Здравствуйте. Стала всплывать реклама в браузерах, были случайно установлены лишние программы. Прошу Вас помочь.
Printable View
Здравствуйте. Стала всплывать реклама в браузерах, были случайно установлены лишние программы. Прошу Вас помочь.
Уважаемый(ая) [B]LudmilaY[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Admin\AppData\Roaming\omiga-plus\UninstallManager.exe','');
QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\LUQU.exe','');
DelBHO('{b608cc98-54de-4775-96c9-097de398500c}');
QuarantineFile('C:\Users\Admin\AppData\Local\PriceFountain\PriceFountainIE.dll','');
SetServiceStart('{665e51a3-da93-4d76-a3a4-e4194c384ce8}Gw64', 4);
DeleteService('{665e51a3-da93-4d76-a3a4-e4194c384ce8}Gw64');
SetServiceStart('SPDRIVER_1483.0.0.0', 4);
DeleteService('SPDRIVER_1483.0.0.0');
SetServiceStart('servervo', 4);
DeleteService('servervo');
SetServiceStart('serverca', 4);
DeleteService('serverca');
SetServiceStart('OptimizerMonitor', 4);
DeleteService('OptimizerMonitor');
QuarantineFile('C:\Windows\system32\drivers\{770d9261-ea7b-44d1-b1fa-cd753813d1ca}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{665e51a3-da93-4d76-a3a4-e4194c384ce8}Gw64.sys','');
QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1483.0.0.0\jsdrv.sys','');
TerminateProcessByName('c:\users\admin\appdata\local\wincheck\wincheck.exe');
QuarantineFile('c:\users\admin\appdata\local\wincheck\wincheck.exe','');
TerminateProcessByName('c:\users\admin\appdata\roaming\vopackage\vosrv.exe');
QuarantineFile('c:\users\admin\appdata\roaming\vopackage\vosrv.exe','');
TerminateProcessByName('c:\users\admin\appdata\local\gmsd_ru_100\upgmsd_ru_100.exe');
QuarantineFile('c:\users\admin\appdata\local\gmsd_ru_100\upgmsd_ru_100.exe','');
TerminateProcessByName('c:\users\admin\appdata\roaming\digita~1\update~1\update~1.exe');
QuarantineFile('c:\users\admin\appdata\roaming\digita~1\update~1\update~1.exe','');
QuarantineFile('c:\users\admin\appdata\local\smartweb\smartwebhelper.exe','');
QuarantineFile('c:\users\admin\appdata\local\smartweb\smartwebapp.exe','');
TerminateProcessByName('c:\users\admin\appdata\local\pricefountain\pricefountainw.exe');
QuarantineFile('c:\users\admin\appdata\local\pricefountain\pricefountainw.exe','');
TerminateProcessByName('c:\users\admin\appdata\local\pricefountain\pricefountain.exe');
QuarantineFile('c:\users\admin\appdata\local\pricefountain\pricefountain.exe','');
QuarantineFile('c:\program files (x86)\igs\optimizermonitor.exe','');
QuarantineFile('c:\users\admin\appdata\local\igs\igsrv.exe','');
QuarantineFile('c:\users\admin\appdata\local\igs\igs.exe','');
TerminateProcessByName('c:\program files (x86)\gmsd_ru_100\gmsd_ru_100.exe');
QuarantineFile('c:\program files (x86)\gmsd_ru_100\gmsd_ru_100.exe','');
TerminateProcessByName('c:\users\admin\appdata\local\convertad\convertad.exe');
QuarantineFile('c:\users\admin\appdata\local\convertad\convertad.exe','');
TerminateProcessByName('c:\users\admin\appdata\local\convertad\casrv.exe');
QuarantineFile('c:\users\admin\appdata\local\convertad\casrv.exe','');
DeleteFile('c:\users\admin\appdata\local\convertad\casrv.exe','32');
DeleteFile('c:\users\admin\appdata\local\convertad\convertad.exe','32');
DeleteFile('c:\program files (x86)\gmsd_ru_100\gmsd_ru_100.exe','32');
DeleteFile('c:\users\admin\appdata\local\pricefountain\pricefountain.exe','32');
DeleteFile('c:\users\admin\appdata\local\pricefountain\pricefountainw.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\digita~1\update~1\update~1.exe','32');
DeleteFile('c:\users\admin\appdata\local\gmsd_ru_100\upgmsd_ru_100.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\vopackage\vosrv.exe','32');
DeleteFile('c:\users\admin\appdata\local\wincheck\wincheck.exe','32');
DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1483.0.0.0\jsdrv.sys','32');
DeleteFile('C:\Windows\system32\drivers\{665e51a3-da93-4d76-a3a4-e4194c384ce8}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{770d9261-ea7b-44d1-b1fa-cd753813d1ca}Gw64.sys','32');
DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_100');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pricefountainw.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_100.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
DeleteFile('C:\Users\Admin\AppData\Local\PriceFountain\PriceFountainIE.dll','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Windows\Tasks\LUQU.job','64');
DeleteFile('C:\Users\Admin\AppData\Roaming\LUQU.exe','32');
DeleteFile('C:\Windows\Tasks\Price Fountain.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
DeleteFile('C:\Windows\system32\Tasks\LUQU','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\SMupdate2','64');
DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\SMupdate3','64');
DeleteFile('C:\Windows\system32\Tasks\Price Fountain','64');
DeleteFile('C:\Windows\system32\Tasks\SMupdate1','64');
DeleteFile('C:\Windows\system32\Tasks\YTDownloader','64');
DeleteFile('C:\Users\Admin\AppData\Roaming\omiga-plus\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{CE1CBFC3-EFC4-4A93-A5A9-0602C4DADD3F}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Карантин отправлен, логи прикрепляю
Поместите в карантин МВАМ всё, [B]кроме[/B]
[CODE]PUP.Optional.OpenCandy, C:\Users\Admin\AppData\Roaming\OpenCandy, , [f06109ee1f6ae05649e506415ba88b75],
PUP.Optional.OpenCandy, C:\Users\Admin\AppData\Roaming\OpenCandy\808E7F71556A4E75BFED649C54B3ABF7, , [f06109ee1f6ae05649e506415ba88b75],
PUP.Optional.OpenCandy, C:\Users\Admin\AppData\Roaming\OpenCandy\AB08B11452294FA689F12C37F23C0B41, , [f06109ee1f6ae05649e506415ba88b75],
PUP.Optional.OpenCandy, C:\Users\Admin\AppData\Roaming\OpenCandy\OpenCandy_808E7F71556A4E75BFED649C54B3ABF7, , [f06109ee1f6ae05649e506415ba88b75],
PUP.Optional.OpenCandy, C:\Users\Admin\AppData\Roaming\OpenCandy\OpenCandy_AB08B11452294FA689F12C37F23C0B41, , [f06109ee1f6ae05649e506415ba88b75], [/CODE]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
все сделано
Удалите вручную
[QUOTE]C:\Users\Admin\AppData\Roaming\AnyProtectEx
C:\Users\Admin\AppData\Roaming\omiga-plus
C:\Program Files (x86)\globalUpdate[/QUOTE]
Удалено, только первый файл не получается найти
[quote="LudmilaY;1223125"]только первый файл не получается найти[/quote]Это папка с атрибутами "скрытая системная"
Что с проблемой?
AppData скрытая папка, это я понимаю, только AnyProtectEx все равно не вижу
Проблема уменьшилась, рекламы стало меньше, но все равно еще бывает
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
прикрепляю
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
+ C:\Windows\system32\OptimizerMonitor.dll проверьте на virustotal.com и пришлите ссылку
В AdwCleaner все удалено, отчет прикрепляю
OptimizerMonitor тоже проверен, вот ссылка
[url]https://www.virustotal.com/ru/file/170416fccb9f540f191959b85b01a99952897bb92ecf3bb29a5809174e59e87a/analysis/1422885656/[/url]
И кажется, проблема пропала
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/B92LqRQ.png[/img]
тоже сделано
Деинсталлируйте:
[QUOTE]
IGS
igsc
[/QUOTE]
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
() C:\Users\Admin\AppData\Local\igs\IGSrv.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-3228211314-2512049320-2541337393-1000 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - No File
CHR Extension: (gngmhdpofjbdiecihebaaooakicnjjmc) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gngmhdpofjbdiecihebaaooakicnjjmc [2015-01-31]
CHR Extension: (llnofjfijelilpjdibjjmldcpdenmbfh) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\llnofjfijelilpjdibjjmldcpdenmbfh [2015-01-30]
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - No Path
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - No Path
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path
R2 serverig; C:\Users\Admin\AppData\Local\igs\IGSrv.exe [94208 2015-01-30] () [File not signed]
2015-01-30 10:26 - 2015-01-31 22:07 - 00004856 _____ () C:\Windows\SysWOW64\OptimizerMonitor.ini
2015-01-30 10:26 - 2015-01-31 22:07 - 00002648 _____ () C:\Windows\SysWOW64\OptimizerMonitorOff.ini
2015-01-30 10:26 - 2015-01-31 22:07 - 00002648 _____ () C:\Windows\system32\OptimizerMonitorOff.ini
2015-01-30 10:25 - 2015-01-30 10:25 - 00000000 ____D () C:\Program Files (x86)\IGS
2015-01-30 10:25 - 2015-01-29 17:22 - 00301152 _____ (OptimizerMonitor Inc.) C:\Windows\SysWOW64\OptimizerMonitor.dll
2015-01-30 10:24 - 2015-01-30 10:24 - 00000000 ____D () C:\Users\Admin\AppData\Local\igs
Task: {1FC47A0F-408F-4318-97B2-7741E54D2922} - \Microsoft\Windows\Maintenance\SMupdate2 No Task File <==== ATTENTION
Task: {614DCCA6-9784-4B66-809A-67A7A60642E6} - \{CE1CBFC3-EFC4-4A93-A5A9-0602C4DADD3F} No Task File <==== ATTENTION
Task: {9D9C3F0C-7E3B-4674-B7E5-1EE859F31B3D} - \Microsoft\Windows\Multimedia\SMupdate3 No Task File <==== ATTENTION
EmptyTemp:
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
отправляю лог-файл
Что с проблемой?