вирус всплывают рекламные баннеры [not-a-virus:AdWare.Win32.BetterSurf.b ]

Printable View

07.03.2014, 19:43
Maxim77

Вложений: 3

вирус всплывают рекламные баннеры [not-a-virus:AdWare.Win32.BetterSurf.b ]

Доброго времени суток!

Прошу помочь удалить вирус.Основной симптом -при нажатии левой клавишей мыши в любом месте
интернет страницы всплывают рекламные баннеры.

Спасибо за помощь!
07.03.2014, 19:45
Info_bot

Уважаемый(ая) [B]Maxim77[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
07.03.2014, 21:54
mike 1

Здравствуйте!

Закройте все программы

Отключите
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('F:\Program Files\MediaPlayerV1\MediaPlayerV1alpha376\ie\MediaPlayerV1alpha376.dll','');
QuarantineFile('F:\Program Files\MediaViewV1\MediaViewV1alpha1522\ie\MediaViewV1alpha1522.dll','');
QuarantineFile('F:\Program Files\VideoPlayerV3\VideoPlayerV3beta2139\ie\VideoPlayerV3beta2139.dll','');
QuarantineFile('f:\users\max\appdata\roaming\videodownloadtoolbar\videodownloadtoolbar.exe','');
DeleteFile('F:\Program Files\VideoPlayerV3\VideoPlayerV3beta2139\ie\VideoPlayerV3beta2139.dll','32');
DeleteFile('F:\Program Files\MediaViewV1\MediaViewV1alpha1522\ie\MediaViewV1alpha1522.dll','32');
DeleteFile('F:\Program Files\MediaPlayerV1\MediaPlayerV1alpha376\ie\MediaPlayerV1alpha376.dll','32');
DeleteFile('F:\Windows\Tasks\AmiUpdXp.job','32');
DeleteFile('F:\Windows\system32\Tasks\AmiUpdXp','32');
DelBHO('{d7bb21b4-0711-4097-86dc-5b3b6a48884b}');
DelBHO('{9092d2a0-e9a2-49ba-8ef5-da155755f84d}');
DelBHO('{15506fe4-727b-4466-bd53-aa389ab0493b}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
DeleteFileMask('F:\Program Files\MediaPlayerV1', '*', true, ' ');
DeleteFileMask('F:\Program Files\MediaViewV1', '*', true, ' ');
DeleteFileMask('F:\Program Files\VideoPlayerV3', '*', true, ' ');
DeleteDirectory('F:\Program Files\MediaPlayerV1');
DeleteDirectory('F:\Program Files\MediaViewV1');
DeleteDirectory('F:\Program Files\VideoPlayerV3');
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://hptds6.ru/
O2 - BHO: MediaViewV1alpha1522 - {15506fe4-727b-4466-bd53-aa389ab0493b} - F:\Program Files\MediaViewV1\MediaViewV1alpha1522\ie\MediaViewV1alpha1522.dll
O2 - BHO: MediaPlayerV1alpha376 - {9092d2a0-e9a2-49ba-8ef5-da155755f84d} - F:\Program Files\MediaPlayerV1\MediaPlayerV1alpha376\ie\MediaPlayerV1alpha376.dll
O4 - HKLM\..\Run: [mobilegeni daemon] F:\Program Files\Mobogenie\DaemonProcess.exe
O4 - HKCU\..\Run: [NextLive] F:\Windows\system32\rundll32.exe "F:\Users\Max\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
[/CODE]

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
08.03.2014, 08:21
Maxim77

Вложений: 2

Добрый день!

скрипт выполнил,карантин вложил ,пофиксил 2 строки из предложенных.
выкладываю отчет adwcleaner и лог Antimalware.
08.03.2014, 10:52
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Обнаруженные ключи в реестре: 25
HKCR\CLSID\{539F76FD-084E-4858-86D5-62F02F54AE86} (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
HKCR\TypeLib\{F13D3582-1359-4F8F-9A48-EF3AE9F5701C} (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
HKCR\Interface\{06E50566-0AB7-431C-841D-62794727DAF9} (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
HKCR\CLSID\{AA74D58F-ACD0-450D-A85E-6C04B171C044} (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA74D58F-ACD0-450D-A85E-6C04B171C044} (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{AA74D58F-ACD0-450D-A85E-6C04B171C044} (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AA74D58F-ACD0-450D-A85E-6C04B171C044} (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
HKCR\AppID\{186E19A3-B909-4F48-B687-BB81EB8BC7CE} (Trojan.BHO) -> Действие не было предпринято.
HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Optional.SoftwareUpdater) -> Действие не было предпринято.
HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Optional.SoftwareUpdater) -> Действие не было предпринято.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Optional.SoftwareUpdater) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Optional.SoftwareUpdater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd.1 (PUP.Optional.SoftwareUpdater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd (PUP.Optional.SoftwareUpdater) -> Действие не было предпринято.
HKCR\CLSID\{AAA38851-3CFF-475F-B5E0-720D3645E4A5} (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AAA38851-3CFF-475F-B5E0-720D3645E4A5} (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{AAA38851-3CFF-475F-B5E0-720D3645E4A5} (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
HKCU\Software\1ClickDownload (PUP.Optional.1ClickDownload.A) -> Действие не было предпринято.
HKCU\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
HKLM\SOFTWARE\MediaPlayerV1alpha376 (PUP.Optional.MediaPlayerAlpha.A) -> Действие не было предпринято.
HKLM\SOFTWARE\MediaViewV1alpha1522 (PUP.Optional.MediaView.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.Optional.FCTPlugin) -> Действие не было предпринято.
HKLM\SOFTWARE\MINIBAR (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
HKLM\Software\Iminent (PUP.Optional.Iminent.A) -> Действие не было предпринято.
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 9
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{539F76FD-084E-4858-86D5-62F02F54AE86} (PUP.Optional.MiniBar.A) -> Параметры: -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{539F76FD-084E-4858-86D5-62F02F54AE86} (PUP.Optional.MiniBar.A) -> Параметры: -> Действие не было предпринято.
HKCU\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 11111111 -> Действие не было предпринято.
HKLM\SOFTWARE\Minibar|NoDns (PUP.Optional.MiniBar.A) -> Параметры: true -> Действие не было предпринято.
HKLM\SOFTWARE\Mozilla\Firefox\Extensions|[email protected] (PUP.Optional.MediaPlayerAlpha.A) -> Параметры: F:\Program Files\MediaPlayerV1\MediaPlayerV1alpha376\ff -> Действие не было предпринято.
HKLM\SOFTWARE\Mozilla\Firefox\Extensions|[email protected] (PUP.Optional.MediaView.A) -> Параметры: F:\Program Files\MediaViewV1\MediaViewV1alpha1522\ff -> Действие не было предпринято.
HKLM\SOFTWARE\Mozilla\Firefox\extensions|{336D0C35-8A85-403a-B9D2-65C292C39087} (PUP.Optional.Incredibar) -> Параметры: F:\Program Files\Web Assistant\Firefox -> Действие не было предпринято.
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 11111111 -> Действие не было предпринято.

Обнаруженные папки: 12
F:\Program Files\TSearch (Adware.TSearch) -> Действие не было предпринято.
F:\Users\Max\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Действие не было предпринято.
F:\Program Files\MediaPlayerV1\MediaPlayerV1alpha376 (PUP.Optional.MediaPlayerAlpha.A) -> Действие не было предпринято.
F:\Program Files\MediaPlayerV1\MediaPlayerV1alpha376\ie (PUP.Optional.MediaPlayerAlpha.A) -> Действие не было предпринято.
F:\Program Files\MediaViewV1\MediaViewV1alpha1522 (PUP.Optional.MediaView.A) -> Действие не было предпринято.
F:\Program Files\MediaViewV1\MediaViewV1alpha1522\ie (PUP.Optional.MediaView.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0 (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0\html (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0\images (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0\js (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.

Обнаруженные файлы: 28
F:\Program Files\Minibar\Minibar.dll (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\SwvUpdater\Updater.exe (PUP.Optional.SoftwareUpdater) -> Действие не было предпринято.
C:\Documents and Settings\Макс\Local Settings\TempDIR\BetterInstaller.exe (PUP.Optional.Somoto.A) -> Действие не было предпринято.
C:\Documents and Settings\Макс\Рабочий стол\video-download-toolbar-setup.exe (PUP.Optional.Somoto.A) -> Действие не было предпринято.
C:\Program Files\Conduit\Community Alerts\Alert.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files\Minibar\Minibar.dll (PUP.Optional.MiniBar.A) -> Действие не было предпринято.
C:\Program Files\smartdl\vfd.exe (Adware.Dropper) -> Действие не было предпринято.
C:\Program Files\OpenApp\bho_project.dll (PUP.Adware.Agent) -> Действие не было предпринято.
F:\Users\Max\Local Settings\TempDIR\BetterInstaller.exe (PUP.Optional.BundleInstaller) -> Действие не было предпринято.
F:\Program Files\TSearch\client.py (Adware.TSearch) -> Действие не было предпринято.
F:\Program Files\TSearch\easydownload.exe (Adware.TSearch) -> Действие не было предпринято.
F:\Program Files\TSearch\libtorrent.pyd (Adware.TSearch) -> Действие не было предпринято.
F:\Program Files\TSearch\python25.dll (Adware.TSearch) -> Действие не было предпринято.
F:\Users\Max\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0\manifest.json (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0\html\background.html (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0\images\icon.16.png (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0\images\icon.48.png (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0\js\background.js (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0\js\dt.txt (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0\js\ex.js (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.
F:\Users\Max\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.9_0\js\jquery.js (PUP.Optional.1ClickDownLoader.A) -> Действие не было предпринято.[/code]

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
08.03.2014, 18:12
Maxim77

Вложений: 2

Спасибо,
удалил все отмеченные строки в MBAM.
логи RSIT выкладываю.
08.03.2014, 18:26
thyrex

Папки[CODE]F:\Program Files\MediaViewV1
F:\Program Files\MediaPlayerV1[/CODE]удалите

Что с проблемой?
08.03.2014, 19:04
Maxim77

указанные папки удалил.
Повторно просканировал Anti-Malware,угроз не найдено.
Большое спасибо!Проблема исчезла.
08.03.2014, 19:15
regist

[B]Внимание[/B], следующее действие удалит установленные тулбары.

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B], а по окончанию сканирования нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

mbam деинсталируйте.
08.03.2014, 19:25
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] f:\program files\mediaplayerv1\mediaplayerv1alpha376\ie\mediaplayerv1alpha376.dll - [B]not-a-virus:AdWare.Win32.BetterSurf.b[/B] ( BitDefender: Gen:Variant.Adware.Graftor.125844, AVAST4: Win32:Adware-gen [Adw] )[*] f:\program files\mediaviewv1\mediaviewv1alpha1522\ie\mediaviewv1alpha1522.dll - [B]not-a-virus:AdWare.Win32.BetterSurf.b[/B] ( BitDefender: Gen:Variant.Adware.Graftor.125844 )[*] f:\program files\videoplayerv3\videoplayerv3beta2139\ie\videoplayerv3beta2139.dll - [B]not-a-virus:AdWare.Win32.BetterSurf.b[/B] ( BitDefender: Gen:Variant.Adware.BetterSurf.1, AVAST4: Win32:Adware-gen [Adw] )[/LIST][/LIST]