Помогите пожалуйста, открывается самопроизвольно реклама в браузере [not-a-virus:AdWare.Win32.Eorezo.gkft, not-a-virus:HEUR:RiskTool.Win32.Hidap.gen ]

**AlexanderSK** · 03.12.2016, 16:05

Доброго времени суток!

Прошу Вас помочь в сложившейся ситуации,по глупости запустил установку вируса (типо руссификатор к игре)....
Теперь открывает браузер и там вкладки с рекламой.Плюс еще устанавливает ярлыки на рабочий стол, с играми и программами !

заранее благодарен !

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.12.2016, 16:06

Уважаемый(ая) AlexanderSK, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 04.12.2016, 11:56

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\my web shield\mweshieldup.exe','');
 QuarantineFile('C:\Program Files\my web shield\mweshield.exe','');
 QuarantineFile('C:\Users\Александр Коновалов\appdata\roaming\gplyra\gplyra.exe','');
 QuarantineFile('C:\Users\Александр Коновалов\AppData\Roaming\PBot\python\pythonw.exe','');
 QuarantineFile('C:\Users\Александр Коновалов\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\Users\Александр Коновалов\AppData\Roaming\Galaxy on Fire 2 Full HD\Ctfhost\ctfhost.exe','');
 QuarantineFile('C:\Program Files\BestCleaner\9KL15D.exe','');
 QuarantineFile('C:\Program Files\mpck\OF0VHP.exe','');
 DeleteService('tulyjidy');
 QuarantineFile('C:\Program Files\55FF3820-1480163666-11DF-AF44-485B39AEDE4A\knsdD25A.tmpfs','');
 QuarantineFile('C:\Users\Александр Коновалов\AppData\Roaming\Zmcultjopety\Atervitherkizerch.dll','');
 TerminateProcessByName('c:\program files\mpck\wincom_uxd.exe');
 QuarantineFile('c:\program files\mpck\wincom_uxd.exe','');
 TerminateProcessByName('c:\users\Александр Коновалов\appdata\roaming\java\wecutil\wecutil.exe');
 QuarantineFile('c:\users\Александр Коновалов\appdata\roaming\java\wecutil\wecutil.exe','');
 TerminateProcessByName('c:\program files\wanttoxiamen\uc.exe');
 QuarantineFile('c:\program files\wanttoxiamen\uc.exe','');
 TerminateProcessByName('c:\users\Александр Коновалов\appdata\roaming\upupdata\cleaner.exe');
 QuarantineFile('c:\users\Александр Коновалов\appdata\roaming\upupdata\cleaner.exe','');
 TerminateProcessByName('c:\users\Александр Коновалов\appdata\local\hostinstaller\414796527_monster.exe');
 QuarantineFile('c:\users\Александр Коновалов\appdata\local\hostinstaller\414796527_monster.exe','');
 DeleteFile('c:\users\Александр Коновалов\appdata\local\hostinstaller\414796527_monster.exe','32');
 DeleteFile('c:\users\Александр Коновалов\appdata\roaming\upupdata\cleaner.exe','32');
 DeleteFile('c:\program files\wanttoxiamen\uc.exe','32');
 DeleteFile('c:\users\Александр Коновалов\appdata\roaming\java\wecutil\wecutil.exe','32');
 DeleteFile('c:\program files\mpck\wincom_uxd.exe','32');
 DeleteFile('C:\Users\Александр Коновалов\AppData\Roaming\Zmcultjopety\Atervitherkizerch.dll','32');
 DeleteFile('C:\Program Files\55FF3820-1480163666-11DF-AF44-485B39AEDE4A\knsdD25A.tmpfs','32');
 DeleteFile('C:\Program Files\mpck\OF0VHP.exe','32');
 DeleteFile('C:\Program Files\BestCleaner\9KL15D.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OMEWPRODUCT_O8KXK');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OTUTPRODUCT_ZFNDD');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WINCOMUXD');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','app');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','cleaner');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{23D5E59C-A5C9-11E6-91E4-64006A5CFC23}');
 DeleteFile('C:\Windows\system32\Tasks\CTF Host','32');
 DeleteFile('C:\Users\Александр Коновалов\AppData\Roaming\Galaxy on Fire 2 Full HD\Ctfhost\ctfhost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Event Collector Command Line Utility','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Windows\system32\Tasks\PBot','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager','32');
 DeleteFile('C:\Users\Александр Коновалов\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Users\Александр Коновалов\AppData\Roaming\PBot\python\pythonw.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Windows Driver Foundation Manager','32');
 DeleteFile('C:\Users\Александр Коновалов\appdata\roaming\gplyra\gplyra.exe','32');
 DeleteFile('C:\Program Files\my web shield\mweshield.exe','32');
 DeleteFile('C:\Program Files\my web shield\mweshieldup.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

**AlexanderSK** · 04.12.2016, 13:54

Еще раз, здравствуйте!
Все сделал.

**thyrex** · 04.12.2016, 14:28

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**AlexanderSK** · 04.12.2016, 17:57

Сделано !

**thyrex** · 04.12.2016, 21:18

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM\...\Run: [] => [X]
GroupPolicy: Restriction - Chrome <======= ATTENTION
FF Extension: (supermegabest) - C:\Users\Александр Коновалов\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\[email protected] [2016-03-23]
CHR Extension: (__MSG_appName__) - C:\Users\Александр Коновалов\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2016-12-03]
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)
2016-12-03 20:27 - 2016-12-04 21:44 - 00000338 _____ C:\Windows\Tasks\Update Service for Youtube AdBlock.job
2016-12-03 20:27 - 2016-12-03 23:20 - 00000338 _____ C:\Windows\Tasks\Update Service for Youtube AdBlock2.job
2016-12-03 20:27 - 2016-12-03 20:27 - 00000000 ____D C:\Program Files\Youtube AdBlock
2016-12-03 20:17 - 2016-12-03 20:17 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2016-12-03 20:15 - 2016-12-03 20:15 - 00002309 _____ C:\Users\Александр Коновалов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2016-12-03 20:15 - 2016-12-03 20:15 - 00002309 _____ C:\Users\Александр Коновалов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk
2016-12-03 20:15 - 2016-12-03 20:15 - 00002301 _____ C:\Users\Александр Коновалов\Desktop\Одноклассники.lnk
2016-12-03 20:15 - 2016-12-03 20:15 - 00002301 _____ C:\Users\Александр Коновалов\Desktop\ВКонтакте.lnk
2016-12-03 20:15 - 2016-12-03 20:15 - 00002255 _____ C:\Users\Александр Коновалов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2016-12-03 20:15 - 2016-12-03 20:15 - 00002247 _____ C:\Users\Александр Коновалов\Desktop\Амиго.lnk
2016-12-03 19:57 - 2016-12-03 19:57 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\Werqph
2016-12-03 19:54 - 2016-12-03 19:54 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2016-12-03 19:54 - 2016-12-03 19:54 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2016-12-03 19:56 - 2016-12-03 20:12 - 00000000 ____D C:\Program Files\55FF3820-1480769780-11DF-AF44-485B39AEDE4A
2016-12-03 19:56 - 2016-12-03 19:56 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\ASPackage
2016-12-03 19:55 - 2016-12-03 23:25 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\Obnovi Soft
2016-12-03 19:54 - 2016-12-03 19:59 - 00000000 ____D C:\Program Files\Obnovi Soft
2016-11-27 20:50 - 2016-12-03 20:00 - 00000000 ____D C:\Program Files\Ujettequther
2016-11-27 20:44 - 2016-11-27 20:44 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Local\ZaxarGameBrowser
2016-11-27 20:37 - 2016-12-03 20:15 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Local\Amigo
2016-11-27 20:34 - 2016-11-29 03:43 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\MyDesktop
2016-11-26 20:58 - 2016-11-29 03:44 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Local\MzIzNTM0Mzc=
2016-11-26 20:58 - 2016-11-29 03:43 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\UrlControl_
2016-11-26 19:35 - 2016-12-04 17:07 - 00000000 ____D C:\Program Files\wanttoxiamen
2016-11-26 19:35 - 2016-12-04 17:07 - 00000000 ____D C:\Program Files\mpck
2016-11-26 19:35 - 2016-12-04 17:07 - 00000000 ____D C:\Program Files\BestCleaner
2016-11-26 19:35 - 2016-12-03 19:59 - 00000000 ____D C:\Program Files\Ckerketain
2016-11-26 19:35 - 2016-12-03 19:58 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Local\Claberle
2016-11-26 19:35 - 2016-11-29 03:44 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\UPUpdata
2016-11-26 19:35 - 2016-11-29 03:44 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\gplyra
2016-11-26 19:35 - 2016-11-29 03:44 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\DailyBee
2016-11-26 19:35 - 2016-11-29 03:44 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
2016-11-26 19:35 - 2016-11-26 19:35 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\Zmcultjopety
2016-11-26 19:33 - 2016-11-29 03:44 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Local\Hostinstaller
2016-11-26 19:32 - 2016-12-04 17:07 - 00000000 ____D C:\Program Files\My Web Shield
2016-11-26 19:32 - 2016-11-29 03:44 - 00000000 ____D C:\Users\Все пользователи\My Web Shield
2016-11-26 19:32 - 2016-11-26 19:53 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\PBot
2016-11-26 19:32 - 2016-11-26 19:32 - 00000000 ____D C:\Users\Все пользователи\vCore
2016-11-26 19:32 - 2016-11-26 19:32 - 00000000 ____D C:\Users\Александр Коновалов\AppData\Roaming\ASSP
2016-11-26 19:32 - 2016-11-26 19:32 - 00000000 ____D C:\ProgramData\vCore
C:\Users\Александр Коновалов\AppData\Local\Temp\3B8B.tmp.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\44A.tmp.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\5DDF.tmp.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\7A27.tmp.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\7E94.tmp.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\81F3.tmp.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\86B2.tmp.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\AFA4.tmp.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\C7D1.tmp.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\CIYUHRDYS3.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\condefclean.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\DBUpdater.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\downloader.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\fsd2BF.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
C:\Users\Александр Коновалов\AppData\Local\Temp\hcv_mailruhomesearch.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\iobitdownloader_monster.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\mailruhomesearch.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\MMIns.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\mwesinstallRU.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\pbot.exe
C:\Users\Александр Коновалов\AppData\Local\Temp\YOEO9TE9LJ.exe
Task: C:\Windows\Tasks\Update Service for Youtube AdBlock.job => C:\Program Files\Youtube AdBlock\jqHiEjn.exe <==== ATTENTION
Task: C:\Windows\Tasks\Update Service for Youtube AdBlock2.job => C:\Program Files\Youtube AdBlock\jqHiEjn.exe <==== ATTENTION
Task: {F0DD9A6B-90BF-48ED-B068-7A0A7D28EFC4} - System32\Tasks\334ffd0af2384a5e0f6121b7d30fb9e7 => Rundll32.exe "C:\Program Files\DVD Maker\1f9w4u.dll",e62dc6c6547f46bda862da2d05af6862 <==== ATTENTION
Task: {E397B260-CCA7-46F9-BB9B-E7B05C2B7A1F} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {DE764B90-6463-495A-A526-DF4E8FD75C1E} - \CTF Host -> No File <==== ATTENTION
Task: {C7D672E7-2F3F-49F8-8851-B1F3B5B54E9A} - \Event Collector Command Line Utility -> No File <==== ATTENTION
Task: {BC736D76-6A85-4F53-AB72-1F8F8722A47E} - \PBot -> No File <==== ATTENTION
Task: {A87CA561-4E0E-4D97-840A-E5E59FC406E6} - \Soft installer -> No File <==== ATTENTION
Task: {734D897A-F1EC-4F35-AF01-439FBC9D205C} - System32\Tasks\Microsoft\Windows\Media Center\VCore => C:\ProgramData\vCore\VCore.exe [2016-11-10] () <==== ATTENTION
Task: {6151E825-E53A-4D08-8BED-725F9522B336} - \Windows Driver Foundation Manager -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**AlexanderSK** · 05.12.2016, 05:14

Все получилось,файл прилагаю.

**thyrex** · 05.12.2016, 21:53

Проблема решена?

**AlexanderSK** · 07.12.2016, 09:12

Да,больше ничего не открывает и не устанавливает ярлыки на рабочий стол!
Огромное спасибо Вам!!!

**CyberHelper** · 07.12.2016, 09:22

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 36
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\mpck\wincom_uxd.exe - not-a-virus:AdWare.Win32.Eorezo.gkft
2. c:\program files\wanttoxiamen\uc.exe - not-a-virus:HEUR:RiskTool.Win32.Hidap.gen

Помогите пожалуйста, открывается самопроизвольно реклама в браузере [not-a-virus:AdWare.Win32.Eorezo.gkft, not-a-virus:HEUR:RiskTool.Win32.Hidap.gen ] (заявка № 206515)

Опции темы