:\Users\алексей\AppData\Roaming\Optimizer Pro
C:\Users\алексей\AppData\Roaming\PriceFountain
C:\Program Files\Optimizer Pro 3.26
C:\Program Files\Microsoft Data
C:\Users\алексей\AppData\Roaming\ASPackage
C:\Program Files\WordProser_1.10.0.6
C:\оpеrа.bаt.exe
C:\iехplоrе.bаt.exe
C:\Users\алексей\AppData\Roaming\eTranslator
C:\windows\system32\tmpC582.tmp

Поместите в карантин МВАМ все найденное

**pomfair** · 12.02.2015, 14:21

Отчёт ClearLNK прикрепил, папки и файлы удалил вручную, всё найденное в mbam отправил на карантин

- - - - -Добавлено - - - - -

Стало всё хорошо. Осталось только одно окно, которое появляется при загрузке при загрузке о.с. примерно через 5-10 минут.
Скриншот прикрепил к сообщению.

- - - - -Добавлено - - - - -

Разобрался, в настройках «Центра отправки Microsoft Office Starter приостановил отправки, окно не появляется.

**thyrex** · 12.02.2015, 19:42

Замечательно

**CyberHelper** · 12.02.2015, 19:52

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 127
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\clearthink\bin\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}.dll - not-a-virus:AdWare.Win32.SwiftBrowse.q ( DrWEB: Trojan.BPlug.100, BitDefender: Adware.SwiftBrowse.CN )
2. c:\program files\clearthink\clearthinkbho.dll - not-a-virus:AdWare.Win32.SwiftBrowse.q ( DrWEB: Trojan.BPlug.141, BitDefender: Adware.BPlug.M )
3. c:\program files\igs\optimizermonitorcert.dll - not-a-virus:AdWare.Win32.OptimizerMonitor.a
4. c:\program files\igs\optimizermonitor.exe - not-a-virus:AdWare.Win32.OptimizerMonitor.a
5. c:\program files\wordproser_1.10.0.6\service\wpsvc.exe - not-a-virus:AdWare.Win32.Vitruvian.a
6. c:\program files\xtab\cmdshell.exe - not-a-virus:AdWare.Win32.SearchProtect.ky
7. c:\program files\xtab\protectservice.exe - not-a-virus:AdWare.Win32.SearchProtect.nf
8. c:\programdata\windowsmangerprotect\protectwindows manager.exe - not-a-virus:AdWare.Win32.WProtManager.u
9. c:\users\dbef~1\appdata\roaming\pricefountain\upda teproc\bkup.dat - Trojan.VBS.Agent.ue
10. c:\users\алексей\appdata\local\pricehorse\pricehor se\1.3.17.0\pricehorse.exe - not-a-virus:AdWare.Win32.Buen.j ( BitDefender: Adware.PayByAds.A )
11. c:\users\алексей\appdata\roaming\pricef~1\update~1 \update~1.exe - not-a-virus:AdWare.Win32.DealPly.hy ( AVAST4: Win32:Adware-gen [Adw] )
12. c:\users\алексей\appdata\roaming\vopackage\vosrv.e xe - not-a-virus:AdWare.Win32.Agent.gzjr ( AVAST4: Win32:Adware-gen [Adw] )
13. c:\windows\system32\drivers\wpnfd_1_10_0_6.sys - not-a-virus:AdWare.Win64.Vitruvian.a ( DrWEB: Adware.Popad.10 )
14. c:\windows\system32\optimizermonitor.dll - not-a-virus:AdWare.Win32.OptimizerMonitor.a

Рекламные вирусы [not-a-virus:AdWare.Win32.Agent.gzjr, not-a-virus:AdWare.Win32.Buen.j ] (заявка № 176963)

Опции темы

Рекламные вирусы [not-a-virus:AdWare.Win32.Agent.gzjr, not-a-virus:AdWare.Win32.Buen.j ]

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Это понравилось:

Итог лечения

Это понравилось:

Похожие темы

Adware или остатки вируса, грязный hosts, самооткрывающийся chrome с рекламой [not-a-virus:AdWare.Win32.DealPly.qc, not-a-virus:AdWare.Win32.Agent.eqwa ]

Рекламные вирусы. [Trojan-Downloader.Win32.Agent.heqj, not-a-virus:AdWare.Win32.Tirrip.k ]

Вирусы на компьютере [not-a-virus:AdWare.Win32.MMag.k, not-a-virus:AdWare.Win32.Agent.aljo ]

Всплывающие окна и рекламные баннеры в браузере [not-a-virus:RiskTool.Win32.Agent.jkq, not-a-virus:AdWare.Win32.Agent.ctjs ]

Bestmarkit + рекламные окна в браузере + притормаживает система [not-a-virus:HEUR:AdWare.Win32.Agent.heur, not-a-virus:HEUR:AdWare.Win32.Lyckriks.heur ]

Ваши права в разделе