Показано с 1 по 19 из 19.

На ПК самостоятельно устанавливаются/загружаются приложения. [not-a-virus:AdWare.Win32.Agent.jnev ] (заявка № 193357)

  1. #1
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    13
    Вес репутации
    31

    Thumbs up На ПК самостоятельно устанавливаются/загружаются приложения. [not-a-virus:AdWare.Win32.Agent.jnev ]

    Доброго дня! На ПК самостоятельно грузятся и устанавливаются приложения, появляются ссылки в браузере и спам видео. Удаление не помогает, через некоторое время эти программы появляются вновь.
    Помогите решить эту проблему!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) manifest, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     TerminateProcessByName('c:\program files (x86)\4e435451-1447852549-3049-4832-10bf4863b0a4\knsw5dfe.tmp');
     TerminateProcessByName('c:\users\2ba0~1\appdata\local\temp\nss1f4b.tmp');
     TerminateProcessByName('c:\programdata\5wminipro5\wminipro.exe');
     SetServiceStart('WdsManPro', 4);
     StopService('muciceji');
     StopService('WdsManPro');
     QuarantineFile('c:\program files (x86)\4e435451-1447852549-3049-4832-10bf4863b0a4\knsw5dfe.tmp', '');
     QuarantineFile('c:\users\2ba0~1\appdata\local\temp\nss1f4b.tmp', '');
     QuarantineFile('C:\Program Files (x86)\SFK\SSFK.exe', '');
     QuarantineFileF('C:\Program Files (x86)\SFK\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     QuarantineFile('C:\ProgramData\Bamcof\Bamcof.exe', '');
     QuarantineFile('C:\Users\Максим\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '');
     QuarantineFileF('C:\Users\Максим\appdata\roaming\windowsupdater\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     QuarantineFile('C:\Windows\system32\vsprotectproxy.dll', '');
     QuarantineFile('C:\Users\Максим\AppData\Roaming\WindowsUpdater\Updater.exe', '');
     QuarantineFile('C:\Users\Максим\AppData\Local\7812\Updater.exe', '');
     QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
     QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010155\gmsd_ru_005010155.exe', '');
     QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
     QuarantineFile('C:\ProgramData\5WMiniPro5\WMiniPro.exe', '');
     QuarantineFileF('C:\ProgramData\5WMiniPro5', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     QuarantineFileF('C:\Program Files (x86)\Zaxar\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     QuarantineFileF('C:\ProgramData\TimeTasks\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     DeleteFile('c:\program files (x86)\4e435451-1447852549-3049-4832-10bf4863b0a4\knsw5dfe.tmp', '32');
     DeleteFile('c:\users\2ba0~1\appdata\local\temp\nss1f4b.tmp', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
     DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
     DeleteFile('C:\Program Files (x86)\gmsd_ru_005010155\gmsd_ru_005010155.exe', '32');
     DeleteFile('C:\Users\Максим\AppData\Local\7812\Updater.exe', '32');
     DeleteFile('C:\Windows\Tasks\AmiUpdXp.job', '32');
     DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp', '64');
     DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater', '64');
     DeleteFile('c:\programdata\5wminipro5\wminipro.exe', '32');
     DeleteFile('C:\Users\Максим\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '32');
     DeleteFile('C:\Users\Максим\appdata\roaming\windowsupdater\updater.exe', '32');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     DeleteService('muciceji');
     DeleteService('WdsManPro');
     DeleteFileMask('C:\Program Files (x86)\SFK\', '*', true);
     DeleteFileMask('C:\Users\Максим\appdata\roaming\windowsupdater\', '*', true);
     DeleteFileMask('C:\ProgramData\5WMiniPro5', '*', true);
     DeleteFileMask('C:\Program Files (x86)\Zaxar\', '*', true);
     DeleteFileMask('C:\ProgramData\TimeTasks\', '*', true);
     DeleteDirectory('C:\Program Files (x86)\SFK\');
     DeleteDirectory('C:\Users\Максим\appdata\roaming\windowsupdater\');
     DeleteDirectory('C:\ProgramData\5WMiniPro5');
     DeleteDirectory('C:\Program Files (x86)\Zaxar\');
     DeleteDirectory('C:\ProgramData\TimeTasks\');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010155');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'schqwrenhm');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    13
    Вес репутации
    31
    http://virusinfo.info/virusdetector/...652648A1710675
    Ссылка на анализ карантина

    - - - - -Добавлено - - - - -

    повторный лог раздела Диагностика
    Запрошенный карантин выслан.

    - - - - -Добавлено - - - - -

    отчет AdwCleaner

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.



    + Сделайте полный образ автозапуска uVS, только программу скачайте отсюда

    + \IconRunner\MoneyBot.exe - эта программа вам знакома?

  8. #6
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    13
    Вес репутации
    31
    Сделал оба пункта. Эта программа мне неизвестна.

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    IconRunner version 1.0, Buzz Extension, istartpageing uninstall - деинсталируйте.

    Supernova, Bing Bar - сами ставили? Если нет также деинсталируйте.

    + - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

    - - - - -Добавлено - - - - -

    + Выполните скрипт в uVS и пришлите карантин

    Код:
    ;uVS v3.86.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    dirzooex %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\BUZZ EXTENSION\ZBIN
    dirzooex %SystemDrive%\PROGRAMDATA\BAMCOF
    zoo %SystemDrive%\PROGRAMDATA\BAMCOF\BAMCOF.EXE
    bl 46AF237500CE319979563708012D27DD 450560
    delall %SystemDrive%\PROGRAMDATA\BAMCOF\BAMCOF.EXE
    zoo %SystemDrive%\USERS\МАКСИМ\DOWNLOADS\WOTSPEAK MODPACK 0.9.10 VER.0.EXE
    delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\TEMP\RAR$EXA0.824\RAKES.EXE
    dirzooex %SystemRoot%\SYS
    czoo
    restart
    затем свежий образ автозапуска.

    + свежий лог AdwCleaner-а сделайте.

  10. #8
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    13
    Вес репутации
    31
    лог LNK

    - - - - -Добавлено - - - - -

    образ автозапуска сделал, но не могу загрузить, т.к. нехватает места в менеджере вложений. непонятно как удалить старые файлы.

    - - - - -Добавлено - - - - -

    лог Adw

    - - - - -Добавлено - - - - -

    карантин отправлен
    Вложения Вложения

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    выполняйте остальное

    + - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

    Код:
    C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Overwolf\Оvеrwоlf.lnk
    C:\Users\Public\Desktop\Оverwolf.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk
    C:\Users\Максим\Desktop\Continue ExtraFeatures Installation.lnk
    C:\Users\Максим\Desktop\ВОТ\Wasteland 2.lnk
    C:\Users\Public\Desktop\ASUS\'Развлечения\Game Park Console.lnk
    C:\Users\Public\Desktop\ASUS\'Текстовый процессор\Adobe Reader X.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Bridge CS3.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Device Central CS3.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop CS3.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Stock Photos CS3.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Uninstall World of Tanks.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk
    C:\Users\Максим\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Мozilla Firefох.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Wоrld of Таnks Launcher (2).lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Wоrld of Таnks Launcher.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    C:\Users\Максим\Favorites\Links\Интернет.url

  12. #10
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    13
    Вес репутации
    31
    отчет исправления.
    Сделал все кроме образа автозапуска.
    Вложения Вложения

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от manifest Посмотреть сообщение
    образ автозапуска сделал, но не могу загрузить, т.к. нехватает места в менеджере вложений.
    можете загрузите сюда http://rghost.ru/ и оставить ссылку

    Цитата Сообщение от manifest Посмотреть сообщение
    непонятно как удалить старые файлы.
    есть в FAQ, ссылка на оглавление у меня в подписи.

  14. #12
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    13
    Вес репутации
    31
    http://rghost.ru/8Ls8MQVZ2
    cсылка на автозапуск

  15. #13

  16. #14
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    13
    Вес репутации
    31
    лог uVS

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS

    Код:
    ;uVS v3.86.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    zoo %SystemRoot%\SYS\SVCHOST.EXE
    bl 9315B6504384B9FD4BF4D41EA4D90A58 331264
    delall %SystemRoot%\SYS\SVCHOST.EXE
    regt 28
    regt 29
    czoo
    restart
    сделайте свежий образ автозапуска. И что с проблемой?

  18. Это понравилось:


  19. #16
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    13
    Вес репутации
    31
    Образ автозапуска.
    Больше такой проблемы не было замечено.
    Вложения Вложения

  20. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  21. Это понравилось:


  22. #18
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    13
    Вес репутации
    31
    Выполнил, найдено две уязвимости. загрузил.

    - - - - -Добавлено - - - - -

    Выполнил рекомендации. Надеюсь, больше не поймаю ничего подобного!
    Спасибо большое за профессиональную помощь!

  23. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. \buzzextension.dll.bak._e1c967f85b80b2f8019e6558a4 aa28c46b645755 - not-a-virus:AdWare.Win32.Agent.jnev


  24. Это понравилось:


  • Уважаемый(ая) manifest, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 8
      Последнее сообщение: 25.11.2015, 14:47
    2. Ответов: 14
      Последнее сообщение: 02.09.2015, 20:46
    3. Ответов: 16
      Последнее сообщение: 10.07.2015, 14:49
    4. Ответов: 11
      Последнее сообщение: 10.07.2015, 00:59
    5. Ответов: 7
      Последнее сообщение: 11.07.2014, 16:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00741 seconds with 20 queries