Показано с 1 по 6 из 6.

Установлены подозрительные программы [not-a-virus:AdWare.Win32.ExtBro.g ] (заявка № 202875)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    09.08.2016
    Сообщений
    6
    Вес репутации
    28

    Установлены подозрительные программы [not-a-virus:AdWare.Win32.ExtBro.g ]

    Доброго времени суток. На моем ноутбуке были обнаружены подозрительные программы Star Conflict, War Thunder, Forge of Empires и Black Desert. Скорее всего, шпионское ПО. Антивирус Nod32 не видит ничего подозрительного. Логи прилагаю. Заранее спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Денис Сивцев, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    По названиям больше похоже на игры. Стандартным способом не удаляются?

    Обновите базы AVZ ("Файл" -> "Обновление баз").

    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteAVUpdate;
     TerminateProcessByName('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe');
     TerminateProcessByName('c:\program files (x86)\mail.ru\update service\mrupdsrv.exe');
     StopService('mrupdsrv');
     StopService('Updater.Mail.Ru');
     QuarantineFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '');
     QuarantineFile('c:\program files (x86)\mail.ru\update service\mrupdsrv.exe', '');
     QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\D484764A-3B6E-4C6A-9976-1E2FB5272ED5.exe', '');
     QuarantineFile('C:\Users\DENIS\AppData\Local\Microsoft\EED38619A0258D8CC2127B6A6B8B7274\6130572AD99EB10B8DF4CCE40CA1F92F.exe', '');
     QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
     QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
     DeleteFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '32');
     DeleteFile('c:\program files (x86)\mail.ru\update service\mrupdsrv.exe', '32');
     DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\D484764A-3B6E-4C6A-9976-1E2FB5272ED5.exe', '32');
     DeleteFile('C:\Users\DENIS\AppData\Local\Microsoft\EED38619A0258D8CC2127B6A6B8B7274\6130572AD99EB10B8DF4CCE40CA1F92F.exe', '32');
     DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
     DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
     DeleteService('mrupdsrv');
     DeleteService('Updater.Mail.Ru');
     DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
     DeleteFileMask('c:\program files (x86)\common files\adobe\ooba', '*', true);
     DeleteFileMask('c:\users\denis\appdata\local\microsoft\eed38619a0258d8cc2127b6a6b8b7274', '*', true);
     DeleteFileMask('c:\programdata\krb updater utility', '*', true);
     DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
     DeleteDirectory('c:\program files (x86)\mail.ru');
     DeleteDirectory('c:\program files (x86)\common files\adobe\ooba');
     DeleteDirectory('c:\users\denis\appdata\local\microsoft\eed38619a0258d8cc2127b6a6b8b7274');
     DeleteDirectory('c:\programdata\krb updater utility');
     DeleteDirectory('c:\program files (x86)\kinoroom browser');
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\A1F92FC04ECC4FD8B01BE99DA2613057" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\A1F92FC04ECC4FD8B01BE99DA2613057SB" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A0E504678-A0A1-4A72-84BC-40A7BE90FABF" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A1F92FC04ECC4FD8B01BE99DA2613057" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A1F92FC04ECC4FD8B01BE99DA2613057SB" /F', 0, 15000, true);
     ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '0E504678-A0A1-4A72-84BC-40A7BE90FABF');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'A1F92FC04ECC4FD8B01BE99DA2613057SB');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(3);
     ExecuteRepair(21);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Кроме уже установленных, отметьте галочками также "90 Days Files".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  6. Это понравилось:


  7. #4
    Junior Member (OID) Репутация
    Регистрация
    09.08.2016
    Сообщений
    6
    Вес репутации
    28
    Спасибо, сделал всё ка вы сказали. Выполнил скрипт, добавил в карантин файл. Также высылаю два лог файла
    Вложения Вложения

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Код:
    VK OK AdBlock (HKLM-x32\...\VK OK AdBlock) (Version: 2.0.0.9 - Company Inc.)
    Деинсталируйте.

    Код:
    Unity Web Player (HKU\S-1-5-21-1388386486-3429955119-188758658-1000\...\UnityWebPlayer) (Version: 5.3.5f1 - Unity Technologies ApS)
    Если сами не ставили, то тоже.

    Программы/расширения от Mail.ru используете? В том числе браузер Amigo.



    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    start
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    BHO: VK OK AdBlock -> {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} -> C:\Program Files (x86)\VK OK AdBlock\IEEF\2M_yPWR9oK.dll => No File
    CHR Extension: (News Tab) - C:\Users\DENIS\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-08-09]
    CHR Extension: (Google Docs) - C:\Users\DENIS\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcmdpeobfoppdkhcneogcflfmfceenlf [2016-08-09]
    CHR Extension: (marketquick) - C:\Users\DENIS\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-08-09]
    OPR Extension: (marketquick) - C:\Users\DENIS\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-08-09]
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 ____N C:\Users\Public\Desktop\Новости.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 ____N C:\Users\Public\Desktop\War Thunder.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 ____N C:\Users\Public\Desktop\Star Conflict.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 ____N C:\Users\Public\Desktop\Forge of Empires.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 ____N C:\Users\Public\Desktop\Booking.com.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 ____N C:\Users\Public\Desktop\Black Desert.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 ____N C:\Users\Public\Desktop\Aliexpress.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 _____ C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Forge of Empires.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Booking.com.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk
    2016-08-09 08:47 - 2016-08-09 08:47 - 00001176 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk
    2016-08-04 20:04 - 2016-08-04 20:04 - 00000000 ____D C:\Users\DENIS\AppData\Local\Вoйти в Интeрнет
    2016-08-04 20:02 - 2016-08-04 21:38 - 00000000 ____D C:\Users\DENIS\AppData\Local\fupdate
    2016-08-04 19:58 - 2016-08-04 19:58 - 00000000 ____D C:\Users\DENIS\AppData\Local\Поиcк в Интeрнете
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    - сделайте лог Check Browsers' LNK by Dragokas & regist.


    • Скачайте AdwCleaner и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

  9. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\denis\appdata\local\microsoft\eed38619a02 58d8cc2127b6a6b8b7274\6130572ad99eb10b8df4cce40ca1 f92f.exe - not-a-virus:AdWare.Win32.ExtBro.g


  • Уважаемый(ая) Денис Сивцев, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрительные программы на компьютере
      От parenek43 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 21.04.2016, 22:42
    2. Подозрительные программы в автозагрузке.
      От rustorkan в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.11.2014, 23:49
    3. подозрительные программы
      От струкель в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 18.04.2012, 10:52
    4. Ответов: 3
      Последнее сообщение: 22.01.2012, 14:16
    5. Просто подозрительные программы
      От Виктор32 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.09.2006, 08:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00306 seconds with 20 queries