Junior Member
Вес репутации
57
Реклама, переход на другие страницы, замена поисковика и браузера по умолчанию [not-a-virus:AdWare.Win64.Agent.ax
]
Добрый день.
В окне браузера появились 3 окна с рекламой и предложением проверить компьютер. При закрытии окон, открывает другие страницы. При включении браузера меняет ссылки, окна открываются сами собой. Поменялся поисковик и браузер по умолчанию.
Антивирус зараженные объекты находит, лечит, а потом они появляются вновь.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Stakhurlov , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Junior Member
Вес репутации
57
Yet Another Cleaner! удалите через Установку программ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
Готово.
А карантин повторно присылать?
- - - - -Добавлено - - - - -
Прошу прощения, про меня не забыли?
Вложения
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Mikhail\appdata\everything\sfkex64.exe','');
QuarantineFile('C:\Users\Mikhail\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','');
QuarantineFile('C:\Users\Mikhail\AppData\Local\UpdateAdmin\UpdateAdmin.exe','');
DeleteService('Util BrowseStudio');
DeleteService('Update BrowseStudio');
QuarantineFile('C:\Program Files (x86)\BrowseStudio\bin\utilBrowseStudio.exe','');
QuarantineFile('c:\program files (x86)\picexa\picexasvc.exe','');
TerminateProcessByName('c:\program files (x86)\picexa\picexasvc.exe');
DeleteFile('c:\program files (x86)\picexa\picexasvc.exe','32');
DeleteFile('C:\Program Files (x86)\BrowseStudio\updateBrowseStudio.exe','32');
DeleteFile('C:\Program Files (x86)\BrowseStudio\bin\utilBrowseStudio.exe','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32');
DeleteFile('C:\Users\Mikhail\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\Digital Sites.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
Доброй ночи.
Выполнил скрипты. Появившийся файл с карантином добавил.
Выполнил все 3 пункта согласно инструкции.
Логи прикрепил.
Вложения
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
Готово.
Нужно отметить, что 3 окна с рекламой снизу - пропали.
Осталась реклама по краям. Слева как будто меню. Справа в верхнем углу завернутая страница, а под ней ролик или ссылка на страницу. При попытке нажать на любое место на главной странице открывается другая страница со спамом. И так происходит 2 раза, перейти по ссылке можно только с 3-его раза.
Вложения
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1434530935&z=60bd6d2c2ea96019bb2754eg7zfc6z3w6cbe2tac7w&from=ient06171&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1434530935&z=60bd6d2c2ea96019bb2754eg7zfc6z3w6cbe2tac7w&from=ient06171&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1416556647&from=cor&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1416556647&from=cor&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1434530935&z=60bd6d2c2ea96019bb2754eg7zfc6z3w6cbe2tac7w&from=ient06171&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1434530935&z=60bd6d2c2ea96019bb2754eg7zfc6z3w6cbe2tac7w&from=ient06171&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1416556647&from=cor&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1416556647&from=cor&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6&q={searchTerms}
HKU\S-1-5-21-67130783-2125289816-1569681838-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1434530935&z=60bd6d2c2ea96019bb2754eg7zfc6z3w6cbe2tac7w&from=ient06171&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6&q={searchTerms}
HKU\S-1-5-21-67130783-2125289816-1569681838-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1434530935&z=60bd6d2c2ea96019bb2754eg7zfc6z3w6cbe2tac7w&from=ient06171&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6
HKU\S-1-5-21-67130783-2125289816-1569681838-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1434530935&z=60bd6d2c2ea96019bb2754eg7zfc6z3w6cbe2tac7w&from=ient06171&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6
HKU\S-1-5-21-67130783-2125289816-1569681838-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1434530935&z=60bd6d2c2ea96019bb2754eg7zfc6z3w6cbe2tac7w&from=ient06171&uid=ST500LT012-9WS142_S0V33WX6XXXXS0V33WX6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-67130783-2125289816-1569681838-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-67130783-2125289816-1569681838-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-67130783-2125289816-1569681838-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-67130783-2125289816-1569681838-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-67130783-2125289816-1569681838-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
CHR Extension: (EditThisCookie) - C:\Users\Mikhail\AppData\Local\Google\Chrome\User Data\Default\Extensions\fngmhnnpilhplaeedifhccceomclgfbg [2015-08-04]
CHR Extension: (ScriptSafe) - C:\Users\Mikhail\AppData\Local\Google\Chrome\User Data\Default\Extensions\oiigbmnaadbkfbmpbfijlflahbdbdgdf [2015-08-04]
2015-08-02 00:37 - 2015-08-02 00:37 - 00000000 ____D C:\Program Files (x86)\Record Page
CustomCLSID: HKU\S-1-5-21-67130783-2125289816-1569681838-1001_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe No File
CustomCLSID: HKU\S-1-5-21-67130783-2125289816-1569681838-1001_Classes\CLSID\{7DE1BE5C-CEBA-4F1D-ACBC-9CE11EE9A2A1}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation No File
CustomCLSID: HKU\S-1-5-21-67130783-2125289816-1569681838-1001_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation No File
CustomCLSID: HKU\S-1-5-21-67130783-2125289816-1569681838-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2014\en-US\acadficn.dll No File
Task: {5C56D1AB-38EB-47CC-9539-F16BE74CBCDA} - System32\Tasks\UpdateAdmin => C:\Users\Mikhail\AppData\Local\UpdateAdmin\UpdateAdmin.exe [2015-07-28] (DownloadAdmin) <==== ATTENTION
Reboot:
Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
Все осталось как есть.
Хотя антивирус теперь не находит зараженные объекты.
Реклама внизу (3 окна) опять появилась.
Отключите все установленные в браузерах расширения и проверьте проблему
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
Отключил.
Проблема осталась
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
Спасибо за помощь, но не могу столько дней без компа.
Пошел на радикальные меры. Переустановил винду с форматированием диска С.
Закройте тему пожалуйста. Спасибо.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 5 В ходе лечения обнаружены вредоносные программы:
c:\users\mikhail\appdata\everything\sfkex64.exe - not-a-virus:AdWare.Win64.Agent.ax