Раз в час открывается окно браузера с какой нибудь ссылкой и при загрузке компьютера тоже [UDS:DangerousObject.Multi.Generic, not-a-virus:AdWare.Win32.Searchgo.a ]

Printable View

10.03.2017, 11:54
s_kocha

Вложений: 2

Раз в час открывается окно браузера с какой нибудь ссылкой и при загрузке компьютера тоже [UDS:DangerousObject.Multi.Generic, not-a-virus:AdWare.Win32.Searchgo.a ]

День добрый, после установки неких программ сомнительного происхождения, раз в час стало самопроизвольно вылазить окно браузера. и установились какие то левые программы.
10.03.2017, 11:55
Info_bot

Уважаемый(ая) [B]s_kocha[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.03.2017, 14:42
Сомнение

[B]Здравствуйте![/B]

Вам необходимо:

[B]1.[/B] [URL="http://virusinfo.info/showthread.php?t=7239"]Выполнить[/URL] следующий скрипт в AVZ:
[CODE]
begin
QuarantineFile('C:\Users\skocha\AppData\Local\syslog\syslog.exe', '');
QuarantineFile('C:\Users\skocha\AppData\Local\SearchGo\searchgo.exe', '');
QuarantineFile('C:\Users\skocha\AppData\LocalLow\SearchGo\searchgo.dll', '');
QuarantineFile('C:\Users\skocha\AppData\Roaming\VOF\ml.py', '');
QuarantineFile('C:\Users\skocha\AppData\Roaming\vofer\ml.py', '');
QuarantineFile('C:\Users\skocha\AppData\Roaming\vofer\python\pythonw.exe', '');
QuarantineFile('C:\Users\skocha\AppData\Roaming\ForceUpdateVOF\ml.py', '');
QuarantineFile('C:\Users\skocha\AppData\Roaming\aswast\ml.py', '');
QuarantineFile('C:\Users\skocha\AppData\Roaming\aswast\python\pythonw.exe', '');
DeleteFile('C:\Users\skocha\AppData\Roaming\aswast\python\pythonw.exe', '32');
DeleteFile('C:\Users\skocha\AppData\Roaming\aswast\ml.py', '32');
DeleteFile('C:\Users\skocha\AppData\Roaming\ForceUpdateVOF\ml.py', '32');
DeleteFile('C:\Users\skocha\AppData\Roaming\vofer\python\pythonw.exe', '32');
DeleteFile('C:\Users\skocha\AppData\Roaming\vofer\ml.py', '32');
DeleteFile('C:\Users\skocha\AppData\Roaming\VOF\ml.py', '32');
DeleteFile('C:\Users\skocha\AppData\LocalLow\SearchGo\searchgo.dll', '32');
DeleteFile('C:\Users\skocha\AppData\Local\SearchGo\searchgo.exe', '32');
DeleteFile('C:\Users\skocha\AppData\Local\syslog\syslog.exe', '32');
DeleteFile('C:\Users\skocha\Favorites\Links\Интернет.url', '32');
DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hyeqngvvga');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'aswast');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ForceUpdateVOF');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vofer');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'VOF');
ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SearchAY" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SearchAY2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "setupsk2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "VOF" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "VOF2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "vofer" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "vofer2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "syslog" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
[/CODE]
Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке [B][COLOR="#FF0000"]"Прислать запрошенный карантин"[/COLOR][/B] вверху данной темы.

[B]2.[/B] [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в HiJackThis (используйте тот, который находится в папке с AutoLogger'ом):
[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=72DBA39B244C13E9CC3F317B2F100990&utm_d=20170303
O2-32 - BHO: SearchBarBHO - {598AEFC6-DD3C-4A63-9AC3-53FCF6155931} - C:\Users\skocha\AppData\LocalLow\SearchGo\searchgo.dll
O4 - HKCU\..\Run: [VOF] "C:\Users\skocha\AppData\Roaming\VOF\python\pythonw.exe" "C:\Users\skocha\AppData\Roaming\VOF\ml.py" --APPNAME="VOF"
O4 - HKCU\..\Run: [hyeqngvvga] explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=72DBA39B244C13E9CC3F317B2F100990&utm_d=20170303"
O4 - HKCU\..\Run: [vofer] "C:\Users\skocha\AppData\Roaming\vofer\python\pythonw.exe" "C:\Users\skocha\AppData\Roaming\vofer\ml.py" --APPNAME="vofer" (file missing)
O4 - User Startup: VOF.lnk -> C:\Users\skocha\AppData\Roaming\VOF\python\pythonw.exe "C:\Users\skocha\AppData\Roaming\VOF\ml.py" --APPNAME="VOF"
O4 - User Startup: vofer.lnk -> C:\Users\skocha\AppData\Roaming\vofer\python\pythonw.exe "C:\Users\skocha\AppData\Roaming\vofer\ml.py" --APPNAME="vofer"
[/CODE]

[B]3.[/B] Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на [URL="http://virusinfo.info/soft/tool.php?tool=ClearLNK"]утилиту ClearLNK[/URL], как показано [URL="http://dragokas.com/tools/move.gif"]на картинке[/URL].
Лог результата работы программы прикрепите в ответном письме.

[B]4.[/B] Сделайте и пришлите в ответном сообщении [URL="http://virusinfo.info/showthread.php?t=146192"]лог AdwCleaner[/URL] и новый лог AutoLogger'a.
17.03.2017, 13:37
s_kocha

Вложений: 1

лог

30 мин полет нормальный
19.03.2017, 11:02
Vvvyg

[QUOTE=Сомнение;1439485][B]4.[/B] Сделайте и пришлите в ответном сообщении [URL="http://virusinfo.info/showthread.php?t=146192"]лог AdwCleaner[/URL] и новый лог AutoLogger'a.[/QUOTE]

Это тоже сделайте.
19.03.2017, 11:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\skocha\appdata\locallow\searchgo\searchgo.dll - [B]not-a-virus:AdWare.Win32.Agent.kcwn[/B] ( BitDefender: Trojan.GenericKD.3158757, AVAST4: Win32:Malware-gen )[*] c:\users\skocha\appdata\local\searchgo\searchgo.exe - [B]not-a-virus:AdWare.Win32.Searchgo.a[/B] ( BitDefender: Trojan.GenericKD.3141570, AVAST4: Win32:Adware-gen [Adw] )[*] c:\users\skocha\appdata\local\syslog\syslog.exe - [B]UDS:DangerousObject.Multi.Generic[/B] ( BitDefender: Gen:Variant.FakeAlert.93 )[*] c:\users\skocha\appdata\roaming\forceupdatevof\ml.py - [B]Trojan.Win32.Netfilter.e[/B][*] c:\users\skocha\appdata\roaming\vof\ml.py - [B]Trojan.Win32.Netfilter.e[/B][/LIST][/LIST]