Очень много рекламы в браузерах [Trojan-Downloader.Win32.AdLoad.ebxn ]

Владелец компьютера мало уделял внимания безопасности компьютера. В конце концов реклама заполонила страницы. Сканирование и удаление вирусов антивирем COMODO не помогло, хоть он нашел из достаточно много.

Уважаемый(ая) [B]Алексей Шмагин[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE]DolkaRu
smarterpower
SpeedTest
ШоппингГид[/QUOTE]удалите через Установку программ

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\ext\updatepl.exe','');
QuarantineFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','');
QuarantineFile('C:\Program Files (x86)\Lyrmix\LyricsmixUpdate.exe','');
QuarantineFile('C:\Users\Николай\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com','');
QuarantineFile('C:\Users\Николай\AppData\Local\3085\a14994.exe','');
TerminateProcessByName('C:\Program Files (x86)\Speed Test\BackgroundHost64.exe');
DelBHO('{00e71626-0bef-11dc-8314-0800200c9a66}');
DelBHO('{1B084C86-9657-42F9-A5E5-AC8DD832CDE9}');
DelBHO('{bd7c9b62-a7d9-4405-be51-7fd633f08791}');
QuarantineFile('C:\Program Files (x86)\SmarterPower\SmarterPowerbho.dll','');
QuarantineFile('C:\Program Files (x86)\Speed Test\ScriptHost.dll','');
QuarantineFile('C:\Program Files (x86)\DolkaRuIePlugin\TinyBHO.dll','');
QuarantineFile('C:\Windows\System32\config\systemprofile\AppData\Local\smss.exe','');
QuarantineFile('C:\Users\Николай\AppData\Local\storegid\storegidup.exe','');
QuarantineFile('C:\Users\Николай\AppData\Local\storegid\storegid.exe','');
QuarantineFile('C:\Users\Николай\AppData\Local\smss.exe','');
QuarantineFile('C:\Users\D683~1\AppData\Local\Temp\87F3.tmp.exe','');
QuarantineFile('C:\Program Files (x86)\AdTrustMedia\PrivDog\FinalizeSetup.exe','');
QuarantineFile('C:\Windows\system32\drivers\jptmzkit.sys','');
QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys','');
QuarantineFile('C:\Windows\system32\drivers\jgliyvcn.sys','');
QuarantineFile('C:\Windows\system32\drivers\gynwvfxj.sys','');
DeleteService('nethfdrv');
DeleteService('jptmzkit');
DeleteService('jgliyvcn');
DeleteService('gynwvfxj');
SetServiceStart('storegidfilter', 4);
DeleteService('storegidfilter');
QuarantineFile('C:\Windows\SysWOW64\netupdsrv.exe','');
QuarantineFile('C:\Windows\SysWOW64\nethtsrv.exe','');
DeleteService('ServiceUpdater');
SetServiceStart('NetHttpService', 4);
DeleteService('NetHttpService');
SetServiceStart('Util SmarterPower', 4);
DeleteService('Util SmarterPower');
SetServiceStart('Update SmarterPower', 4);
DeleteService('Update SmarterPower');
QuarantineFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys','');
QuarantineFile('C:\Windows\storegidfilter.sys','');
QuarantineFile('c:\users\Николай\appdata\local\winnerdm\wdm.bin','');
QuarantineFile('C:\Program Files (x86)\Speed Test\BackgroundHost64.exe','');
DeleteFile('C:\Windows\storegidfilter.sys','32');
DeleteFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys','32');
DeleteFile('C:\Windows\SysWOW64\nethtsrv.exe','32');
DeleteFile('C:\Windows\SysWOW64\netupdsrv.exe','32');
DeleteFile('C:\Windows\system32\drivers\gynwvfxj.sys','32');
DeleteFile('C:\Windows\system32\drivers\jgliyvcn.sys','32');
DeleteFile('C:\Windows\system32\drivers\jptmzkit.sys','32');
DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys','32');
DeleteFile('C:\Users\D683~1\AppData\Local\Temp\87F3.tmp.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftUpdate');
DeleteFile('C:\Users\Николай\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
DeleteFile('C:\Users\Николай\AppData\Local\smss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
DeleteFile('C:\Users\Николай\AppData\Local\storegid\storegid.exe','32');
DeleteFile('C:\Users\Николай\AppData\Local\storegid\storegidup.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegid');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegidUpdater');
DeleteFile('C:\Windows\System32\config\systemprofile\AppData\Local\smss.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
DeleteFile('C:\Program Files (x86)\DolkaRuIePlugin\TinyBHO.dll','32');
DeleteFile('C:\Program Files (x86)\Speed Test\ScriptHost.dll','32');
DeleteFile('C:\Program Files (x86)\SmarterPower\SmarterPowerbho.dll','32');
DeleteFile('C:\Program Files (x86)\Speed Test\BackgroundHost64.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\Windows\Tasks\At1.job','64');
DeleteFile('C:\Users\Николай\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com','32');
DeleteFile('C:\Users\D683~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\DSite.job','64');
DeleteFile('C:\Program Files (x86)\Lyrmix\LyricsmixUpdate.exe','32');
DeleteFile('C:\Windows\Tasks\Lyrmix Update.job','64');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
DeleteFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','32');
DeleteFile('C:\Windows\system32\Tasks\DSite','64');
DeleteFile('C:\Windows\system32\Tasks\Lyrmix Update','64');
DeleteFile('C:\ext\updatepl.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(8);
ExecuteREpair(17);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

От Mbam, AVZ и HiJack

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Поместите в карантин МВАМ[/url] всё кроме

[CODE]Spyware.Zbot.ED, C:\Program Files (x86)\MegaFon Internet\MegaFon Internet.exe, , [2772d0f96f0c12244a4d8af59e638e72],
Trojan.Agent.MVXGen, C:\Users\?????????»?°??\AppData\Roaming\UnknownFile\UnknownFile.exe, , [7a1fc10846354beb5c46455bf20f728e],
RiskWare.Tool.CK, D:\Games\?????»??N??? ??N????????? 3\Key\PP3_KG.exe, , [a3f61dac9be0f73fb4105f204fb117e9], [/CODE]

Этот файл [CODE]C:\Users\?????????»?°??\AppData\Roaming\UnknownFile\UnknownFile.exe,[/CODE]
проверьте на [url]https://www.virustotal.com/[/url] ссылку на результат проверки напишите здесь.

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Сделайте новый лог сканирования MBAM

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

- сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowserLnk[/URL]

Вот отчеты

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[url]http://virusinfo.info/virusdetector/report.php?md5=CB39417375DCA56E0A4FD96792CBB86D[/url]
на результаты проверки
[url]https://www.virustotal.com/ru/file/9e31f04be2e26f746c612001664ab0c88facf7c8d6f6219ecb7243acb920c8cb/analysis/[/url]
на анализ файла UnknownFile.exe

1) Media Get - деинсталируйте.

2) Исправьте ярлыки
[CODE]C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Yandex.lnk
C:\Users\Николай\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk[/CODE]

с помощью [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиты ClearLNK[/url]

3) - [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru и AlawarWrapper - если программами от mail.ru и Alawar не пользуетесь, то их тоже удалите.

4) [CODE]C:\Users\?????????»?°??\AppData\Roaming\UnknownFile\UnknownFile.exe[/CODE]

Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

5) Отпишитесь, что с проблемой.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\ext\updatepl.exe - [B]Trojan-Downloader.Win32.AdLoad.ebxn[/B] ( BitDefender: Trojan.GenericKD.1722565, AVAST4: Win32:Malware-gen )[/LIST][/LIST]