Оч много вирусов [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:AdWare.Win32.Eorezo.afob ]

Printable View

17.09.2015, 14:49
Дмитрий Гут

Вложений: 3

Оч много вирусов [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:AdWare.Win32.Eorezo.afob ]

Помогите вылечить ноут. Самопроизвольно запускаются вкладки в браузерах. Иногда пытается установиться ПО.
17.09.2015, 14:51
Info_bot

Уважаемый(ая) [B]Дмитрий Гут[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
17.09.2015, 15:27
mrak74

Здравствуйте !!!

[URL="http://virusinfo.info/showthread.php?t=130828"]отключите антивирусную программу [/URL]

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL] (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsputnik.ru/?imsid=2249e41444ccc5c17b4c92766f781dc3&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsputnik.ru/?imsid=2249e41444ccc5c17b4c92766f781dc3&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsputnik.ru/?imsid=2249e41444ccc5c17b4c92766f781dc3&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://smartsputnik.ru/?imsid=2249e41444ccc5c17b4c92766f781dc3&text=
O4 - HKLM\..\Run: [SmartWeb] C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe
O4 - HKLM\..\Run: [gmsd_ru_005010089] "C:\Program Files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe"
O4 - HKLM\..\RunOnce: [upgmsd_ru_005010089.exe] C:\Users\User\AppData\Local\gmsd_ru_005010089\upgmsd_ru_005010089.exe -runonce[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\programdata\dwdsmanprod\wdsmanpro.exe');
TerminateProcessByName('c:\users\user\appdata\local\gmsd_ru_005010089\upgmsd_ru_005010089.exe');
TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebhelper.exe');
TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebapp.exe');
TerminateProcessByName('c:\program files (x86)\4ec41f29-1441730264-11e3-be3a-28d244677a67\knsca697.tmp');
TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe');
StopService('WdsManPro');
StopService('myzeduko');
QuarantineFile('C:\Users\User\appdata\local\smartweb\__u.exe','');
QuarantineFile('C:\Users\User\AppData\Local\PriceFountain\pricefountain.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\oTTTX0u0kC9.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\5la0KgOwmuE7dh8dD.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Коmеtа.lnk','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk','');
QuarantineFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.bat','');
QuarantineFile('C:\Users\User\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\UvHDN\3juP.exe','');
QuarantineFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','');
QuarantineFile('C:\Users\User\AppData\Local\SmartWeb\swhk.dll','');
QuarantineFile('c:\programdata\dwdsmanprod\wdsmanpro.exe','');
QuarantineFile('c:\users\user\appdata\local\smartweb\smartwebhelper.exe','');
QuarantineFile('c:\users\user\appdata\local\smartweb\smartwebapp.exe','');
QuarantineFile('c:\program files (x86)\4ec41f29-1441730264-11e3-be3a-28d244677a67\knsca697.tmp','');
DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Коmеtа.lnk');
DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk');
DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk');
DeleteFile('C:\Program Files (x86)\4EC41F29-1441730264-11E3-BE3A-28D244677A67\knscA697.tmp','32');
DeleteFile('C:\ProgramData\DWdsManProD\WdsManPro.exe','32');
DeleteFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe','32');
DeleteFile('C:\Users\User\AppData\Local\gmsd_ru_005010089\upgmsd_ru_005010089.exe','32');
DeleteFile('C:\Users\User\AppData\Roaming\UvHDN\3juP.exe','32');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
DeleteFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\User\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
DeleteFile('C:\Users\User\AppData\Local\Kometa\kometaup.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
DeleteFile('C:\Users\User\AppData\Roaming\fSkfq\u2JE.exe','32');
DeleteFile('C:\Users\User\AppData\Roaming\w9f68\urMw.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Users\User\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.bat','32');
DeleteFile('C:\Users\User\AppData\Roaming\5la0KgOwmuE7dh8dD.exe','32');
DeleteFile('C:\Windows\Tasks\5la0KgOwmuE7dh8dD.job','32');
DeleteFile('C:\Windows\Tasks\oTTTX0u0kC9.job','32');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\User\AppData\Local\PriceFountain\pricefountain.exe','32');
DeleteFile('C:\Windows\system32\Tasks\PFExe','64');
DeleteFile('C:\Users\User\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('C:\Users\User\appdata\local\smartweb\smartwebhelper.exe','32');
DeleteFile('C:\Users\User\appdata\local\smartweb\swhk.dll','32');
DeleteFile('C:\Users\User\appdata\local\smartweb\__u.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010089');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010089.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3ux','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_9BAB471B03D368FCB9DADC4CBCF42FCC','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_6632489EDE512831E64C7AB45B89EBC1','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uJw','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uMm','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
DeleteService('wsafd_1_10_0_19');
DeleteService('WdsManPro');
DeleteService('myzeduko');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(4);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
17.09.2015, 16:02
Дмитрий Гут

Вложений: 2

карантин отправил. скрипты сделал
17.09.2015, 16:06
mrak74

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
17.09.2015, 16:10
Дмитрий Гут

Вложений: 1

файл
17.09.2015, 16:13
mrak74

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
17.09.2015, 16:18
Дмитрий Гут

После последнего отчета, АдвКлинер больше ничего не находит.
17.09.2015, 16:29
mrak74

Проблема решена ?
17.09.2015, 16:33
Дмитрий Гут

Да, большое спасибо1!!
17.09.2015, 16:46
mrak74

[URL="http://virusinfo.info/showthread.php?t=121902"][B]Советы и рекомендации после лечения компьютера[/B][/URL]
17.09.2015, 16:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe - [B]not-a-virus:AdWare.Win32.Eorezo.afob[/B][*] c:\users\user\appdata\local\gmsd_ru_005010089\upgmsd_ru_005010089.exe - [B]not-a-virus:AdWare.Win32.Eorezo.afob[/B][*] c:\users\user\appdata\local\smartweb\smartwebapp.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845 )[*] c:\users\user\appdata\local\smartweb\smartwebhelper.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845 )[*] c:\users\user\appdata\local\smartweb\swhk.dll - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845, AVAST4: Win32:BHO-AOK [Adw] )[*] c:\users\user\appdata\roaming\microsoft\internet explorer\quick launch\google chrome.lnk - [B]HEUR:Trojan.WinLNK.StartPage.gena[/B][/LIST][/LIST]