при нажатии на любую ссылку в браузере открывается реклама [not-a-virus:AdWare.Win32.BHO.bdms, , not-a-virus:AdWare.Win32.WProtManager.f ]

Printable View

10.06.2014, 18:03
iyulka

Вложений: 3

при нажатии на любую ссылку в браузере открывается реклама [not-a-virus:AdWare.Win32.BHO.bdms, , not-a-virus:AdWare.Win32.WProtManager.f ]

Здравствуйте.

Прошу помощи...

Поймала вирус, который при первом нажатии на любую ссылку открывает какую-то рекламу и на
флешке какой-то файл ".exe", который не поддается удалению
10.06.2014, 18:04
Info_bot

Уважаемый(ая) [B]iyulka[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.06.2014, 20:13
regist

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
11.06.2014, 05:29
iyulka

Вложений: 1

Все проделала.
Вот ссылка на результаты проверки: [url]http://virusinfo.info/virusdetector/report.php?md5=062D3C627C8540B1CFC6CE0820C6BA9E[/url]

и отчет
11.06.2014, 08:30
Vvvyg

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Users\Няшка\smss.exe','');
QuarantineFile('C:\Users\Няшка\AppData\Local\Temp\KEQXFI.tmp','');
DeleteFile('C:\Users\Няшка\AppData\Local\Temp\KEQXFI.tmp','32');
DeleteFile('C:\Users\Няшка\smss.exe','32');
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Какая буква диска флэшки с неудаляемым exe-файлом?
11.06.2014, 09:36
iyulka

Вложений: 1

Сделано

Файл сохранён как 140611_053431_quarantine_5397ea6714470.zip
Размер файла 20085965
MD5 319fc459d80fd61aa7d81f0c438c1cb2

Буква диска H, только файл уже куда-то делся, зато появился какой-то файл с названием "ntuser1.bak"

Проблема с рекламой к сожалению осталась
11.06.2014, 10:32
regist

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url] с подключённой флешкой.
11.06.2014, 17:16
iyulka

Вложений: 1

Вот лог МВАМ
11.06.2014, 17:31
regist

1) Удалите вручную папки

[CODE]C:\AdwCleaner\
E:\avz4\avz4\Quarantine\[/CODE]

2) [url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] только

[CODE]Обнаруженные ключи в реестре: 7
HKCU\SOFTWARE\ryeisxxxgwaivbbengkihnsoiewjyt (Malware.Trace) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{157ce350-1a6e-4c52-bb0e-9c1d630ca9e4} (PUP.Optional.MegaBrowse.A) -> Действие не было предпринято.
HKCR\CLSID\{157ce350-1a6e-4c52-bb0e-9c1d630ca9e4} (PUP.Optional.MegaBrowse.A) -> Действие не было предпринято.
HKCR\TypeLib\{c22c4103-983e-4e6b-9b2f-e514ae4a7ce4} (PUP.Optional.MegaBrowse.A) -> Действие не было предпринято.
HKCR\Interface\{A27094C9-5382-42C0-9BAA-CB028FEAD18B} (PUP.Optional.MegaBrowse.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{157CE350-1A6E-4C52-BB0E-9C1D630CA9E4} (PUP.Optional.MegaBrowse.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{157CE350-1A6E-4C52-BB0E-9C1D630CA9E4} (PUP.Optional.MegaBrowse.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|smss (Trojan.FakeMS) -> Параметры: C:\Users\Няшка\smss.exe -> Действие не было предпринято.

C:\Users\Няшка\smss.exe (Trojan.FakeMS) -> Действие не было предпринято.
[/CODE]

+ на ваше усмотрение, но рекомендую удалить

[CODE]C:\Users\Няшка\Downloads\MediaGet_id387191ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\Няшка\Downloads\MediaGet_id387417ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\Няшка\Downloads\schastlivaya-zvezda-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\Няшка\Downloads\udar-krovi-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\Няшка\Downloads\udar_krovi_strike_the_blood_01-10_iz_25_2013_hdtv_720p_l1 (1).exe (PUP.Optional.Zona) -> Действие не было предпринято.
C:\Users\Няшка\Downloads\udar_krovi_strike_the_blood_01-10_iz_25_2013_hdtv_720p_l1.exe (PUP.Optional.Zona) -> Действие не было предпринято.
C:\Users\Няшка\Downloads\UltimateCodecsSetup.exe (PUP.Optional.AdlSoft) -> Действие не было предпринято.
C:\Users\Няшка\Downloads\vrata_shteyna_deja_vyu_-_steins-gate_fuka_ryouiki_no_deja_vu_2013_bdrip (1).exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\Няшка\Downloads\vrata_shteyna_deja_vyu_-_steins-gate_fuka_ryouiki_no_deja_vu_2013_bdrip.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.[/CODE]

отпишитесь, что с проблемой?
16.06.2014, 17:02
iyulka

Простите, что так долго, сын забрал компьютер на выходные...
Все проделала, проблема решилась частично, теперь реклама открывается только на некоторых сайтах, например "www.lostfilm.tv"
16.06.2014, 21:07
Vvvyg

Скачайте утилиту [URL=http://oldtimer.geekstogo.com/OTL.exe]OTL by OldTimer[/URL]. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

[B]Scan All Users[/B]
[B]Include 64Bit Scans[/B] - в случае 64-разрядной системы;
Output: [B]Minimal Output[/B];
File Scans: [B]Use Company-Name WhiteList[/B] и [B]Skip Microsoft Files[/B];
[B]Lop Check[/B];
[B]Purity Check[/B].

В окне [B]File Age[/B] установите [B]30 days[/B]
Остальные параметры оставьте по умолчанию.
Скопируйте текст
[CODE]%USERPROFILE%\AppData\Local\*.url /S
%USERPROFILE%\AppData\Local\*.lnk /S
%PROGRAMFILES%\*.url /S
%PROGRAMFILES%\*.lnk /S
%ProgramFiles(x86)%\*.lnk /S
%ProgramFiles(x86)%\*.url /S
%CommonProgramFiles%\*.*
%ALLUSERSPROFILE%\ntuser.pol
%SystemRoot%\System32\GroupPolicy\Machine\Registry.pol[/CODE]
в окно [B]Custom Scans/Fixes [/B] и нажмите [B][COLOR="#0000CD"]Run Scan[/COLOR][/B].

После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.
20.06.2014, 08:06
iyulka

Вложений: 1

Вот все сделала
20.06.2014, 09:14
Vvvyg

Отключите до перезагрузки антивирус, запустите OTL (в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора[/B]), скопируйте скрипт ниже в окно [B]Custom Scans/Fixes[/B], закройте все браузеры и нажмите [B][COLOR="#FF0000"][SIZE=4]Run Fix[/SIZE][/COLOR][/B][CODE]:OTL
DPF: {CAFEEFAC-0016-0000-0045-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab (Java Plug-in 1.6.0_45)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab (Java Plug-in 10.55.2)
[2014.05.25 16:18:01 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BeeStSaveForuYoeu

:Files

msiexec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF} /quiet /qn /norestart /c
msiexec.exe /X{497C131E-2032-051B-B32A-C69A960FBB13} /quiet /qn /norestart /c
msiexec.exe /X{51417852-174C-88D4-34A0-D0FE7858BE47} /quiet /qn /norestart /c
autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c

:Commands
[EMPTYTEMP]
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot][/CODE]
Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и проверьте проблему.
20.06.2014, 09:24
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]55[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\mega browse\megabrowsebho.dll - [B]not-a-virus:AdWare.Win32.Agent.ahbx[/B] ( DrWEB: Trojan.BPlug.28, BitDefender: Gen:Variant.Adware.BHO.Agent.4 )[*] c:\program files (x86)\saufaeweb\2.dll - [B]not-a-virus:AdWare.Win32.BHO.bdms[/B] ( DrWEB: Trojan.Crossrider.7276, AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files (x86)\suptab\dpinterface32.dll - [B]not-a-virus:AdWare.Win32.Agent.aljt[/B] ( DrWEB: Adware.Mutabaha.50 )[*] c:\program files (x86)\suptab\suptab.dll - [B]not-a-virus:AdWare.Win32.Agent.aljt[/B] ( DrWEB: Adware.Mutabaha.50, BitDefender: Adware.Agent.ODR )[*] c:\program files (x86)\youtubeadblocker\bxusikp2kp.dll - [B]not-a-virus:AdWare.Win32.BHO.bdms[/B] ( DrWEB: Trojan.Crossrider.7276, AVAST4: Win32:Adware-gen [Adw] )[*] c:\programdata\greenapp\sw-booster\sw-booster.exe - [B]Trojan-Downloader.Win32.Adload.dyhq[/B] ( BitDefender: Trojan.Agent.WDCR.C, AVAST4: Win32:Agent-ASOA [Trj] )[*] c:\programdata\iepluginservice\pluginservice.exe - [B]not-a-virus:AdWare.Win32.Agent.aljb[/B] ( DrWEB: Adware.Mutabaha.50 )[*] c:\programdata\jonicoupon\rp.dll - [B]not-a-virus:AdWare.Win32.MultiPlug.bfk[/B] ( BitDefender: Application.Generic.645804 )[*] c:\programdata\wpm\wprotectmanager.exe - [B]not-a-virus:AdWare.Win32.WProtManager.f[/B] ( DrWEB: Trojan.Wprot.3, AVAST4: Win32:Agent-ATRV [Trj] )[*] c:\progra~2\suptab\search~1.dll - [B]not-a-virus:AdWare.Win32.Agent.aljt[/B] ( DrWEB: Adware.Mutabaha.50, BitDefender: Adware.Agent.ODR )[*] c:\progra~2\suptab\search~2.dll - [B]not-a-virus:AdWare.Win32.Agent.aljt[/B] ( DrWEB: Adware.Mutabaha.50, BitDefender: Adware.Agent.ODR )[/LIST][/LIST]