Доброго времени суток! Нахватался по глупости рекламы, почистил вроде бы всё, кроме вот этой пакости (скриншот).
AdwCleaner обнаруживает, но не удаляет её. Разъясните что это и помогите, если возможно. Спасибо!
Printable View
Доброго времени суток! Нахватался по глупости рекламы, почистил вроде бы всё, кроме вот этой пакости (скриншот).
AdwCleaner обнаруживает, но не удаляет её. Разъясните что это и помогите, если возможно. Спасибо!
Уважаемый(ая) [B]MaximalCra3y[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Приложите последний лог AdwCleaner.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Также,
1) скачайте [URL="http://dragokas.com/tools/HiJackThis_debug.zip"]HiJackThis Fork (debug)[/URL], нажмите "Main menu", "Do a system scan and save a log file".
Отчёт HiJackThis.log прикрепите к своему сообщению.
2) Скачайте архив [URL="http://dragokas.com/tools/List_WMI.zip"]List_WMI[/URL], распакуйте его.
Запустите из распакованной папки Run.bat
Отчёт WMI.log прикрепите к своему сообщению.
Вот, пожалуйста
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
ShellExecuteHooks: No Name - {D42B0386-0925-11E7-92D3-64006A5CFC23} - -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> No File
CHR DefaultProfile: Profile 2
CHR Profile: C:\Users\Dmitry\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-03-22] <==== ATTENTION
S2 surfshieldsrv; C:\WINDOWS\SysWOW64\SurfShield.exe [516096 2017-03-22] () [File not signed]
2017-03-22 18:55 - 2017-03-22 18:55 - 00516096 _____ C:\WINDOWS\SysWOW64\SurfShield.exe
Task: {B6D5EFCE-E8E8-46D2-8300-C35D2FC31102} - \{09080847-0E04-0C05-7D11-790B7F0E117F} -> No File <==== ATTENTION
Task: {D2DD4572-2754-417C-BE16-279E1903F654} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
Shortcut: C:\Users\Dmitry\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\!Играть в War Thunder.lnk -> C:\Users\Dmitry\AppData\Roaming\MyDesktop\linkme.exe (No File) <===== Cyrillic
Shortcut: C:\Users\Dmitry\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\!Играть в Спарту.lnk -> C:\Users\Dmitry\AppData\Roaming\MyDesktop\linkme.exe (No File) <===== Cyrillic
ShortcutWithArgument: C:\Users\Dmitry\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dmitry\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Dmitry\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dmitry\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
FirewallRules: [{4BE6E7A1-9D4A-43E5-8BA5-B8E1DF08DA9C}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
FirewallRules: [{15DF4B98-DDE5-41B2-9A01-0AF5B0E3D080}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
FirewallRules: [{3CA7DC83-C235-4789-9078-74E1FA92E081}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
FirewallRules: [{07C3638D-EB39-45FF-9AA9-ED6321356349}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
FirewallRules: [{CBB1A724-D947-48B2-8F58-C62ED813DE69}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
FirewallRules: [{800A3B55-01E1-4B3F-8BCC-D99BE645BAC1}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
FirewallRules: [{C57D9A14-516D-4F5A-9693-322A27EB1385}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
FirewallRules: [{0E161DD7-B7C9-41D2-8F29-2012E94EA312}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемой.
Сделал всё по инструкции, проблема не ушла, AdwCleaner также обнаруживает ActiveScriptEventConsumer.
Вот фикс-лог FRST:
Прикрепите последний лог очистки Adwcleaner, с буквой [B]C[/B] вместо [B]S[/B] в имени.
Такой fixlist.txt примените в FRST:[CODE]WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION[/CODE]
Fixlog.txt прикрепите к своему сообщению.
Вот, пожалуйста:
P.S. После последнего фикса, проблема ушла, AdwCleaner больше не обнаруживает угроз.
Проблема решена?
Теперь всплыла новая, при каждом открытии Chrome появляются вот такие гадости:
P.S. Очистка AdwCleaner'ом не даёт результата, при последующем открытии браузера они появляются вновь.
P.P.S. При использовании IExplorer заражения не наблюдается.
Скачайте программу [URL="https://yadi.sk/d/sMLgZKzK3GRwUZ"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Вот, пожалуйста:
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code]delref HTTP://OVGORSKIY.RU
delref HTTP://ISTART.WEBSSEARCHES.COM/?TYPE=HP&TS=1422782854&FROM=KEY7&UID=HGSTXHTS545050A7E380_TM85014C0TS3HL0TS3HLX
delref HTTP://MAIL.RU/CNT/10445?GP=811036
delref HTTP://MAIL.RU/CNT/10445?GP=820321
delref HTTP://MAIL.RU/CNT/10445?GP=832066
delref HTTP://WWW.YOUNDOO.COM/?Z=59F45FA9739F79C960CAFFFG0Z5T5E4GCM2OFCAO3O&FROM=3GS&UID=HGSTXHTS545050A7E380_TM85014C0TS3HL0TS3HLX&TYPE=HP
delref C:\PROGRAMDATA\7DC8B0A9-00C1-1\7DC8B0A9-00C1-1.D
delref C:\PROGRAMDATA\7DC8B0A9-7167-0\7DC8B0A9-7167-0.D
deltmp
restart
[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Готово:
Что с проблемой?
Проблема к сожалению осталась. AdwCleaner обнаруживает те же самые угрозы.
Новые логи FRST сделайте.