Удаление pagego [not-a-virus:RiskTool.NSIS.Agent.kc, not-a-virus:Downloader.Win32.Agent.ebbb ]

**AvigdorStein** · 28.05.2016, 23:45

Доброго времени суток уважаемым хелперам!
Очень давно заметил появление pagego на стартовой странице хрома. Посмотрел расширения, софт в установленном - ничего не нашел и что-то подзабил. А сегодня не хотел открываться мейл и яндекс и я напрягся. Оказывается, с рабочего стола запускался далеко не хром))
Помогите, пожалуйста.
Кроме этого, если можно, опишите (или дайте ссылку, что вероятнее) вред от этого pagego. У меня ad muncher, я рекламу не вижу, кроме стартовой страницы дискомфорта не чувствовал.

Система Win10 x64

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.05.2016, 23:46

Уважаемый(ая) AvigdorStein, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 31.05.2016, 23:07

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\WINDOWS\Tasks\Uninstaller_SkipUac_elf.job', '64');
 DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe', '32');
 DeleteFile('C:\Users\elf\AppData\Local\coprofit\coprofit_stb.exe', '32');
 DeleteFile('C:\Users\elf\AppData\Local\coprofit\config.json', '32');
 DeleteFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL', '32');
 DeleteFile('C:\Users\elf\appdata\local\kometa\kometaup.exe', '32');
 DeleteFileMask('c:\program files (x86)\askpartnernetwork', '*', true);
 DeleteFileMask('c:\users\elf\appdata\local\coprofit', '*', true);
 DeleteFileMask('c:\progra~2\iobit', '*', true);
 DeleteFileMask('c:\program files (x86)\iobit', '*', true);
 DeleteFileMask('c:\users\elf\appdata\local\kometa', '*', true);
 DeleteDirectory('c:\program files (x86)\askpartnernetwork');
 DeleteDirectory('c:\users\elf\appdata\local\coprofit');
 DeleteDirectory('c:\progra~2\iobit');
 DeleteDirectory('c:\program files (x86)\iobit');
 DeleteDirectory('c:\users\elf\appdata\local\kometa');
 DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}');
 ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_elf" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ApnTBMon');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'coprofit');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

Сделайте лог Check Browsers' LNK by Dragokas & regist.

**AvigdorStein** · 01.06.2016, 00:38

Большое спасибо за помощь!

**Vvvyg** · 01.06.2016, 09:29

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования, только если используете программы от этого портала, уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминается Mail.Ru.

Установите в пункте меню "Настройки" (Settings) галочку "Сброс политик Chrome" .
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

**AvigdorStein** · 01.06.2016, 21:22

Пациент здоров?)

**Vvvyg** · 01.06.2016, 22:27

Это Вы скажите. Что-то ещё беспокоит?

**AvigdorStein** · 01.06.2016, 23:12

Нет, ярлыки исчезли. Я думал, может быть в присланных файлах есть какие-то еще вопросы.
Пожалуйста, подскажите, существовала ли вероятность угона паролей и тп? Или вред был только в виде рекламы?

Огромное спасибо за помощь!

**Vvvyg** · 01.06.2016, 23:16

Только реклама, скорее всего. Но менять пароли периодически - весьма полезно для безопасности.

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.

**CyberHelper** · 01.06.2016, 23:26

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\users\elf\appdata\local\coprofit\coprofit_stb.e xe - not-a-virus:RiskTool.NSIS.Agent.kc ( DrWEB: Adware.Shopper.1216 )
2. c:\users\elf\appdata\local\kometa\kometaup.exe - not-a-virus:Downloader.Win32.Agent.ebbb ( DrWEB: Trojan.LoadMoney.681, BitDefender: Trojan.Generic.14722750 )