Самостоятельно запускается браузер Microsoft Edge и открывает сайт akisho.ru. Сайт открывается через каждые 10-15 минут. Дальше происходит переход на различные рекламные сайты.
Самостоятельно запускается браузер Microsoft Edge и открывает сайт akisho.ru [not-a-virus:AdWare.Win32.ELEX.aer, not-a-virus:AdWare.Win32.Agent.xxdaot
]
Самостоятельно запускается браузер Microsoft Edge и открывает сайт akisho.ru. Сайт открывается через каждые 10-15 минут. Дальше происходит переход на различные рекламные сайты.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Полина Воронова, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Подготовьте отчет ADWCleaner.
После сканирования все угрозы очистила. Сайт akisho.ru всё ещё открывается.
Последний раз редактировалось Полина Воронова; 28.11.2016 в 15:13.
Теперь сделайте новый отчёт AVZ.
Новый отчет AVZ
Выполните скрипт в AVZ:
_________________________________________Код:BEGIN ClearQuarantine; QuarantineFile('C:\Program Files (x86)\Clijege\stozersh.exe',''); QuarantineFile('C:\Users\Texnovugoda\AppData\Local\FilterStart\FilterStart.exe',''); QuarantineFile('C:\Users\Texnovugoda\AppData\Local\GeoLocator\Wininet.exe',''); QuarantineFile('C:\ProgramData\vCore\VCore.exe',''); QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe',''); QuarantineFile('C:\Users\Texnovugoda\AppData\Local\rightchose\regCheck.vbs',''); QuarantineFile('C:\Users\Texnovugoda\AppData\Local\LastNews\regCheck.vbs',''); QuarantineFile('C:\Users\Texnovugoda\AppData\Local\ValidateLife\regCheck.vbs',''); QuarantineFile('D:\Glary Utilities\Glary Utilities 5\StartupManager.exe',''); QuarantineFile('C:\Users\Texnovugoda\AppData\Local\ImmediateHelp\regCheck.vbs',''); QuarantineFile('C:\Users\Texnovugoda\AppData\Local\TestMenu\regCheck.vbs',''); DeleteFile('C:\Users\Texnovugoda\AppData\Local\TestMenu\regCheck.vbs','32'); DeleteFile('C:\Users\Texnovugoda\AppData\Local\ImmediateHelp\regCheck.vbs','32'); DeleteFile('C:\Users\Texnovugoda\AppData\Local\ValidateLife\regCheck.vbs','32'); DeleteFile('C:\Users\Texnovugoda\AppData\Local\LastNews\regCheck.vbs','32'); DeleteFile('C:\Users\Texnovugoda\AppData\Local\rightchose\regCheck.vbs','32'); DeleteFile('C:\WINDOWS\Tasks\Wise Care 365.job','32'); DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Account Root Helper','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Media Center\VCore','64'); DeleteFile('C:\Users\Texnovugoda\AppData\Local\GeoLocator\Wininet.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Wininet\Wininet','64'); DeleteFile('C:\Users\Texnovugoda\AppData\Local\FilterStart\FilterStart.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Render Current Manager','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Standart Root Manager','64'); DeleteFile('C:\Program Files (x86)\Clijege\stozersh.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Stumuied Client','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Wise Care 365','64'); DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\FilterStart','*',true); DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\GeoLocator','*',true); DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\rightchose','*',true); DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\LastNews','*',true); DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\ValidateLife','*',true); DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\ImmediateHelp','*',true); DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\TestMenu','*',true); DeleteFileMask('C:\Program Files (x86)\ScreenUp','*',true); DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\FilterStart'); DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\GeoLocator'); DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\rightchose'); DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\LastNews'); DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\ValidateLife'); DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\ImmediateHelp'); DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\TestMenu'); DeleteDirectory('C:\Program Files (x86)\ScreenUp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); END.
> Компьютер будет перезагружен.
> Кэш и cookie-файлы браузеров будут очищены. Может потребоваться вход в аккаунты.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
Отчеты
Выполните скрипт в AVZ:
_________________________________________Код:BEGIN ClearQuarantine; TerminateProcessByName('c:\users\texnovugoda\appdata\roaming\jcfjc\uvconverter.exe'); QuarantineFile('D:\Glary Utilities\Glary Utilities 5\StartupManager.exe',''); QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll',''); QuarantineFile('C:\Users\Texnovugoda\AppData\Roaming\jcfjc\UvConverter.exe',''); QuarantineFile('C:\Program Files (x86)\usdndhj00000000\ClearLog.dll',''); QuarantineFile('c:\programdata\microsoft\identitycrl\ppcrluiex.dll',''); DeleteFile('c:\programdata\microsoft\identitycrl\ppcrluiex.dll','32'); DeleteFile('C:\Program Files (x86)\usdndhj00000000\ClearLog.dll','32'); DeleteFile('C:\Users\Texnovugoda\AppData\Roaming\jcfjc\UvConverter.exe','32'); DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','32'); DeleteFileMask('C:\Users\Texnovugoda\AppData\Roaming\jcfjc','*',true); DeleteDirectory('C:\Users\Texnovugoda\AppData\Roaming\jcfjc'); DeleteService('Convxxxx'); DeleteService('iThemes5'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory+'quarantine_2.zip'); RebootWindows(true); END.
> Компьютер будет перезагружен.
> Кэш и cookie-файлы браузеров будут очищены. Может потребоваться вход в аккаунты.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine_2.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ +
Подготовьте отчет MBAM.
Отчёты готовы. Рекламный сайт больше не выходит, но изменились стартовые страницы и поиск браузеров, открывается другой google chrome, появляются окна, призывающие установить обновления.
Выполните очистку при помощи MBAM, после чего повторите отчёт AVZ.
Отчет AVZ
Выполните скрипт в AVZ:
_________________________________________Код:BEGIN DeleteService('dycemumo'); DeleteFile('C:\Program Files (x86)\3EB96AC9-1480789617-E011-87B1-B870F41689A4\kns5AC.tmp','32'); DeleteFile('C:\Users\Texnovugoda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\чTorrent.lnk','32'); DeleteFile('C:\Program Files (x86)\Windows Mail\s0bke4.dll','32'); DeleteFile('C:\WINDOWS\system32\Tasks\a727803075331874d5e2a34a4136b849','64'); ExecuteSysClean; ExecuteWizard('SCU',2,2,false); RebootWindows(true); END.
> Компьютер будет перезагружен.
> Кэш и cookie-файлы браузеров будут очищены. Может потребоваться вход в аккаунты.
Проблема решена?
Огромное спасибо! Проблема решена.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\common files\services\ithemes.dll - not-a-virus:AdWare.Win32.ELEX.aer
- c:\programdata\microsoft\identitycrl\ppcrluiex.dll - Trojan.Win32.Obfuscated.bkyp
- c:\users\texnovugoda\appdata\roaming\jcfjc\uvconve rter.exe - not-a-virus:AdWare.Win32.Agent.xxdaot
Уважаемый(ая) Полина Воронова, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
