Много рекламы в Opera. [not-a-virus:AdWare.Win32.Neoreklami.iso, not-a-virus:AdWare.Win32.Neoreklami.ite ]

Printable View

28.07.2017, 20:11
FatalMouse

Много рекламы в Opera. [not-a-virus:AdWare.Win32.Neoreklami.iso, not-a-virus:AdWare.Win32.Neoreklami.ite ]

Появилось очень много рекламы в Opera, а так же невиданные до сего дня процессы в диспетчере задач.
При проверке антивирусы после перезагрузки снова находят одни и те же объекты.
28.07.2017, 20:13
Info_bot

Уважаемый(ая) [B]FatalMouse[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
29.07.2017, 08:37
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\артем\AppData\Roaming\Microsoft\msi.exe','');
QuarantineFile('C:\Users\артем\AppData\Local\ComDev\ComDev.exe','');
QuarantineFile('C:\Program Files (x86)\YtuAskU2\L3Yj5GU.dll','');
QuarantineFile('C:\Program Files (x86)\YueAckU\WS0wqwZ.dll','');
DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
QuarantineFile('C:\Users\3C26~1\AppData\Roaming\SETUPS~1\ml.py','');
QuarantineFile('C:\Users\3C26~1\AppData\Roaming\setupsk\ml.py','');
SetServiceStart('UbarPolicyProvider', 4);
DeleteService('UbarPolicyProvider');
QuarantineFile('C:\Program Files (x86)\YeuAskIE\kQSUVEEd.dll','');
QuarantineFile('C:\Program Files (x86)\YeuAskIE\50mcz.dll','');
TerminateProcessByName('C:\Program Files\UBar\ubar.exe');
TerminateProcessByName('C:\Program Files\UBar\UbarService.exe');
TerminateProcessByName('c:\users\артем\appdata\local\yc\application\yc.exe');
QuarantineFile('c:\users\артем\appdata\local\yc\application\yc.exe','');
QuarantineFile('C:\Program Files\UBar\UbarService.exe','');
QuarantineFile('C:\Program Files\UBar\ubar.exe','');
TerminateProcessByName('c:\users\3c26~1\appdata\roaming\setupsk\python\pythonw.exe');
QuarantineFile('c:\users\3c26~1\appdata\roaming\setupsk\python\pythonw.exe','');
TerminateProcessByName('c:\program files (x86)\yeuaskie\pwjswzwobb.exe');
QuarantineFile('c:\program files (x86)\yeuaskie\pwjswzwobb.exe','');
TerminateProcessByName('c:\users\артем\appdata\local\temp\4375.tmp.exe');
QuarantineFile('c:\users\артем\appdata\local\temp\4375.tmp.exe','');
DeleteFile('c:\users\артем\appdata\local\temp\4375.tmp.exe','32');
DeleteFile('c:\program files (x86)\yeuaskie\pwjswzwobb.exe','32');
DeleteFile('c:\users\3c26~1\appdata\roaming\setupsk\python\pythonw.exe','32');
DeleteFile('C:\Program Files\UBar\ubar.exe','32');
DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
DeleteFile('c:\users\артем\appdata\local\yc\application\yc.exe','32');
DeleteFile('C:\Program Files (x86)\YeuAskIE\50mcz.dll','32');
DeleteFile('C:\Program Files (x86)\YeuAskIE\kQSUVEEd.dll','32');
DeleteFile('C:\Users\3C26~1\AppData\Roaming\setupsk\python\python34.dll','32');
DeleteFile('C:\Users\3C26~1\AppData\Roaming\setupsk\python\DLLs\_ctypes.pyd','32');
DeleteFile('C:\Users\3C26~1\AppData\Roaming\setupsk\ml.py','32');
DeleteFile('C:\Users\3C26~1\AppData\Roaming\SETUPS~1\ml.py','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nnijqrffqk');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_DD2F7A8B863E30B68324CD7805486825');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
DeleteFile('C:\WINDOWS\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F.job','32');
DeleteFile('C:\Program Files (x86)\YueAckU\WS0wqwZ.dll','32');
DeleteFile('C:\Program Files (x86)\YtuAskU2\L3Yj5GU.dll','32');
DeleteFile('C:\WINDOWS\system32\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F','64');
DeleteFile('C:\WINDOWS\system32\Tasks\5A8163FE-2D41-4CE5-AD54-7FE95B266373','64');
DeleteFile('C:\WINDOWS\system32\Tasks\ComDev','64');
DeleteFile('C:\Users\артем\AppData\Local\ComDev\ComDev.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
DeleteFile('C:\Users\артем\AppData\Roaming\Microsoft\msi.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
29.07.2017, 14:10
FatalMouse

Баннеры все равно появлялись, но нашел неизвестное мне расширение в Opera. После удаления его реклама исчезла.
29.07.2017, 16:19
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
29.07.2017, 16:49
FatalMouse

Сделал.
30.07.2017, 08:50
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\YeuAskIE\tKxHJnj.dll [2017-07-28] ()
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-935787954-3714542951-3318145870-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [No File]
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1200112.dll [No File]
CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
2017-07-28 17:10 - 2017-07-28 17:10 - 00000000 ____D C:\Users\артем\AppData\Local\Вoйти в Интeрнет
2017-07-28 17:08 - 2017-07-28 17:08 - 00000000 ____D C:\Users\артем\AppData\Local\yc
2017-07-28 17:07 - 2017-07-29 13:56 - 00000000 ____D C:\Users\артем\AppData\Roaming\setupsk_upd
2017-07-28 17:07 - 2017-07-29 13:56 - 00000000 ____D C:\Users\артем\AppData\Roaming\setupsk
2017-07-28 17:05 - 2017-07-28 17:05 - 00000000 ____D C:\Users\артем\AppData\Local\Войны престолов
2017-07-28 17:03 - 2017-07-29 13:56 - 00000000 ____D C:\Users\артем\AppData\Local\ComDev
2017-07-28 17:02 - 2017-07-29 13:56 - 00000000 ____D C:\Program Files (x86)\YueAckU
2017-07-28 17:02 - 2017-07-29 13:56 - 00000000 ____D C:\Program Files (x86)\YtuAskU2
2017-07-28 17:02 - 2017-07-29 13:56 - 00000000 ____D C:\Program Files (x86)\YeuAskIE
2017-07-28 17:02 - 2017-07-28 19:24 - 00000000 ____D C:\Program Files (x86)\YpuAskUn
2017-07-28 17:02 - 2017-07-28 17:02 - 00000000 ____D C:\Users\артем\AppData\Local\Поиcк в Интeрнете
2017-07-28 17:01 - 2017-07-29 13:56 - 00000000 ____D C:\Program Files\UBar
2017-07-28 17:01 - 2017-07-28 17:01 - 00000000 ____D C:\Users\Все пользователи\UBar
2017-07-28 17:01 - 2017-07-28 17:01 - 00000000 ____D C:\ProgramData\UBar
2017-07-28 16:39 - 2017-07-28 16:39 - 2578648 _____ () C:\Users\артем\AppData\Local\Temp\0fbqLsk3nrq8.exe
2017-07-28 17:05 - 2017-07-28 17:03 - 0820216 _____ (AUM LOD Inc) C:\Users\артем\AppData\Local\Temp\CB45.tmp.exe
2017-07-28 17:08 - 2017-07-28 17:08 - 37564928 ____N (The Chromium Authors) C:\Users\артем\AppData\Local\Temp\IlNgaagz3wy5.exe
2017-07-28 17:03 - 2017-07-28 17:03 - 1192936 _____ () C:\Users\артем\AppData\Local\Temp\JvdEBjR9Zybd.exe
2017-07-28 17:12 - 2017-07-28 17:12 - 1192936 ____N () C:\Users\артем\AppData\Local\Temp\OKHhKc0FaKon.exe
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> No File
Task: {150AACAB-4C30-461C-AF1D-776239348EE0} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {205C5E65-A0D3-45E6-83B4-E65671692B34} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {2E961551-FACF-4562-86BA-E70AA9A5FAA9} - \setupsk -> No File <==== ATTENTION
Task: {31FEB4B6-E90D-4254-8913-3424C612F66B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {4299A4B6-DB14-4807-87D4-98F33C94C223} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {4EFDE8AF-1908-4336-9704-2FCC60E95F11} - \KMSAuto -> No File <==== ATTENTION
Task: {57EFC37D-1702-43B1-8CB4-A22AA0F61A59} - \ComDev -> No File <==== ATTENTION
Task: {5991AD27-D289-4B45-8645-5B9BF8E96670} - \5A8163FE-2D41-4CE5-AD54-7FE95B266373 -> No File <==== ATTENTION
Task: {6169820B-CC50-4F98-814B-D811A9E5F407} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {61DE5F89-7D62-4A6E-8674-7372F69E176A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {6B8F0A5C-D09F-42C3-B16D-67B121C00AAC} - \setupsk_upd -> No File <==== ATTENTION
Task: {7D219E61-04C0-4486-98D3-D74FD0E4210C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {85787788-E779-47D6-B781-D5D7ECEC4C60} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {8F718602-9E5B-4997-8F9A-DE103C2F80A9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {B97373B6-FA3E-473A-919D-8DBB3FAD4736} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {CA7C3CA4-8278-4451-83BC-7E0D441C0EA9} - \A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F2 -> No File <==== ATTENTION
Task: {D3077E98-486D-49E6-B0F1-BF24D32DD310} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {DE580064-B8BF-41A5-B835-0A530CAFDFE5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {E522DB89-F2C5-4816-9EFC-4658BF1CC969} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {EBA7E0B2-6CFE-4987-9F7E-66F21B3F8359} - \MSI -> No File <==== ATTENTION
Task: {F5A8C1D2-38A2-4AC8-9011-696D0BDF50AA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {FAF3FABA-3DB7-410D-8DFF-FF53533EF313} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\артем\Desktop\1.jpeg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Facetune.jpg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Lelya.jpeg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Mcfjctb.jpeg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\К.jpg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Стекло.mp3:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Финалка.jpeg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Фото 30.03.17, 11 02 34.jpg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\ч.jpg:com.dropbox.attributes [168]
FirewallRules: [{7B043775-5EC5-4DBB-AA77-0A1783EA747F}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{C4C00124-85B7-4E29-BF79-FED8A8191736}] => (Allow) C:\Users\артем\AppData\Local\yc\Application\yc.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
30.07.2017, 13:11
FatalMouse

Выполнил.
30.07.2017, 16:27
thyrex

Проблема решена?
30.07.2017, 19:53
FatalMouse

Да, рекламы больше нет. Спасибо.
30.07.2017, 20:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\yeuaskie\kqsuveed.dll - [B]not-a-virus:AdWare.Win32.Neoreklami.ite[/B] ( BitDefender: Gen:Heur.Kelios.1 )[*] c:\program files (x86)\yeuaskie\pwjswzwobb.exe - [B]not-a-virus:AdWare.Win32.Neoreklami.isn[/B] ( BitDefender: Gen:Trojan.Heur.JP.suW@aizDshji )[*] c:\program files (x86)\ytuasku2\l3yj5gu.dll - [B]not-a-virus:AdWare.Win32.Neoreklami.iso[/B] ( BitDefender: Gen:Variant.Barys.6979 )[*] c:\program files (x86)\yueacku\ws0wqwz.dll - [B]not-a-virus:AdWare.Win32.Neoreklami.isl[/B][*] c:\users\артем\appdata\local\comdev\comdev.exe - [B]HEUR:Trojan.Win32.Generic[/B][/LIST][/LIST]