Реклама в браузере. [not-a-virus:NetTool.Win64.NetFilter.l, Trojan.Win64.Patched.qw ]

Printable View

16.12.2015, 17:12
login

Реклама в браузере. [not-a-virus:NetTool.Win64.NetFilter.l, Trojan.Win64.Patched.qw ]

Здравствуйте, реклама во всех браузерах всплывающие окна. И загрузиться постоянно хочет какая то программа.
16.12.2015, 17:13
Info_bot

Уважаемый(ая) [B]login[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
16.12.2015, 19:40
regist

Здравствуйте!

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010172\gmsd_ru_005010172.exe');
TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010177\gmsd_ru_005010177.exe');
TerminateProcessByName('c:\program files (x86)\22782805-1447474033-e849-bd83-047d7b9bb323\hnsk4e80.tmp');
TerminateProcessByName('c:\program files (x86)\22782805-1447474033-e849-bd83-047d7b9bb323\jnsf33dd.tmp');
TerminateProcessByName('c:\program files (x86)\22782805-1447474033-e849-bd83-047d7b9bb323\knsu398c.tmp');
TerminateProcessByName('c:\users\note\appdata\local\temp\nsj1127.tmp');
TerminateProcessByName('c:\users\note\appdata\roaming\nssm.exe');
TerminateProcessByName('c:\users\note\appdata\local\temp\nsxc658.tmp');
TerminateProcessByName('c:\users\note\appdata\local\22782805-1450302135-e849-bd83-047d7b9bb323\qnsiff66.tmp');
TerminateProcessByName('c:\users\note\appdata\local\22782805-1447506476-e849-bd83-047d7b9bb323\snsqb3b8.tmp');
TerminateProcessByName('c:\users\note\appdata\local\gmsd_ru_005010177\upgmsd_ru_005010177.exe');
TerminateProcessByName('c:\users\note\appdata\local\temp\7f4987fb1a6e43d69e3e94b29eb75926\yandexpacksetup.exe');
StopService('beluvuhy');
StopService('citevebo');
StopService('ginoquci');
StopService('hidekoqe');
StopService('piromemi');
StopService('qebovulo');
QuarantineFile('c:\program files (x86)\gmsd_ru_005010172\gmsd_ru_005010172.exe', '');
QuarantineFile('c:\program files (x86)\gmsd_ru_005010177\gmsd_ru_005010177.exe', '');
QuarantineFile('c:\program files (x86)\22782805-1447474033-e849-bd83-047d7b9bb323\hnsk4e80.tmp', '');
QuarantineFile('c:\program files (x86)\22782805-1447474033-e849-bd83-047d7b9bb323\jnsf33dd.tmp', '');
QuarantineFile('c:\program files (x86)\22782805-1447474033-e849-bd83-047d7b9bb323\knsu398c.tmp', '');
QuarantineFile('c:\users\note\appdata\local\temp\nsj1127.tmp', '');
QuarantineFile('c:\users\note\appdata\roaming\nssm.exe', '');
QuarantineFile('c:\users\note\appdata\local\temp\nsxc658.tmp', '');
QuarantineFile('c:\users\note\appdata\local\22782805-1450302135-e849-bd83-047d7b9bb323\qnsiff66.tmp', '');
QuarantineFile('c:\users\note\appdata\local\22782805-1447506476-e849-bd83-047d7b9bb323\snsqb3b8.tmp', '');
QuarantineFile('c:\users\note\appdata\local\gmsd_ru_005010177\upgmsd_ru_005010177.exe', '');
QuarantineFile('c:\users\note\appdata\local\temp\7f4987fb1a6e43d69e3e94b29eb75926\yandexpacksetup.exe', '');
QuarantineFile('C:\Users\Note\AppData\Local\Temp\{12f34aee-538c-44d5-b33a-12213b7e0197}\.ba1\wixstdba.dll', '');
QuarantineFile('C:\Users\Note\AppData\Local\gmsd_ru_005010172\upgmsd_ru_005010172.exe', '');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
QuarantineFile('C:\PROGRA~1\GROOVE~1\Rukdof.bat', '');
QuarantineFile('C:\Users\Note\appdata\local\gmsd_ru_005010146\upgmsd_ru_005010146.exe', '');
QuarantineFile('C:\Users\Note\appdata\local\gmsd_ru_005010152\upgmsd_ru_005010152.exe', '');
QuarantineFileF('C:\ProgramData\6WdM6\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('c:\program files (x86)\plushd_1.02mv09.08\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('c:\programdata\tmp0x0x\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('c:\program files\groover121120151836', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Note\AppData\Local\SmartWeb\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\baidu\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Note\appdata\roaming\aspackage\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Note\appdata\local\gmsd_ru_005010152\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Note\appdata\local\gmsd_ru_005010146\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files\groover121120151836\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\SwiftSearch_1.10.0.25\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\SFK\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Note\AppData\Local\22782805-1450302135-E849-BD83-047D7B9BB323\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Note\AppData\Roaming\TSv\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
DeleteFile('c:\program files (x86)\gmsd_ru_005010172\gmsd_ru_005010172.exe', '32');
DeleteFile('c:\program files (x86)\gmsd_ru_005010177\gmsd_ru_005010177.exe', '32');
DeleteFile('c:\program files (x86)\22782805-1447474033-e849-bd83-047d7b9bb323\hnsk4e80.tmp', '32');
DeleteFile('c:\program files (x86)\22782805-1447474033-e849-bd83-047d7b9bb323\jnsf33dd.tmp', '32');
DeleteFile('c:\program files (x86)\22782805-1447474033-e849-bd83-047d7b9bb323\knsu398c.tmp', '32');
DeleteFile('c:\users\note\appdata\local\temp\nsj1127.tmp', '32');
DeleteFile('c:\users\note\appdata\roaming\nssm.exe', '32');
DeleteFile('c:\users\note\appdata\local\temp\nsxc658.tmp', '32');
DeleteFile('c:\users\note\appdata\local\22782805-1450302135-e849-bd83-047d7b9bb323\qnsiff66.tmp', '32');
DeleteFile('c:\users\note\appdata\local\22782805-1447506476-e849-bd83-047d7b9bb323\snsqb3b8.tmp', '32');
DeleteFile('c:\users\note\appdata\local\gmsd_ru_005010177\upgmsd_ru_005010177.exe', '32');
DeleteFile('c:\users\note\appdata\local\temp\7f4987fb1a6e43d69e3e94b29eb75926\yandexpacksetup.exe', '32');
DeleteFile('C:\Users\Note\AppData\Local\Temp\{12f34aee-538c-44d5-b33a-12213b7e0197}\.ba1\wixstdba.dll', '32');
DeleteFile('C:\Users\Note\AppData\Local\gmsd_ru_005010172\upgmsd_ru_005010172.exe', '32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
DeleteFile('C:\PROGRA~1\GROOVE~1\Rukdof.bat', '32');
DeleteFile('C:\Users\Note\appdata\local\gmsd_ru_005010146\upgmsd_ru_005010146.exe', '32');
DeleteFile('C:\Users\Note\appdata\local\gmsd_ru_005010152\upgmsd_ru_005010152.exe', '32');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Nuppobc" /F', 0, 15000, true);
DeleteService('clr_optimization_v1.0');
DeleteService('beluvuhy');
DeleteService('citevebo');
DeleteService('ginoquci');
DeleteService('hidekoqe');
DeleteService('piromemi');
DeleteService('qebovulo');
DeleteFileMask('c:\program files (x86)\plushd_1.02mv09.08\', '*', true);
DeleteFileMask('c:\programdata\tmp0x0x\', '*', true);
DeleteFileMask('C:\ProgramData\6WdM6\', '*', true);
DeleteFileMask('C:\Users\Note\AppData\Local\SmartWeb\', '*', true);
DeleteFileMask('C:\Program Files (x86)\baidu\', '*', true);
DeleteFileMask('C:\Users\Note\appdata\roaming\aspackage\', '*', true);
DeleteFileMask('C:\Users\Note\appdata\local\gmsd_ru_005010152\', '*', true);
DeleteFileMask('C:\Users\Note\appdata\local\gmsd_ru_005010146\', '*', true);
DeleteFileMask('C:\Program Files (x86)\SwiftSearch_1.10.0.25\', '*', true);
DeleteFileMask('C:\Program Files (x86)\SFK\', '*', true);
DeleteFileMask('C:\Users\Note\AppData\Local\22782805-1450302135-E849-BD83-047D7B9BB323\', '*', true);
DeleteDirectory('c:\program files (x86)\plushd_1.02mv09.08\');
DeleteDirectory('c:\programdata\tmp0x0x\');
DeleteDirectory('C:\ProgramData\6WdM6\');
DeleteDirectory('C:\Users\Note\AppData\Local\SmartWeb\');
DeleteDirectory('C:\Program Files (x86)\baidu\');
DeleteDirectory('C:\Users\Note\appdata\roaming\aspackage\');
DeleteDirectory('C:\Users\Note\appdata\local\gmsd_ru_005010152\');
DeleteDirectory('C:\Users\Note\appdata\local\gmsd_ru_005010146\');
DeleteDirectory('C:\Program Files (x86)\SwiftSearch_1.10.0.25\');
DeleteDirectory('C:\Program Files (x86)\SFK\');
DeleteDirectory('C:\Users\Note\AppData\Local\22782805-1450302135-E849-BD83-047D7B9BB323\');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010172');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010177');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010172.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010177.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_dbg.zip"]Check Browsers' LNK by Dragokas & regist[/URL]. Заархивируйте его и прикрепите к сообщению.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
26.12.2015, 10:28
login

Добрый день. Все действия выполнил вот отчеты и логи.
virusdetector ответ пришел что с ответом делать?
26.12.2015, 11:16
regist

[quote="login;1345424"]virusdetector ответ пришел что с ответом делать?[/quote]
опубликовать тут ссылку, как вас изначально просили ;)

[quote="regist;1342474"][U]Полученную ссылку[/U] после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму [U]напишите в своём в сообщении здесь.[/U][/quote]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

1) Сделайте точку восстановления системы.

2) - выполните такой скрипт в AVZ
[code]
begin
ClearQuarantineEx(true);
QuarantineFile('C:\Windows\SysNative\dnsapi.dll', '');
QuarantineFile('C:\Windows\SysWOW64\dnsapi.dll', '');
QuarantineFile('C:\Windows\SysNative\drivers\swsedrvr_vt_1_10_0_25.sys', '');
QuarantineFile('C:\Windows\SysNative\Nuyedf64.dll', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/code]

- Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
26.12.2015, 14:37
login

Извиняюсь не внимательно прочитал, Ваше сообщение. Вот все как просили.
[url]http://virusinfo.info/virusdetector/report.php?md5=1D8D84F6C911E948E1E1E2E27ED49D9E[/url]
26.12.2015, 16:38
regist

SpaceSoundPro - деинсталируйте.

Сделайте точку восстановления системы.

- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

- выполните такой скрипт в AVZ
[code]
begin
ClearQuarantineEx(true);
QuarantineFile('C:\Windows\SysNative\dnsapi.dll', '');
QuarantineFile('C:\Windows\SysWOW64\dnsapi.dll', '');
QuarantineFile('C:\Windows\SysNative\drivers\swsedrvr_vt_1_10_0_25.sys', '');
QuarantineFile('C:\Windows\SysNative\Nuyedf64.dll', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/code]

- Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончании сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
28.12.2015, 13:41
login

Вот оба отчета. когда попытался загрузить карантин с AVZ появилась надпись "Ошибка загрузки. Данный файл уже был загружен"
28.12.2015, 13:52
Vvvyg

Проблема решена?
28.12.2015, 14:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]83[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\baidu\bind.exe - [B]Trojan-Downloader.Win32.Agent.hgee[/B] ( DrWEB: Trojan.Baidu.284, AVAST4: Win32:Malware-gen )[*] c:\program files (x86)\baidu\ppt.exe - [B]not-a-virus:RiskTool.Win32.Hidap.m[/B] ( DrWEB: Trojan.Siggen6.51403, AVAST4: Win32:Malware-gen )[*] c:\program files (x86)\gmsd_ru_005010172\gmsd_ru_005010172.exe - [B]not-a-virus:AdWare.Win32.Eorezo.brqa[/B] ( DrWEB: Adware.Eorezo.749, AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files (x86)\gmsd_ru_005010177\gmsd_ru_005010177.exe - [B]not-a-virus:AdWare.Win32.Eorezo.brqa[/B] ( DrWEB: Adware.Eorezo.749, AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files (x86)\google\chrome.bat - [B]not-a-virus:AdWare.BAT.Clicker.af[/B][*] c:\program files (x86)\plushd_1.02mv09.08\uninstallbrw.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( DrWEB: Trojan.Crossrider1.42770 )[*] c:\program files (x86)\plushd_1.02mv09.08\uninstall.exe - [B]not-a-virus:HEUR:AdWare.Win32.CrossRider.gen[/B] ( DrWEB: Trojan.Crossrider1.42770 )[*] c:\program files (x86)\plushd_1.02mv09.08\utils.exe - [B]not-a-virus:HEUR:AdWare.NSIS.CrossRider.heur[/B] ( DrWEB: Trojan.DownLoader14.10941 )[*] c:\program files (x86)\plushd_1.02mv09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-10.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( DrWEB: Trojan.Crossrider1.42770 )[*] c:\program files (x86)\plushd_1.02mv09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-6.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( DrWEB: Trojan.Crossrider1.42770, BitDefender: Gen:Application.Heur.Az1@kOEHlOii )[*] c:\program files (x86)\plushd_1.02mv09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-7.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( DrWEB: Trojan.Crossrider1.42770, BitDefender: Gen:Application.Heur.cv1@kOIGYQpO )[*] c:\program files (x86)\plushd_1.02mv09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-5.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( DrWEB: Trojan.Crossrider1.42770, BitDefender: Gen:Application.Heur.gv1@kedF6YnO )[*] c:\program files (x86)\sfk\ssfk.exe - [B]not-a-virus:AdWare.Win32.ELEX.hh[/B] ( DrWEB: Adware.Mutabaha.452, AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files (x86)\swiftsearch_1.10.0.25\service\swsesrvc.exe - [B]not-a-virus:AdWare.Win32.Vitruvian.t[/B] ( DrWEB: Adware.Plugin.1186, AVAST4: Win32:Adware-CZP [Adw] )[*] c:\program files (x86)\swiftsearch_1.10.0.25\uninstall.exe - [B]not-a-virus:AdWare.Win32.Vitruvian.t[/B] ( DrWEB: Adware.Plugin.1201 )[*] c:\program files (x86)\swiftsearch_1.10.0.25\update\swiftsearchautoupdateclient.exe - [B]not-a-virus:AdWare.Win32.Vitruvian.t[/B] ( DrWEB: Adware.Plugin.1201 )[*] c:\program files\groover121120151836\azhajeg64.dll - [B]not-a-virus:AdWare.Win64.Dagava.er[/B][*] c:\program files\groover121120151836\bumapiu.exe - [B]not-a-virus:AdWare.Win32.Agent.jork[/B] ( DrWEB: Trojan.BPlug.1051 )[*] c:\program files\groover121120151836\bumapiu64.exe - [B]not-a-virus:AdWare.Win64.Agent.gk[/B][*] c:\program files\groover121120151836\csrcc.exe - [B]not-a-virus:AdWare.Win32.Agent.jorr[/B][*] c:\program files\groover121120151836\hiuep64.dll - [B]not-a-virus:AdWare.Win64.Dagava.ei[/B][*] c:\program files\groover121120151836\ikialja.dll - [B]not-a-virus:AdWare.Win32.Agent.jorq[/B][*] c:\program files\groover121120151836\ikialja64.dll - [B]not-a-virus:AdWare.Win64.Agent.gr[/B][*] c:\program files\groover121120151836\nfregdrv64.exe - [B]not-a-virus:AdWare.Win64.Agent.ang[/B][*] c:\program files\groover121120151836\nuyedf.dll - [B]not-a-virus:AdWare.Win32.PennyBee.dn[/B] ( DrWEB: Trojan.Lyrics.1809, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\program files\groover121120151836\nuyedf64.dll - [B]not-a-virus:AdWare.Win64.Agent.gx[/B] ( AVAST4: Win64:Malware-gen )[*] c:\program files\groover121120151836\prc.exe - [B]not-a-virus:NetTool.Win64.NetFilter.r[/B][*] c:\program files\groover121120151836\resources\localscript.js - [B]not-a-virus:AdWare.JS.VBates.a[/B] ( DrWEB: Adware.Shopper.940 )[*] c:\program files\groover121120151836\tedxukakn.exe - [B]Trojan.Win32.Autorun.ebx[/B] ( DrWEB: Trojan.BPlug.1045, AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files\groover121120151836\tocoge64.dll - [B]not-a-virus:AdWare.Win64.Agent.gs[/B][*] c:\program files\groover121120151836\unins000.exe - [B]Trojan.Win32.Agent.ihka[/B] ( DrWEB: archive:, AVAST4: Win32:Evo-gen [Susp] )[*] c:\program files\groover121120151836\wodfuhb64.exe - [B]not-a-virus:HEUR:AdWare.Win64.Dagava.a[/B][*] c:\programdata\6wdm6\wdman.exe - [B]not-a-virus:AdWare.Win32.WProtManager.cm[/B][*] c:\users\note\appdata\local\gmsd_ru_005010146\download\myoffergroup_ru.exe - [B]not-a-virus:AdWare.Win32.Eorezo.cdlg[/B] ( DrWEB: archive: )[*] c:\users\note\appdata\local\gmsd_ru_005010146\upgmsd_ru_005010146.exe - [B]not-a-virus:AdWare.Win32.Eorezo.brqa[/B] ( DrWEB: Adware.Eorezo.767 )[*] c:\users\note\appdata\local\gmsd_ru_005010152\download\myoffergroup_ru.exe - [B]not-a-virus:AdWare.Win32.Eorezo.dkmh[/B] ( DrWEB: archive: )[*] c:\users\note\appdata\local\gmsd_ru_005010152\upgmsd_ru_005010152.exe - [B]not-a-virus:AdWare.Win32.Eorezo.brqa[/B] ( DrWEB: Adware.Eorezo.769, AVAST4: Win32:Adware-gen [Adw] )[*] c:\users\note\appdata\local\gmsd_ru_005010172\upgmsd_ru_005010172.exe - [B]not-a-virus:AdWare.Win32.Eorezo.brqa[/B] ( DrWEB: Adware.Eorezo.749 )[*] c:\users\note\appdata\local\gmsd_ru_005010177\upgmsd_ru_005010177.exe - [B]not-a-virus:AdWare.Win32.Eorezo.brqa[/B] ( DrWEB: Adware.Eorezo.749 )[*] c:\users\note\appdata\local\smartweb\smartwebapp.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845, AVAST4: Win32:PriceGong-B [Adw] )[*] c:\users\note\appdata\local\smartweb\smartwebhelper.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845 )[*] c:\users\note\appdata\local\smartweb\swhk.dll - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845, AVAST4: Win32:BHO-AOJ [Adw] )[*] c:\users\note\appdata\local\smartweb\__u.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Trojan.Siggen6.33552, AVAST4: Win32:Malware-gen )[*] c:\users\note\appdata\local\temp\nsj1127.tmp - [B]not-a-virus:AdWare.Win32.ConvertAd.bjg[/B] ( DrWEB: Trojan.Click3.16724, AVAST4: Win32:Malware-gen )[*] c:\users\note\appdata\local\temp\nsxc658.tmp - [B]not-a-virus:AdWare.Win32.ConvertAd.bgw[/B] ( DrWEB: Adware.ClickMeIn.4309, AVAST4: Win32:Adware-gen [Adw] )[*] c:\users\note\appdata\local\22782805-1450302135-e849-bd83-047d7b9bb323\qnsiff66.tmp - [B]not-a-virus:AdWare.Win32.ConvertAd.bai[/B] ( DrWEB: Adware.ClickMeIn.3745 )[*] c:\users\note\appdata\local\22782805-1450302135-e849-bd83-047d7b9bb323\uninstall.exe - [B]not-a-virus:HEUR:AdWare.Win32.ConvertAd.heur[/B][*] c:\users\note\appdata\roaming\aspackage\aspackage.exe - [B]not-a-virus:AdWare.Win32.Vopak.aizm[/B] ( AVAST4: Win32:Adware-gen [Adw] )[*] c:\users\note\appdata\roaming\aspackage\uninstall.exe - [B]not-a-virus:HEUR:AdWare.Win32.ConvertAd.heur[/B] ( DrWEB: Trojan.DownLoader17.51900 )[*] c:\users\note\appdata\roaming\tsv\tsvr.exe - [B]not-a-virus:AdWare.Win32.ELEX.gk[/B] ( DrWEB: Adware.Mutabaha.779 )[*] c:\windows\sysnative\dnsapi.dll - [B]Trojan.Win64.Patched.qw[/B][*] c:\windows\sysnative\drivers\swsedrvr_vt_1_10_0_25.sys - [B]not-a-virus:NetTool.Win64.NetFilter.l[/B] ( DrWEB: Adware.Plugin.1201 )[*] c:\windows\sysnative\nuyedf64.dll - [B]not-a-virus:AdWare.Win64.Agent.gx[/B] ( AVAST4: Win64:Malware-gen )[*] c:\windows\syswow64\dnsapi.dll - [B]Trojan.Win32.Patched.qw[/B][/LIST][/LIST]