24/7 dns [not-a-virus:WebToolbar.Win32.Agent.bhv ]

Printable View

19.10.2016, 22:44
Snezhka

Вложений: 3

24/7 dns [not-a-virus:WebToolbar.Win32.Agent.bhv ]

Добрый день. Блокирует сайты, при запуске выдает рекламу, ноутбук не выключается (только с кнопки).
19.10.2016, 22:45
Info_bot

Уважаемый(ая) [B]Snezhka[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
19.10.2016, 22:45
Snezhka

avz создал папку с карантином и поместил туда файлы.
19.10.2016, 23:57
mrak74

Здравствуйте !!!

Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\drivers\qutmipc.sys','');
QuarantineFile('C:\Program Files\torrent search\j2qfl7bu_t.exe','');
QuarantineFile('C:\Users\ACER\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrsetup.exe','');
QuarantineFile('C:\Users\ACER\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe','');
QuarantineFile('C:\Users\ACER\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files\Torrent Search\akYj9zn.exe','');
QuarantineFile('C:\Users\ACER\AppData\Roaming\newSI_4396\s_inst.exe','');
DeleteFile('C:\Users\ACER\AppData\Roaming\newSI_4396\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_4396.job','32');
DeleteFile('C:\Program Files\Torrent Search\akYj9zn.exe','32');
DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32');
DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','32');
DeleteFile('C:\Users\ACER\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','32');
DeleteFile('C:\Users\ACER\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search','32');
DeleteFile('C:\Users\ACER\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrsetup.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Updater','32');
DeleteFile('C:\Program Files\torrent search\j2qfl7bu_t.exe','32');
DeleteFile('C:\Windows\system32\drivers\qutmipc.sys','32');
DeleteService('qutmipc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

P.S. HiJackThis для получения лога запустите от имени администратора.
20.10.2016, 22:18
Snezhka

Вложений: 4

прикрепила

прикрепила

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

карантин тоже
20.10.2016, 22:51
mrak74

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

[CODE]
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1787290903-20734897-3024668696-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD8D267FC-323F-492B-B950-B6557383B5FE%7D&gp=802861
SearchScopes: HKU\S-1-5-21-1787290903-20734897-3024668696-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD8D267FC-323F-492B-B950-B6557383B5FE%7D&gp=802861
FF Keyword.URL: Mozilla\Firefox\Profiles\7vdt3ata.default-1432754862024 -> hxxp://go.mail.ru/distib/ep/?product_id=%7B31934437-78CC-41E2-AFCB-9E711DDDD0ED%7D&gp=802861
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jkagakiplhpgacmegfblcddbckenmiio] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (The Safe Surfing) - C:\Users\ACER\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-08-10]
2016-10-20 21:44 - 2015-04-12 19:28 - 00000000 ____D C:\Program Files\Torrent Search
Extended Update (HKU\S-1-5-21-1787290903-20734897-3024668696-1000\...\UpdaterEX) (Version: - ) <==== ATTENTION
Task: {04E8984A-F515-4CA7-B861-B7B8B1B924C3} - \Yahoo! Search Updater -> No File <==== ATTENTION
Task: {CAE1ABAB-238F-4F37-819D-6898DCF77C4F} - \Yahoo! Search -> No File <==== ATTENTION
EmptyTemp:
Reboot:[/CODE]
[*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
21.10.2016, 08:34
Snezhka

Вложений: 1

прикрепила

прикрепила
21.10.2016, 09:13
mrak74

Что с проблемой ?
21.10.2016, 20:42
Snezhka

Вложений: 3

все решено. спасибо.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

сегодня случайно установила амиго. Можете помочь удалить? Реклама теперь лезет.
22.10.2016, 02:28
mrak74

Выполните скрипт в AVZ:
[CODE]begin
DeleteFile('C:\Windows\system32\Tasks\InternetSF','32');
RebootWindows(true);
end.[/CODE]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
Reboot:[/CODE]
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=Snezhka;"]- - - - -Добавлено - - - - сегодня случайно установила амиго. Можете помочь удалить? Реклама теперь лезет.[/QUOTE]Амиго в логах не вижу. Удалите самостоятельно через установку - удаление программ.
23.10.2016, 13:03
Snezhka

все ок. Большое спасибо.
23.10.2016, 13:13
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\torrent search\j2qfl7bu_t.exe - [B]not-a-virus:WebToolbar.Win32.Agent.bhv[/B] ( DrWEB: Adware.Downware.10694 )[/LIST][/LIST]