DNS Unlocker и yxo.worm [not-a-virus:AdWare.Win32.Agent.jvij ]

**Ольга Цыркунова** · 20.03.2016, 13:24

Здравствуйте, помогите справится с баннерами.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.03.2016, 13:26

Уважаемый(ая) Ольга Цыркунова, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 20.03.2016, 23:10

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~3\e35af26d\af4cd8b6.dll','');
 QuarantineFile('C:\Users\olgacirk\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 DeleteFile('C:\Users\olgacirk\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\WINDOWS\Tasks\Digital Sites.job','32');
 DeleteFile('C:\PROGRA~3\e35af26d\af4cd8b6.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{D896B32D-F9B2-6409-8D9F-2665BC6D3258}','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Пофиксите в HiJack

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{39bfda51-4110-453a-850c-7e7a12fe1829}: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{849fc94c-9ac5-486f-959e-1181c896ad6b}: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{c42a6b17-9358-4069-a865-41bf6db07d72}: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4de036c-5991-4fa5-8086-86c631a24508}: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.142.7 95.211.158.134

Сделайте лог CheckBrowsers' Lnk

Обновите базы AVZ

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

**Ольга Цыркунова** · 21.03.2016, 17:29

Новые логи

**thyrex** · 21.03.2016, 22:12

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

**Ольга Цыркунова** · 22.03.2016, 13:33

thyrex,

**thyrex** · 26.03.2016, 01:11

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => No File
Tcpip\..\Interfaces\{39bfda51-4110-453a-850c-7e7a12fe1829}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{849fc94c-9ac5-486f-959e-1181c896ad6b}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{c42a6b17-9358-4069-a865-41bf6db07d72}: [DhcpNameServer] 82.163.142.7
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-3274698469-1925596200-1398864425-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=643de266820e55a6495ed7c5794d5299&text={searchTerms}
HKU\S-1-5-21-3274698469-1925596200-1398864425-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={DE6EC1A5-6ADF-4927-B094-4B5C25F23F6D}&i=
HKU\S-1-5-21-3274698469-1925596200-1398864425-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=643de266820e55a6495ed7c5794d5299&text={searchTerms}
HKU\S-1-5-21-3274698469-1925596200-1398864425-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={DE6EC1A5-6ADF-4927-B094-4B5C25F23F6D}&i=
SearchScopes: HKU\S-1-5-21-3274698469-1925596200-1398864425-1000 -> DefaultScope {65915CE2-A532-4C89-BB22-E18969494615} URL = hxxp://search.eshield.com/serp?guid={DE6EC1A5-6ADF-4927-B094-4B5C25F23F6D}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-3274698469-1925596200-1398864425-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=643de266820e55a6495ed7c5794d5299&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3274698469-1925596200-1398864425-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=643de266820e55a6495ed7c5794d5299&text=
SearchScopes: HKU\S-1-5-21-3274698469-1925596200-1398864425-1000 -> {65915CE2-A532-4C89-BB22-E18969494615} URL = hxxp://search.eshield.com/serp?guid={DE6EC1A5-6ADF-4927-B094-4B5C25F23F6D}&action=default_search&k={searchTerms}
BHO: TermTutor -> {6CB99040-7828-4C37-AC01-F15758F43E4D} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: KMP Media Toolbar -> {daf5b34c-1aa3-4c33-ae24-766a370635d2} -> C:\Program Files (x86)\kmpmediatoolbar\searchresultsDx.dll [2012-03-22] (Ask.com)
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3274698469-1925596200-1398864425-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Keyword.URL: hxxp://search.eshield.com/serp?guid={DE6EC1A5-6ADF-4927-B094-4B5C25F23F6D}&action=default_search&k=
FF DefaultSearchEngine: eShield Safe Web
FF Homepage: hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={DE6EC1A5-6ADF-4927-B094-4B5C25F23F6D}&i=
FF NewTab: hxxp://services.eshield.com/general/newhometab.php?hometab=tab&partner=11467&guid={DE6EC1A5-6ADF-4927-B094-4B5C25F23F6D}&i=
FF Extension: eShield - C:\Users\olgacirk\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-01-30] [not signed]
FF Extension: SaveSense - C:\Users\olgacirk\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{2fab2e94-d6f9-42de-8839-3510cef6424b} [2014-08-05] [not signed]
CHR Extension: (Gmail) - C:\Users\olgacirk\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-11-18]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKU\S-1-5-21-3274698469-1925596200-1398864425-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Переводчик для Chrome 2) - C:\Users\olgacirk\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdanidgdpmkimeiiojknlnekblgmpdll [2014-10-13]
2016-03-20 18:53 - 2016-03-20 18:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-6e47-0
2016-03-20 18:53 - 2016-03-20 18:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-6161-1
2016-03-20 18:53 - 2016-03-20 18:53 - 00000000 ____D C:\ProgramData\65269f8c-6e47-0
2016-03-20 18:53 - 2016-03-20 18:53 - 00000000 ____D C:\ProgramData\65269f8c-6161-1
2016-03-20 12:53 - 2016-03-20 12:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-5bf5-1
2016-03-20 12:53 - 2016-03-20 12:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-5741-0
2016-03-20 12:53 - 2016-03-20 12:53 - 00000000 ____D C:\ProgramData\65269f8c-5bf5-1
2016-03-20 12:53 - 2016-03-20 12:53 - 00000000 ____D C:\ProgramData\65269f8c-5741-0
2016-03-20 00:54 - 2016-03-20 00:55 - 00000000 ____D C:\Users\Все пользователи\65269f8c-5c31-1
2016-03-20 00:54 - 2016-03-20 00:55 - 00000000 ____D C:\Users\Все пользователи\65269f8c-2d17-0
2016-03-20 00:54 - 2016-03-20 00:55 - 00000000 ____D C:\ProgramData\65269f8c-5c31-1
2016-03-20 00:54 - 2016-03-20 00:55 - 00000000 ____D C:\ProgramData\65269f8c-2d17-0
2016-03-19 18:53 - 2016-03-19 18:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-1c77-1
2016-03-19 18:53 - 2016-03-19 18:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-0b33-0
2016-03-19 18:53 - 2016-03-19 18:53 - 00000000 ____D C:\ProgramData\65269f8c-1c77-1
2016-03-19 18:53 - 2016-03-19 18:53 - 00000000 ____D C:\ProgramData\65269f8c-0b33-0
2016-03-19 00:53 - 2016-03-19 00:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-37b3-1
2016-03-19 00:53 - 2016-03-19 00:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-0733-0
2016-03-19 00:53 - 2016-03-19 00:53 - 00000000 ____D C:\ProgramData\65269f8c-37b3-1
2016-03-19 00:53 - 2016-03-19 00:53 - 00000000 ____D C:\ProgramData\65269f8c-0733-0
2016-03-17 18:53 - 2016-03-17 18:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-3db3-0
2016-03-17 18:53 - 2016-03-17 18:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-1125-1
2016-03-17 18:53 - 2016-03-17 18:53 - 00000000 ____D C:\ProgramData\65269f8c-3db3-0
2016-03-17 18:53 - 2016-03-17 18:53 - 00000000 ____D C:\ProgramData\65269f8c-1125-1
2016-03-15 18:53 - 2016-03-15 18:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-6551-1
2016-03-15 18:53 - 2016-03-15 18:53 - 00000000 ____D C:\Users\Все пользователи\65269f8c-4571-0
2016-03-15 18:53 - 2016-03-15 18:53 - 00000000 ____D C:\ProgramData\65269f8c-6551-1
2016-03-15 18:53 - 2016-03-15 18:53 - 00000000 ____D C:\ProgramData\65269f8c-4571-0
2016-03-15 18:48 - 2016-03-15 18:49 - 00000000 ____D C:\Users\Все пользователи\65269f8c-5673-0
2016-03-15 18:48 - 2016-03-15 18:49 - 00000000 ____D C:\ProgramData\65269f8c-5673-0
2016-03-07 19:18 - 2016-03-15 18:48 - 00000000 ____D C:\Users\Все пользователи\65269f8c-49f3-0
2016-03-07 19:18 - 2016-03-15 18:48 - 00000000 ____D C:\ProgramData\65269f8c-49f3-0
2016-03-07 19:13 - 2016-03-21 16:36 - 00000000 ____D C:\Users\Все пользователи\e35af26d
2016-03-07 19:13 - 2016-03-21 16:36 - 00000000 ____D C:\ProgramData\e35af26d
2016-03-07 19:13 - 2016-03-15 18:48 - 00000000 ____D C:\Users\Все пользователи\65269f8c-62a3-0
2016-03-07 19:13 - 2016-03-15 18:48 - 00000000 ____D C:\ProgramData\65269f8c-62a3-0
2016-03-07 19:13 - 2016-03-07 19:13 - 00000000 ____D C:\Users\Все пользователи\{2640b187-212c-0}
2016-03-07 19:13 - 2016-03-07 19:13 - 00000000 ____D C:\Users\Все пользователи\{1906de59-512c-0}
2016-03-07 19:13 - 2016-03-07 19:13 - 00000000 ____D C:\Users\Все пользователи\{031d281e-412c-1}
2016-03-07 19:13 - 2016-03-07 19:13 - 00000000 ____D C:\ProgramData\{2640b187-212c-0}
2016-03-07 19:13 - 2016-03-07 19:13 - 00000000 ____D C:\ProgramData\{1906de59-512c-0}
2016-03-07 19:13 - 2016-03-07 19:13 - 00000000 ____D C:\ProgramData\{031d281e-412c-1}
2016-01-30 11:11 - 2016-03-07 19:14 - 00000000 ____D C:\Users\Все пользователи\d0fd8072-76c5-0
2016-01-30 11:11 - 2016-03-07 19:14 - 00000000 ____D C:\ProgramData\d0fd8072-76c5-0
2016-01-30 11:11 - 2016-03-07 19:13 - 00000000 ____D C:\Users\Все пользователи\d0fd8072-5c61-1
2016-01-30 11:11 - 2016-03-07 19:13 - 00000000 ____D C:\ProgramData\d0fd8072-5c61-1
Task: {233916A2-C9EE-4C8A-A278-0E62E83AFDC5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {2A324565-6D50-42D7-87A1-9EEA34B38C32} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {5B0CE0A6-CE2D-4C7C-9F58-75522F7FBD3D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {65CF2359-8E09-4209-A7B4-F0A895A001BE} - \Digital Sites -> No File <==== ATTENTION
Task: {70FFFFA7-4978-44A0-A39F-99DB1880E07C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {79337D21-75D3-4C23-8052-30EAA5BC4F72} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {9CC3723E-8CE6-4974-9F43-E3FB20BA74EF} - \{D896B32D-F9B2-6409-8D9F-2665BC6D3258} -> No File <==== ATTENTION
Task: {A2AFFD3F-9795-4B78-8B7A-2F45B85C65C8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {A3655070-E2B8-4887-BCAD-EDFD95DE685E} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
Task: {D7FC726E-676F-49F1-BF61-21FC688C63BD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {D84E4838-592F-4A04-B5D3-9C325E60EA84} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {E55314D8-9AAA-4AA4-B382-901D7D917729} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {FA72D346-16F7-48D9-AF25-8F28F60137B7} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {FB138057-E90F-4428-B4AE-96AF7C5570BE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

**CyberHelper** · 26.03.2016, 01:21

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\progra~3\e35af26d\af4cd8b6.dll - not-a-virus:AdWare.Win32.Agent.jvij

DNS Unlocker и yxo.worm [not-a-virus:AdWare.Win32.Agent.jvij ] (заявка № 198496)

Опции темы