Рекламные баннеры в Вконтакте. Перекидывает на другие сайты. [Trojan.Win32.Agent2.joae, not-a-virus:WebToolbar.Win32.Agent.bih ]

Printable View

12.03.2015, 20:28
parkour1994

Рекламные баннеры в Вконтакте. Перекидывает на другие сайты. [Trojan.Win32.Agent2.joae, not-a-virus:WebToolbar.Win32.Agent.bih ]

Здравствуйте, прошу помочь с решением моей проблемы. Принесли компьютер, а на нём постоянно вылазит реклама, и переадресовывает на другие сайты типа megogo. Как с этим бороться. Всё просканировал, скидываю логи.
12.03.2015, 20:29
Info_bot

Уважаемый(ая) [B]parkour1994[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
12.03.2015, 23:18
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Program Files\advPlugin\Toolbar32.dll','');
QuarantineFile('C:\Program Files\advplugin\backgroundsingleton.exe','');
QuarantineFile('C:\Program Files\advplugin\basement\extensionupdaterservice.exe','');
QuarantineFile('C:\Users\Admin\appdata\local\systemdir\setsearchm.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Program Files\VK Downloader\UTikzNzHO9.exe','');
DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');
DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
QuarantineFile('C:\Program Files\VK Downloader\K_l9EtqEFc.dll','');
QuarantineFile('C:\TEMP\NETBD3~1.EXE','');
QuarantineFile('C:\TEMP\NETBD3~2.EXE','');
QuarantineFile('C:\TEMP\NETBD3~3.EXE','');
QuarantineFile('C:\TEMP\netBD25.tmp.exe','');
SetServiceStart('Update Service for advPlugin', 4);
DeleteService('Update Service for advPlugin');
TerminateProcessByName('c:\temp\netbd25.tmp.exe');
QuarantineFile('c:\temp\netbd25.tmp.exe','');
TerminateProcessByName('c:\program files\advplugin\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files\advplugin\basement\extensionupdaterservice.exe','');
DeleteFile('c:\program files\advplugin\basement\extensionupdaterservice.exe','32');
DeleteFile('c:\temp\netbd25.tmp.exe','32');
DeleteFile('C:\Program Files\Новая папка\Mobogenie\DaemonProcess.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppfirefox');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppiexplore');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppoldopera');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearch_startsetsearch_chrome');
DeleteFile('C:\TEMP\netBD25.tmp.exe','32');
DeleteFile('C:\TEMP\NETBD3~3.EXE','32');
DeleteFile('C:\TEMP\NETBD3~2.EXE','32');
DeleteFile('C:\TEMP\NETBD3~1.EXE','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kwuqifybpc');
DeleteFile('C:\Program Files\VK Downloader\K_l9EtqEFc.dll','32');
DeleteFile('C:\Program Files\VK Downloader\UTikzNzHO9.exe','32');
DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','32');
DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','32');
DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
DeleteFile('C:\Users\Admin\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\Windows\system32\Tasks\nethost task','32');
DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','32');
DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','32');
DeleteFile('C:\Users\Admin\appdata\local\systemdir\setsearchm.exe','32');
DeleteFile('C:\Program Files\advplugin\basement\extensionupdaterservice.exe','32');
DeleteFile('C:\Program Files\advplugin\backgroundsingleton.exe','32');
DeleteFile('C:\Program Files\advPlugin\Toolbar32.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://erinope.com/recfor/today2.ruy
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)[/CODE]

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
14.03.2015, 19:52
parkour1994

Всё сделал. Карантин выслал. Логи высылаю в этом сообщении.
15.03.2015, 10:28
thyrex

У расширения Adblock в Хроме какая версия?

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
HKU\S-1-5-21-2139418595-4079594516-1944154516-1000\...\Run: [amigo] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2139418595-4079594516-1944154516-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
AutoConfigURL: [HKLM] => http://erinope.com/recfor/today2.ruy
Toolbar: HKU\S-1-5-21-2139418595-4079594516-1944154516-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-2139418595-4079594516-1944154516-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF DefaultSearchEngine: GoSearch
FF SelectedSearchEngine: GoSearch
FF NetworkProxy: "autoconfig_url", "https://erinope.com/recfor/today.ruy"
FF NetworkProxy: "type", 2
FF Extension: NetFilterPRO - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\q4vseeif.default\Extensions\[email protected] [2015-03-05]
FF Extension: Currency calc - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\q4vseeif.default\Extensions\{1B1F6171-E8D6-4F5F-9778-3009CC2748E2} [2015-03-14]
FF Extension: Currency calc - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\q4vseeif.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2015-03-05
FF Extension: VK Downloader - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\q4vseeif.default\Extensions\{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} [2015-03-13]
CHR DefaultSearchKeyword: Default -> gosearch
CHR DefaultSearchURL: Default -> http://go-search.ru/search?q={searchTerms}
CHR Extension: (NetFilterPRO) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\default\Extensions\cfmnkhhioonhiehehedmnjibmampjiab [2015-03-14]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\default\Extensions\fneleoohaagcejefkfmanhhdoboipapk [2015-03-10]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\default\Extensions\objoaichchnolncdebkiiipkjlligamm [2015-03-13]
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
2015-03-14 10:34 - 2015-03-14 22:32 - 00000296 _____ () C:\Windows\Tasks\Update Service for advPlugin.job
2015-03-13 21:06 - 2015-03-14 22:31 - 00000296 _____ () C:\Windows\Tasks\Update Service for advPlugin2.job
2015-03-08 00:31 - 2015-03-08 00:31 - 00000258 __RSH () C:\Users\Admin\ntuser.pol
2015-03-07 22:25 - 2015-03-13 21:05 - 00000000 ____D () C:\Program Files\VK Downloader
2015-03-06 10:42 - 2015-03-14 10:34 - 00000000 _____ () C:\Windows\system32\rmAds.bat
2015-03-05 23:41 - 2015-03-08 01:23 - 00001038 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-03-05 23:41 - 2015-03-08 01:23 - 00001038 __RSH () C:\ProgramData\ntuser.pol
2015-03-05 22:22 - 2015-03-14 22:14 - 00000000 ____D () C:\Program Files\advPlugin
2015-03-05 22:21 - 2015-03-05 22:22 - 00000000 ____D () C:\Program Files\Microsoft Data
2015-03-05 22:21 - 2015-03-05 22:21 - 00000001 _____ () C:\Users\Admin\AppData\Roaming\smw_inst
Task: {76FD6A4E-24BE-485D-B564-CAE53E253027} - \chrome5_logon No Task File <==== ATTENTION
Task: {A6DB0DDE-8BD8-41E6-9BBE-2C3951EDA617} - \chrome5 No Task File <==== ATTENTION
Task: {DAB57C74-A4BC-4D61-9666-773117B3E5E8} - \nethost task No Task File <==== ATTENTION
Reboot:
[/code][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
15.03.2015, 15:21
parkour1994

Версия Адблока 2.19
Отправляю файл.
15.03.2015, 17:32
thyrex

Что с проблемой?
16.03.2015, 10:17
parkour1994

Да, всё исчезло. Спасибо вам огромное.
16.03.2015, 10:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\advplugin\backgroundsingleton.exe - [B]not-a-virus:WebToolbar.Win32.Agent.bih[/B][*] c:\program files\advplugin\basement\extensionupdaterservice.exe - [B]not-a-virus:WebToolbar.Win32.Agent.bih[/B][*] c:\program files\advplugin\toolbar32.dll - [B]not-a-virus:WebToolbar.Win32.Agent.bgn[/B][*] c:\program files\vk downloader\k_l9etqefc.dll - [B]not-a-virus:WebToolbar.Win32.Agent.big[/B][*] c:\users\admin\appdata\local\systemdir\nethost.exe - [B]Trojan.Win32.Agent2.joae[/B] ( AVAST4: Win32:Malware-gen )[*] c:\users\admin\appdata\local\systemdir\setsearchm.exe - [B]Trojan.Win32.Agent.idxa[/B] ( AVAST4: Win32:GenMalicious-FAK [Trj] )[/LIST][/LIST]