Нужна помощь: adware mutabaha 1383 [not-a-virus:AdWare.Win32.ELEX.aos
]
Добрый день, нужна помощь в очистке системы от постоянно открывающихся рекламных окон. Для самостоятельной очистки использовал adwCleaner и dr.Web Cureit, которые постоянно выгребают кучи "мусора", но на этом основная проблема не решается.
при очередной проверке найден: adware mutabaha 1383.
Заранее спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Yura Tarchan, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Help me !
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Hotfresh\Itgofresh.reg',''); QuarantineFile('C:\ProgramData\Hotfresh\FunTom.reg',''); QuarantineFile('C:\ProgramData\Hotfresh\Zimfan.reg',''); QuarantineFile('C:\Program Files (x86)\Fughlaserther\ralition.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\WinSnare\WinSnare.dll',''); QuarantineFile('C:\ProgramData\Microsoft\Phone Tools\CoreCon\12.0\3082\NonSDKAddonLangVer.dll',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Program Files\3Z1OHZD0EB\3Z1OHZD0E.exe',''); QuarantineFile('C:\Program Files\YWPEUF3BBU\YWPEUF3BB.exe',''); QuarantineFile('C:\Program Files\B3WH0CT236\B3WH0CT23.exe',''); QuarantineFile('C:\Program Files\WG5GGMA19I\WG5GGMA19.exe',''); QuarantineFile('C:\Program Files\V9BDWKTI1S\V9BDWKTI1.exe',''); QuarantineFile('C:\Program Files\DTI7MXLIT8\DTI7MXLIT.exe',''); QuarantineFile('C:\Program Files\2JMJKAQOCU\2JMJKAQOC.exe',''); QuarantineFile('C:\Program Files (x86)\BestCleaner\IPWPOYVMJO.exe',''); QuarantineFile('C:\Program Files\EFJQH5AK8T\EFJQH5AK8.exe',''); QuarantineFile('C:\Program Files\41S9V63KG0\41S9V63KG.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys',''); QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll',''); QuarantineFile('C:\Users\User\AppData\Local\Temp\BCAB2D9A-1E8739EA-502F06A0-BE4A4174\53af4541.sys',''); QuarantineFile('c:\programdata\winsapsvc\winsap.dll',''); QuarantineFile('c:\program files (x86)\winarcher\archer.dll',''); QuarantineFile('c:\program files (x86)\gubed\gubedzl.dll',''); DeleteFile('c:\program files (x86)\gubed\gubedzl.dll','32'); DeleteFile('c:\program files (x86)\winarcher\archer.dll','32'); DeleteFile('C:\Users\User\AppData\Local\Temp\BCAB2D9A-1E8739EA-502F06A0-BE4A4174\53af4541.sys','32'); DeleteFile('C:\Program Files\41S9V63KG0\41S9V63KG.exe','32'); DeleteFile('C:\Program Files\EFJQH5AK8T\EFJQH5AK8.exe','32'); DeleteFile('C:\Program Files (x86)\BestCleaner\IPWPOYVMJO.exe','32'); DeleteFile('C:\Program Files\2JMJKAQOCU\2JMJKAQOC.exe','32'); DeleteFile('C:\Program Files\DTI7MXLIT8\DTI7MXLIT.exe','32'); DeleteFile('C:\Program Files\V9BDWKTI1S\V9BDWKTI1.exe','32'); DeleteFile('C:\Program Files\WG5GGMA19I\WG5GGMA19.exe','32'); DeleteFile('C:\Program Files\B3WH0CT236\B3WH0CT23.exe','32'); DeleteFile('C:\Program Files\YWPEUF3BBU\YWPEUF3BB.exe','32'); DeleteFile('C:\Program Files\3Z1OHZD0EB\3Z1OHZD0E.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HMYXWZ34X9'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCZ97QLI0T'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PTJ770BMZ9'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5YHBS2Y50Y'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','A0M9RB4N3N'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S9LYBZ7DS4'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','4AIW1C6JCU'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','H45X58AIRV'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','EGM2PAURIY'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FGNAYD7F89'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Archer\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\GubedZL\Parameters','ServiceDll'); DeleteFile('C:\Users\User\AppData\Roaming\WinSnare\WinSnare.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSnare\Parameters','ServiceDll'); DeleteFile('C:\Program Files (x86)\Fughlaserther\ralition.exe','32'); DeleteFile('C:\ProgramData\Hotfresh\Zimfan.reg','32'); DeleteFile('C:\ProgramData\Hotfresh\FunTom.reg','32'); DeleteFile('C:\ProgramData\Hotfresh\Itgofresh.reg','32'); DeleteFile('C:\Windows\system32\Tasks\psv_Ozerhome','64'); DeleteFile('C:\Windows\system32\Tasks\psv_Rephase','64'); DeleteFile('C:\Windows\system32\Tasks\psv_Zumnix','64'); DeleteFile('C:\Windows\system32\Tasks\Stofynedent Reports','64'); DeleteFile('C:\Windows\system32\Tasks\TaskSched','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово
uup
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKLM\...\Providers\roo2e18h: C:\Program Files (x86)\Phfuied Cache\local64spl.dll [292352 2017-01-07] () ShellExecuteHooks: No Name - {0E5935AC-CB69-11E6-B3B1-64006A5CFC23} - C:\Users\User\AppData\Roaming\Ghijuck\Drenupysogely.dll -> No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File HKU\S-1-5-21-894343932-670889697-3070712767-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u54KORkP5HQIPJzhFvRzrcRC4RD7f4pNOmApLC1ie8sKR1-UIIJ-rdcO_SnVoAX2alr4-2XuB2GtjQZbYEvYwydYctsH1aoxRGT8qwwLcFhUtQBWSes_wGR1yKgn7T8yVMzQo9rISjJDK4P4h48R06C7GUAbA,,&q={searchTerms} CHR DefaultSearchURL: Default -> hxxp://www.amisites.com/search/?type=ds&ts=1484132732&z=3b0eaa3be0cf12ba48c3b10g5z4b7z5gdc1o6mfc7z&from=archer1028&uid=KINGSTONXSUV400S37120G_50026B766704465E&q={searchTerms} CHR DefaultSearchKeyword: Default -> amisites OPR Extension: (Adblock Plus) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp [2017-01-11] 2017-01-15 22:21 - 2017-01-15 22:21 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign5aab8db5babfc0a9 2017-01-15 21:30 - 2017-01-15 21:30 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign8340caba0aaa1df0 2017-01-15 21:30 - 2017-01-15 21:30 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6127a7a147625091 2017-01-15 21:30 - 2017-01-15 21:30 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign01319cb7ec8246af 2017-01-14 15:27 - 2017-01-15 20:25 - 00000000 ____D C:\Program Files (x86)\WinArcher 2017-01-14 15:27 - 2017-01-15 20:25 - 00000000 ____D C:\Program Files (x86)\Gubed 2017-01-14 15:27 - 2017-01-14 15:27 - 00000000 ____D C:\Users\Все пользователи\WinSAPSvc 2017-01-14 15:27 - 2017-01-14 15:27 - 00000000 ____D C:\ProgramData\WinSAPSvc 2017-01-14 15:27 - 2017-01-14 15:27 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.0.4) 2017-01-13 15:04 - 2017-01-13 15:04 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign0970423169fdd5c6 2017-01-13 14:45 - 2017-01-13 14:45 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb8365c3c6623fa95 2017-01-13 14:45 - 2017-01-13 14:45 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign29b82efec7e36153 2017-01-12 22:12 - 2017-01-12 22:12 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign2a24dafe72e74fed 2017-01-12 22:09 - 2017-01-12 22:09 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignac709193e5eca4f0 2017-01-12 22:09 - 2017-01-12 22:09 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign8b909e933fd03bb4 2017-01-12 17:38 - 2017-01-12 17:38 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign07cb29f57046bb45 2017-01-12 17:24 - 2017-01-12 17:24 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf8de29ad6c58e1ee 2017-01-12 14:10 - 2017-01-12 14:10 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne3276cd046b86b70 2017-01-12 12:14 - 2017-01-12 12:14 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignefc5c7b6cecb9513 2017-01-12 12:04 - 2017-01-12 12:04 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign119fa71eb87fea0e 2017-01-12 12:03 - 2017-01-12 12:03 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf4d99cf5d0859ad3 2017-01-11 20:01 - 2017-01-11 20:01 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign444ce74963281804 2017-01-11 16:43 - 2017-01-11 16:43 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign76e137e6f7127320 2017-01-11 16:43 - 2017-01-11 16:43 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign110cf2651be2323d 2017-01-11 16:42 - 2017-01-11 16:42 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign0ffb85128df368b1 2017-01-09 15:59 - 2017-01-09 15:59 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign76fbeb03d7eb617b 2017-01-09 15:58 - 2017-01-09 15:58 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignc33a3b694f50fa92 2017-01-09 15:58 - 2017-01-09 15:58 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb47f355ea4693231 2017-01-09 10:14 - 2017-01-09 10:14 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf8279a48bfb2d1fa 2017-01-09 10:13 - 2017-01-09 10:13 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne64e0355af0c2bb0 2017-01-09 10:13 - 2017-01-09 10:13 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign1f81f67dd99f8c9f 2017-01-10 12:43 - 2017-01-10 12:43 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign9faaf9c2830ecb86 2017-01-10 12:42 - 2017-01-10 12:42 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign01ebf4cf88a5ec4e 2017-01-10 10:28 - 2017-01-10 10:28 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign45b60e7ad0d9e212 2017-01-10 10:09 - 2017-01-10 10:09 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign16ca683b0d84e3cd 2017-01-07 00:09 - 2017-01-07 00:48 - 00000000 ____D C:\Users\User\AppData\Roaming\Ghijuck 2017-01-07 00:09 - 2017-01-07 00:09 - 00000000 ____D C:\Users\User\AppData\Local\Larpciy C:\Users\User\AppData\Local\Temp\374A.tmp.exe C:\Users\User\AppData\Local\Temp\AmigoDistrib.exe C:\Users\User\AppData\Local\Temp\insD10C.tmp.exe C:\Users\User\AppData\Local\Temp\inst12.exe C:\Users\User\AppData\Local\Temp\iobitdownloader_123.exe HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "4AIW1C6JCU" HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "HMYXWZ34X9" HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "FGNAYD7F89" HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "PTJ770BMZ9" HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "S9LYBZ7DS4" HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "EGM2PAURIY" HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "H45X58AIRV" HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "QOXHXUM49O" HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "A0M9RB4N3N" HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "5YHBS2Y50Y" HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "PCZ97QLI0T" HKU\S-1-5-21-894343932-670889697-3070712767-1002\...\StartupApproved\Run: => "Zaxar" FirewallRules: [{0625AB61-1A52-46FE-8358-E6FA83F0E458}] => C:\Program Files\UBar\ubar.exe FirewallRules: [TCP Query User{213646B6-C316-4EAA-9673-FD80F7F4588C}C:\program files (x86)\amulec2\amule.exe] => C:\program files (x86)\amulec2\amule.exe FirewallRules: [UDP Query User{6D1006C2-7D22-4323-8A38-B123A65719E9}C:\program files (x86)\amulec2\amule.exe] => C:\program files (x86)\amulec2\amule.exe Task: {2769AA58-AFD5-42B3-BBCA-124E5AD667C3} - \TaskSched -> No File <==== ATTENTION Task: {68F07203-0C3E-46B1-9215-23E414082F24} - \psv_Zumnix -> No File <==== ATTENTION Task: {752CA7FB-EC11-4AD4-BD71-B867F2C24327} - \Stofynedent Reports -> No File <==== ATTENTION Task: {B0778A27-EFDF-4513-B8E0-C20EB551D36C} - \psv_Rephase -> No File <==== ATTENTION Task: {F21E067E-A8AE-4B1B-95E2-D2886EC8E5DE} - \psv_Ozerhome -> No File <==== ATTENTION Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание, что будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
проблема решена. Огромное спасибо, Вам.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\common files\services\ithemes.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.heur
- c:\program files (x86)\gubed\gubedzl.dll - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Trojan.Heur2.LP.hu4@aC5tE2oi )
- c:\program files (x86)\winarcher\archer.dll - not-a-virus:AdWare.Win32.ELEX.aos
Уважаемый(ая) Yura Tarchan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
