Вирусы на компютере [not-a-virus:AdWare.Win32.Adposhel.p, not-a-virus:HEUR:Downloader.Win32.AdLoad.gen ]

**Felix0777** · 20.11.2016, 21:18

Поймал где-то вирус и на компьютер. В начале устанавливались сами по себе программы вроде Амиго, маил, одноклассники и т.п.
А так же Google Chrome стал некорректно работать (устанавливаются расширения сами по себе, при преключении вкладок или при переходе по ссылкам вылетает какое-то окно , мерцают вкладки (что-то вроде постоянного обновления вкладки)
У меня 64-битная система,поэтому файлов всего 2

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.11.2016, 21:20

Уважаемый(ая) Felix0777, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 22.11.2016, 07:12

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\ак-47\AppData\Local\Hostinstaller\2955028934_installcube.exe', '');
 QuarantineFile('C:\PROGRA~3\7bb825b\2ed9e5da.dll', '');
 QuarantineFile('C:\Users\ак-47\appdata\roaming\aspackage\aspackage.exe', '');
 DeleteFile('C:\Users\ак-47\AppData\Local\Hostinstaller\2955028934_installcube.exe', '32');
 DeleteFile('C:\PROGRA~3\7bb825b\2ed9e5da.dll', '32');
 DeleteFile('C:\Users\ак-47\appdata\roaming\aspackage\aspackage.exe', '32');
 DeleteService('block_reader');
 DeleteFileMask('c:\users\ак-47\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('c:\progra~3\7bb825b', '*', true);
 DeleteFileMask('c:\users\ак-47\appdata\roaming\aspackage', '*', true);
 DeleteDirectory('c:\users\ак-47\appdata\local\hostinstaller');
 DeleteDirectory('c:\windows\system32\regsvr32.exe  /s /n /i:"/rt" "c:\progra~3\7bb825b');
 DeleteDirectory('c:\progra~3\7bb825b');
 DeleteDirectory('c:\users\ак-47\appdata\roaming\aspackage');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{2857AE4F-0533-1F7A-47B0-B5EF5D1BB97F}" /F', 0, 15000, true);
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Browser Manager');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Felix0777** · 03.12.2016, 23:02

Вот

**Vvvyg** · 04.12.2016, 11:14

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
Toolbar: HKU\S-1-5-21-2885556980-1608370200-2376837185-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-2885556980-1608370200-2376837185-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822358
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BB3610F85-640A-480E-BE3A-09CD1AC71B0D%7D&gp=822368
FF Extension: (supermegabest) - C:\Users\ак-47\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\[email protected] [2016-03-21]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\ак-47\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-11-11]
FF Extension: (Поиск@Mail.Ru) - C:\Users\ак-47\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-11-11]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=822318"
CHR HKU\S-1-5-21-2885556980-1608370200-2376837185-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (No Name) - C:\Users\ак-47\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-10-04]
2016-11-30 17:04 - 2016-11-30 17:04 - 00000000 ____D C:\ProgramData\efb5b046-5101-1
2016-11-30 17:04 - 2016-11-30 17:04 - 00000000 ____D C:\ProgramData\efb5b046-40d3-0
2016-11-29 17:32 - 2016-11-29 20:11 - 00000000 ____D C:\ProgramData\efb5b046-3943-1
2016-11-29 17:32 - 2016-11-29 17:35 - 00000000 ____D C:\ProgramData\efb5b046-44f3-0
2016-11-28 17:04 - 2016-11-29 16:24 - 00000000 ____D C:\ProgramData\efb5b046-0bf5-0
2016-11-28 17:04 - 2016-11-28 20:27 - 00000000 ____D C:\ProgramData\efb5b046-3045-1
2016-11-27 17:04 - 2016-11-27 17:17 - 00000000 ____D C:\ProgramData\efb5b046-79a3-0
2016-11-27 17:04 - 2016-11-27 17:17 - 00000000 ____D C:\ProgramData\efb5b046-4bc5-1
2016-11-27 11:04 - 2016-11-27 11:05 - 00000000 ____D C:\ProgramData\efb5b046-0cd3-0
2016-11-27 11:04 - 2016-11-27 11:05 - 00000000 ____D C:\ProgramData\efb5b046-0993-1
2016-11-26 19:08 - 2016-11-26 19:09 - 00000000 ____D C:\ProgramData\efb5b046-6a65-1
2016-11-26 19:08 - 2016-11-26 19:09 - 00000000 ____D C:\ProgramData\efb5b046-48a3-0
2016-11-26 11:04 - 2016-11-26 11:05 - 00000000 ____D C:\ProgramData\efb5b046-2fd3-0
2016-11-26 11:04 - 2016-11-26 11:05 - 00000000 ____D C:\ProgramData\efb5b046-1f31-1
2016-11-26 10:43 - 2016-11-28 15:16 - 00000000 ____D C:\ProgramData\{C0CF76E0-7764-C14B-976A-25DB79A5C7DE}
2016-11-26 10:43 - 2016-11-28 15:16 - 00000000 ____D C:\ProgramData\{7946E4C7-CEED-536C-B97D-2E6B343624A7}
2016-11-26 10:43 - 2016-11-28 15:16 - 00000000 ____D C:\ProgramData\{564F9B32-E1E4-2C99-BEB9-EC0A8FC8906B}
2016-11-26 10:43 - 2016-11-28 15:15 - 00000000 ____D C:\ProgramData\{4623DAF1-F188-6D5A-7495-81B14A61D412}
2016-11-26 10:43 - 2016-11-26 10:43 - 00000000 ____D C:\ProgramData\{19971421-412c-1}
2016-11-26 10:43 - 2016-11-26 10:43 - 00000000 ____D C:\ProgramData\{0a8f6e1b-212c-0}
2016-11-11 01:49 - 2016-11-17 15:11 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2016-10-24 22:59 - 2016-11-26 10:43 - 00000000 ____D C:\ProgramData\efb5b046-3947-0
2016-10-24 22:59 - 2016-11-26 10:43 - 00000000 ____D C:\ProgramData\{2bf42f0d-012c-1}
2016-10-24 22:59 - 2016-11-26 10:43 - 00000000 ____D C:\ProgramData\{178012f5-012c-0}
2016-10-24 22:59 - 2016-10-26 12:23 - 00000000 ____D C:\ProgramData\{EE802D1F-592B-9AB4-D298-E3595E54B219}
2016-10-08 17:47 - 2016-10-08 18:23 - 00000000 ____D C:\Users\ак-47\AppData\Roaming\Obnovi Soft
2016-10-08 17:47 - 2016-10-08 17:47 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2016-10-04 01:47 - 2016-10-24 23:00 - 00000000 ____D C:\ProgramData\4fe2c26d-3f21-1
2016-10-04 01:47 - 2016-10-24 22:59 - 00000000 ____D C:\ProgramData\4fe2c26d-2537-0
2016-10-04 01:46 - 2016-10-08 15:42 - 00000000 ____D C:\ProgramData\Mail.Ru
2016-10-04 01:46 - 2016-10-04 01:46 - 00000000 ____D C:\Users\ак-47\AppData\Roaming\MailProducts
2016-10-04 01:05 - 2016-10-04 01:05 - 00340855 _____ C:\unp30547394829809580.mdmp
2014-10-22 21:49 - 2014-10-22 21:50 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
C:\Users\ак-47\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
FirewallRules: [{9A411D97-05EC-40B4-830F-5561493C0902}] => C:\Users\ак-47\AppData\Local\Amigo\Application\amigo.exe
MSCONFIG\startupreg: Schedule => "C:\ProgramData\Schedule\timetasks.exe"
ZIP: C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Default\Extensions
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

**Felix0777** · 04.12.2016, 15:13

Программа зависает и не перезагружает компьютер (архив на рабочем столе не появился)
Проблема вроде бы исчезла

**Vvvyg** · 04.12.2016, 18:51

Антивирус отключали, как просил?

**Felix0777** · 05.12.2016, 00:40

Разумеется

**Vvvyg** · 05.12.2016, 07:09

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 05.12.2016, 07:19

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\progra~3\7bb825b\2ed9e5da.dll - not-a-virus:AdWare.Win32.Adposhel.p
2. c:\users\ак-47\appdata\local\hostinstaller\2955028934_installc ube.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen

Вирусы на компютере [not-a-virus:AdWare.Win32.Adposhel.p, not-a-virus:HEUR:Downloader.Win32.AdLoad.gen ] (заявка № 206052)

Опции темы