Здравствуйте. В браузере открываются рекламные сайты, на любом сайте появляются рекламные баннеры.
Printable View
Здравствуйте. В браузере открываются рекламные сайты, на любом сайте появляются рекламные баннеры.
Уважаемый(ая) [B]StasOn777[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Ace Stream Media 3.1.6 удалите через Установку программ.
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\STASEV~1\AppData\Roaming\setupsk\ml.py','');
QuarantineFile('C:\Users\Stasevich\AppData\Roaming\Microsoft\msi.exe','');
QuarantineFile('C:\Users\STASEV~1\AppData\Roaming\curl\curl.exe','');
QuarantineFile('C:\Users\STASEV~1\AppData\Roaming\curl\curl_7_54.exe','');
QuarantineFile('C:\Users\STASEV~1\AppData\Roaming\SETUPS~1\ml.py','');
TerminateProcessByName('c:\users\stasevich\appdata\local\yc\application\yc.exe');
TerminateProcessByName('c:\users\stasev~1\appdata\roaming\setupsk\python\pythonw.exe');
QuarantineFile('c:\users\stasev~1\appdata\roaming\setupsk\python\pythonw.exe','');
DeleteFile('c:\users\stasev~1\appdata\roaming\setupsk\python\pythonw.exe','32');
DeleteFile('c:\users\stasevich\appdata\local\yc\application\yc.exe','32');
DeleteFile('C:\Users\Stasevich\AppData\Local\yc\Application\56.0.2924.76\chrome.dll','32');
DeleteFile('C:\Users\Stasevich\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll','32');
DeleteFile('C:\Users\Stasevich\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll','32');
DeleteFile('C:\Users\Stasevich\AppData\Local\yc\Application\56.0.2924.76\libegl.dll','32');
DeleteFile('C:\Users\Stasevich\AppData\Local\yc\Application\56.0.2924.76\libglesv2.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_519AFBF6CD64879483D6700185C7E895');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wfhocqhfis');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
DeleteFile('C:\Users\STASEV~1\AppData\Roaming\SETUPS~1\ml.py','32');
DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
DeleteFile('C:\Users\STASEV~1\AppData\Roaming\curl\curl_7_54.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
DeleteFile('C:\Users\STASEV~1\AppData\Roaming\curl\curl.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
DeleteFile('C:\Users\Stasevich\AppData\Roaming\Microsoft\msi.exe','32');
DeleteFile('C:\Users\STASEV~1\AppData\Roaming\setupsk\ml.py','32');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/B]
Сделал
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Сделано
Запустите FRST/FRST64. В окне программы нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:[CODE]CreateRestorePoint:
Startup: C:\Users\Stasevich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar800.lnk [2017-02-26]
GroupPolicy: Restriction - Chrome <==== ATTENTION
Tcpip\..\Interfaces\{a295d329-afff-4c02-baa5-250283928bfc}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54,192.168.1.1
CHR HomePage: Default -> hxxps://inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=11956636
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=831119"
CHR NewTab: Default -> "chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BF771914D-EC0F-44A8-8869-D4BD0AB2EEBF%7D&gp=831120
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Mail.Ru) - C:\Users\Stasevich\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2017-08-13]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Stasevich\AppData\Local\Google\Chrome\User Data\Default\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-08-13]
CHR Extension: (No Name) - C:\Users\Stasevich\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-12-12]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Stasevich\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif [2017-08-13]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => -> No File
ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => -> No File
ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => -> No File
Task: {5D9AA67F-3BBF-4F88-A967-AC5D14483BEA} - \curl -> No File <==== ATTENTION
Task: {7DE2FE8F-1A0F-4AD3-B773-706CDFD535C7} - \setupsk_upd -> No File <==== ATTENTION
Task: {88C6E25D-F526-4908-B878-F75EF31A9869} - \setupsk -> No File <==== ATTENTION
Task: {8D55F129-259F-420A-B591-6B3B0887FEB8} - \curls -> No File <==== ATTENTION
Task: {E76E837E-C9EE-4191-8F6A-5174E47343D7} - \MSI -> No File <==== ATTENTION
C:\Users\Stasevich\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
FirewallRules: [TCP Query User{8EF65133-A4A3-46B8-AFF7-F55049003600}C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [UDP Query User{D0927CC1-B952-453D-AD2D-62B1E111E350}C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [TCP Query User{CE80818F-AEB8-4485-94D2-D58E359166DC}C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [UDP Query User{9CD67D37-C3E4-46D8-8BC7-A3C76E34CDCB}C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\stasevich\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [{ADBD2E8E-6764-468C-A88D-0EBCD675F10B}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{6C9927ED-57D5-4779-B98C-637CD8AD1079}] => (Allow) C:\Users\Stasevich\AppData\Local\yc\Application\yc.exe
Reboot:[/CODE]
Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемой.
Проблемы больше нет. Единственный вопрос - зачем удалять Ace stream?
Удалялись правила файрвола для него, т. к. самой программы, как я понимаю, нет.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\stasevich\appdata\roaming\microsoft\msi.exe - [B]Trojan.Win32.Loskad.gsy[/B] ( AVAST4: Win32:Malware-gen )[*] c:\users\stasev~1\appdata\roaming\curl\curl_7_54.exe - [B]UDS:DangerousObject.Multi.Generic[/B][/LIST][/LIST]