Самостоятельно запускается браузер Microsoft Edge и открывает сайт akisho.ru [not-a-virus:AdWare.Win32.ELEX.aer, not-a-virus:AdWare.Win32.Agent.xxdaot ]

Самостоятельно запускается браузер Microsoft Edge и открывает сайт akisho.ru. Сайт открывается через каждые 10-15 минут. Дальше происходит переход на различные рекламные сайты.

Уважаемый(ая) [B]Полина Воронова[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Подготовьте отчет [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]ADWCleaner[/URL].

После сканирования все угрозы очистила. Сайт akisho.ru всё ещё открывается.

Теперь сделайте новый отчёт AVZ.

Новый отчет AVZ

[URL="http://virusinfo.info/showthread.php?t=7239"][SIZE=4][COLOR="#800080"]Выполните скрипт в AVZ:[/COLOR][/SIZE][/URL]

[CODE]
BEGIN
ClearQuarantine;
QuarantineFile('C:\Program Files (x86)\Clijege\stozersh.exe','');
QuarantineFile('C:\Users\Texnovugoda\AppData\Local\FilterStart\FilterStart.exe','');
QuarantineFile('C:\Users\Texnovugoda\AppData\Local\GeoLocator\Wininet.exe','');
QuarantineFile('C:\ProgramData\vCore\VCore.exe','');
QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
QuarantineFile('C:\Users\Texnovugoda\AppData\Local\rightchose\regCheck.vbs','');
QuarantineFile('C:\Users\Texnovugoda\AppData\Local\LastNews\regCheck.vbs','');
QuarantineFile('C:\Users\Texnovugoda\AppData\Local\ValidateLife\regCheck.vbs','');
QuarantineFile('D:\Glary Utilities\Glary Utilities 5\StartupManager.exe','');
QuarantineFile('C:\Users\Texnovugoda\AppData\Local\ImmediateHelp\regCheck.vbs','');
QuarantineFile('C:\Users\Texnovugoda\AppData\Local\TestMenu\regCheck.vbs','');
DeleteFile('C:\Users\Texnovugoda\AppData\Local\TestMenu\regCheck.vbs','32');
DeleteFile('C:\Users\Texnovugoda\AppData\Local\ImmediateHelp\regCheck.vbs','32');
DeleteFile('C:\Users\Texnovugoda\AppData\Local\ValidateLife\regCheck.vbs','32');
DeleteFile('C:\Users\Texnovugoda\AppData\Local\LastNews\regCheck.vbs','32');
DeleteFile('C:\Users\Texnovugoda\AppData\Local\rightchose\regCheck.vbs','32');
DeleteFile('C:\WINDOWS\Tasks\Wise Care 365.job','32');
DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Account Root Helper','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Media Center\VCore','64');
DeleteFile('C:\Users\Texnovugoda\AppData\Local\GeoLocator\Wininet.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Wininet\Wininet','64');
DeleteFile('C:\Users\Texnovugoda\AppData\Local\FilterStart\FilterStart.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Render Current Manager','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Standart Root Manager','64');
DeleteFile('C:\Program Files (x86)\Clijege\stozersh.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Stumuied Client','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Wise Care 365','64');
DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\FilterStart','*',true);
DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\GeoLocator','*',true);
DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\rightchose','*',true);
DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\LastNews','*',true);
DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\ValidateLife','*',true);
DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\ImmediateHelp','*',true);
DeleteFileMask('C:\Users\Texnovugoda\AppData\Local\TestMenu','*',true);
DeleteFileMask('C:\Program Files (x86)\ScreenUp','*',true);
DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\FilterStart');
DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\GeoLocator');
DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\rightchose');
DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\LastNews');
DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\ValidateLife');
DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\ImmediateHelp');
DeleteDirectory('C:\Users\Texnovugoda\AppData\Local\TestMenu');
DeleteDirectory('C:\Program Files (x86)\ScreenUp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
END.
[/CODE]
[COLOR="#800080"]_________________________________________[/COLOR]

> [B]Компьютер будет перезагружен.[/B]

> [B][COLOR="#006400"]Кэш и cookie-файлы браузеров будут очищены. Может потребоваться вход в аккаунты.[/COLOR][/B]

> Используйте ссылку "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]", которая находится над первым сообщением этой темы, чтобы прислать [B]quarantine.zip[/B].

> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.

Отчеты

[URL="http://virusinfo.info/showthread.php?t=7239"][SIZE=4][COLOR="#800080"]Выполните скрипт в AVZ:[/COLOR][/SIZE][/URL]

[CODE]
BEGIN
ClearQuarantine;
TerminateProcessByName('c:\users\texnovugoda\appdata\roaming\jcfjc\uvconverter.exe');
QuarantineFile('D:\Glary Utilities\Glary Utilities 5\StartupManager.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','');
QuarantineFile('C:\Users\Texnovugoda\AppData\Roaming\jcfjc\UvConverter.exe','');
QuarantineFile('C:\Program Files (x86)\usdndhj00000000\ClearLog.dll','');
QuarantineFile('c:\programdata\microsoft\identitycrl\ppcrluiex.dll','');
DeleteFile('c:\programdata\microsoft\identitycrl\ppcrluiex.dll','32');
DeleteFile('C:\Program Files (x86)\usdndhj00000000\ClearLog.dll','32');
DeleteFile('C:\Users\Texnovugoda\AppData\Roaming\jcfjc\UvConverter.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','32');
DeleteFileMask('C:\Users\Texnovugoda\AppData\Roaming\jcfjc','*',true);
DeleteDirectory('C:\Users\Texnovugoda\AppData\Roaming\jcfjc');
DeleteService('Convxxxx');
DeleteService('iThemes5');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine_2.zip');
RebootWindows(true);
END.
[/CODE]
[COLOR="#800080"]_________________________________________[/COLOR]

> [B]Компьютер будет перезагружен.[/B]

> [B][COLOR="#006400"]Кэш и cookie-файлы браузеров будут очищены. Может потребоваться вход в аккаунты.[/COLOR][/B]

> Используйте ссылку "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]", которая находится над первым сообщением этой темы, чтобы прислать [B]quarantine_2.zip[/B].

> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ +
[URL="http://virusinfo.info/showthread.php?t=53070"]Подготовьте отчет MBAM.[/URL]

Отчёты готовы. Рекламный сайт больше не выходит, но изменились стартовые страницы и поиск браузеров, открывается другой google chrome, появляются окна, призывающие установить обновления.

Выполните очистку при помощи MBAM, после чего повторите отчёт AVZ.

Отчет AVZ

[URL="http://virusinfo.info/showthread.php?t=7239"][SIZE=4][COLOR="#800080"]Выполните скрипт в AVZ:[/COLOR][/SIZE][/URL]

[CODE]
BEGIN
DeleteService('dycemumo');
DeleteFile('C:\Program Files (x86)\3EB96AC9-1480789617-E011-87B1-B870F41689A4\kns5AC.tmp','32');
DeleteFile('C:\Users\Texnovugoda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\чTorrent.lnk','32');
DeleteFile('C:\Program Files (x86)\Windows Mail\s0bke4.dll','32');
DeleteFile('C:\WINDOWS\system32\Tasks\a727803075331874d5e2a34a4136b849','64');
ExecuteSysClean;
ExecuteWizard('SCU',2,2,false);
RebootWindows(true);
END.
[/CODE]
[COLOR="#800080"]_________________________________________[/COLOR]

> [B]Компьютер будет перезагружен.[/B]

> [B][COLOR="#006400"]Кэш и cookie-файлы браузеров будут очищены. Может потребоваться вход в аккаунты.[/COLOR][/B]

Проблема решена?

Огромное спасибо! Проблема решена.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\common files\services\ithemes.dll - [B]not-a-virus:AdWare.Win32.ELEX.aer[/B][*] c:\programdata\microsoft\identitycrl\ppcrluiex.dll - [B]Trojan.Win32.Obfuscated.bkyp[/B][*] c:\users\texnovugoda\appdata\roaming\jcfjc\uvconverter.exe - [B]not-a-virus:AdWare.Win32.Agent.xxdaot[/B][/LIST][/LIST]