Помощь в лечении компьютера [not-a-virus:AdWare.Win32.Vitruvian.s, not-a-virus:AdWare.Win32.Agent.jlir ]

Printable View

14.11.2015, 13:56
tjspy

Вложений: 3

Помощь в лечении компьютера [not-a-virus:AdWare.Win32.Vitruvian.s, not-a-virus:AdWare.Win32.Agent.jlir ]

Здравствуйте. При открытии браузера хром, открывается страница [COLOR="#FF0000"]удалено[/COLOR]. добавляется расширение с иероглифами.
14.11.2015, 13:58
Info_bot

Уважаемый(ая) [B]tjspy[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.11.2015, 14:31
regist

Здравствуйте!

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
StopService('24FFC26');
StopService('282D589');
StopService('36841F4');
StopService('7DC3542');
StopService('833A4B6');
StopService('8829A33');
QuarantineFile('C:\Windows\TEMP\24FFC26.sys', '');
QuarantineFile('C:\Windows\TEMP\282D589.sys', '');
QuarantineFile('C:\Windows\TEMP\36841F4.sys', '');
QuarantineFile('C:\Windows\TEMP\7DC3542.sys', '');
QuarantineFile('C:\Windows\TEMP\833A4B6.sys', '');
QuarantineFile('C:\Windows\TEMP\8829A33.sys', '');
QuarantineFile('C:\Windows\system32\Drivers\swsedrvr_vw_1_10_0_25.sys', '');
QuarantineFile('C:\ProgramData\Bamcof\Bamcof.exe', '');
QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-11.exe', '');
QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-7.exe', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', '');
QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', '');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
QuarantineFileF('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
QuarantineFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
QuarantineFile('C:\ProgramData\lljbbjehdkha.dll', '');
QuarantineFile('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\0.8', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\QKuiGdNMz1.bat', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Browsers\exe.resworb.bat', '');
QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe', '');
QuarantineFile('C:\Program Files\Microsoft', '');
QuarantineFile('Data\InstallAddons.exe', '');
QuarantineFileF('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\', '*', true, '', 0, 0);
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job', '32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job', '32');
DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', '32');
DeleteFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', '32');
DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-7.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-1-7', '32');
DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-11', '32');
DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-11.exe', '32');
DeleteFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
DeleteFile('C:\ProgramData\lljbbjehdkha.dll', '32');
DeleteFile('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\0.8', '32');
DeleteFile('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\QKuiGdNMz1.bat', '32');
DeleteFile('C:\Users\МАРИЯ\AppData\Roaming\Browsers\exe.resworb.bat', '32');
DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe', '32');
DeleteFile('C:\Program Files\Microsoft', '32');
DeleteFile('Data\InstallAddons.exe', '32');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "chrome5" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "chrome5_logon" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true);
DeleteFileMask('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\', '*', true);
DeleteFileMask('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\', '*', true);
DeleteDirectory('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\');
QuarantineFileF('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
DeleteFileMask('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\', '*', true);
DeleteDirectory('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\');
DeleteDirectory('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{646BAAE7-7538-4866-8EEE-974C0AA910AB}');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_dbg.zip"]Check Browsers' LNK by Dragokas & regist[/URL]. Заархивируйте его и прикрепите к сообщению.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
14.11.2015, 16:12
tjspy

Вложений: 4

готово
14.11.2015, 17:05
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
StopService('wwfd_vt_1_10_0_24');
QuarantineFile('F:\autorun.inf', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехрlоrеr Вrоwsеr.lnk', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk', '');
QuarantineFile('C:\Users\МАРИЯ\Desktop\неиспользуемые ярлыки\iехplоrе - Ярлык.lnk', '');
QuarantineFile('C:\Users\МАРИЯ\Desktop\неиспользуемые ярлыки\iехplоrе 8.lnk', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Local\Yandex.bat', '');
QuarantineFile('C:\ProgramData\enUXFQnZdR\RZgPpRwRJUkmfi5.bat', '');
QuarantineFileF('C:\ProgramData\enUXFQnZdR\', '*', true, '', 0, 0);
QuarantineFileF('C:\Program Files\Common Files\{CF975636-4F50-4F98-8B50-4780EBF49956}', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
QuarantineFile('C:\Windows\system32\Drivers\swsedrvr_vw_1_10_0_25.sys', '');
QuarantineFile('C:\ProgramData\Bamcof\Bamcof.exe', '');
QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-6.exe', '');
QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-5.exe', '');
QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-3.exe', '');
QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-6.exe', '');
QuarantineFile('C:\Users\?????\AppData\Roaming\v5STjPiVU2xeLBZdd1n3vW.exe', '');
QuarantineFile('C:\Users\?????\AppData\Roaming\joGQ11VQhFO.exe', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', '');
QuarantineFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
QuarantineFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys', '');
DeleteFile('F:\autorun.inf', '32');
DeleteFile('C:\Users\МАРИЯ\AppData\Local\Yandex.bat', '');
DeleteFile('C:\ProgramData\enUXFQnZdR\RZgPpRwRJUkmfi5.bat', '');
DeleteFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys', '32');
DeleteFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
DeleteFile('C:\Windows\Tasks\jjk Files Update Ver 20151029.job', '32');
DeleteFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', '32');
DeleteFile('C:\Windows\Tasks\joGQ11VQhFO.job', '32');
DeleteFile('C:\Users\?????\AppData\Roaming\joGQ11VQhFO.exe', '32');
DeleteFile('C:\Users\?????\AppData\Roaming\v5STjPiVU2xeLBZdd1n3vW.exe', '32');
DeleteFile('C:\Windows\Tasks\v5STjPiVU2xeLBZdd1n3vW.job', '32');
DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-6.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-1-6', '32');
DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-3.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-3', '32');
DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-5.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-5', '32');
DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-6', '32');
DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-6.exe', '32');
DeleteFile('C:\ProgramData\Bamcof\Bamcof.exe', '32');
DeleteFile('C:\Windows\system32\Drivers\swsedrvr_vw_1_10_0_25.sys', '32');
DeleteService('wwfd_vt_1_10_0_24');
DeleteFileMask('C:\ProgramData\enUXFQnZdR\', '*', true);
DeleteFileMask('C:\Program Files\Common Files\{CF975636-4F50-4F98-8B50-4780EBF49956}', '*', true);
DeleteDirectory('C:\ProgramData\enUXFQnZdR\');
DeleteDirectory('C:\Program Files\Common Files\{CF975636-4F50-4F98-8B50-4780EBF49956}');
DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
14.11.2015, 17:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]47[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\bamcof\bamcof.exe - [B]not-a-virus:AdWare.Win32.Agent.jlir[/B] ( AVAST4: Win32:Adware-gen [Adw] )[*] c:\windows\system32\drivers\swsedrvr_vw_1_10_0_25.sys - [B]not-a-virus:AdWare.Win32.Vitruvian.s[/B][/LIST][/LIST]