Многократно антивирусы жалуются на одни и те же объекты, которые после удаления снова появляются. Открываются сторонние страницы в браузере. Так же устанавливаются сторонние программы.
Многократно антивирусы жалуются на одни и те же объекты, которые после удаления снова появляются. Открываются сторонние страницы в браузере. Так же устанавливаются сторонние программы.
Уважаемый(ая) [B]FatalMouse[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\артем\AppData\Local\wupdate\wupdate.exe','');
QuarantineFile('C:\Program Files (x86)\GXZiGyYLSHyU2\j7OauQX.dll','');
QuarantineFile('C:\Users\артем\AppData\Local\ScriptWriter\ScriptWriter.exe','');
QuarantineFile('C:\Users\артем\AppData\Roaming\Microsoft\msi.exe','');
QuarantineFile('C:\Users\3C26~1\AppData\Roaming\curl\curl_7_54.exe','');
QuarantineFile('C:\Program Files (x86)\thzXuJvjU\VA2h1A3.dll','');
DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\kZyeeyJ.dll','');
SetServiceStart('icacl', 4);
SetServiceStart('SvcHost Service Host', 4);
DeleteService('SvcHost Service Host');
DeleteService('icacl');
TerminateProcessByName('c:\windows\microsoft\svchost.exe');
TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
QuarantineFile('c:\windows\microsoft\svchost.exe','');
TerminateProcessByName('C:\Windows\System32\icacl.exe');
QuarantineFile('C:\Windows\System32\icacl.exe','');
DeleteFile('C:\Windows\System32\icacl.exe','32');
DeleteFile('c:\windows\microsoft\svchost.exe','32');
DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','osyuxrmkiy');
DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\kZyeeyJ.dll','32');
DeleteFile('C:\Program Files (x86)\thzXuJvjU\VA2h1A3.dll','32');
DeleteFile('C:\WINDOWS\Tasks\uuxHwpnMkRCRpJh.job','32');
DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
DeleteFile('C:\Users\3C26~1\AppData\Roaming\curl\curl_7_54.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
DeleteFile('C:\Users\артем\AppData\Roaming\Microsoft\msi.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\ScriptWriter','64');
DeleteFile('C:\Users\артем\AppData\Local\ScriptWriter\ScriptWriter.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\TnqpiRJoXWMCwN','64');
DeleteFile('C:\Program Files (x86)\GXZiGyYLSHyU2\j7OauQX.dll','32');
DeleteFile('C:\WINDOWS\system32\Tasks\uuxHwpnMkRCRpJh','64');
DeleteFile('C:\WINDOWS\system32\Tasks\uuxHwpnMkRCRpJh2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\wupdate','64');
DeleteFile('C:\Users\артем\AppData\Local\wupdate\wupdate.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/B]
Сделал.
Программы больше не устанавливаются, но антивирус так же обнаруживает вирусы. Страницы в браузере так же открываются.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Выполнил.
[QUOTE]setupsk
YoutubeAdBlock[/QUOTE]удалите через Установку программ.
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKU\S-1-5-21-935787954-3714542951-3318145870-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=D35971A48F779994F0E0A9B48D032D17&utm_d=20170728
BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\QYERbvxRHIE\tmT0uKCH.dll => No File
2017-08-26 00:19 - 2017-08-26 17:20 - 000000000 ____D C:\Users\артем\AppData\Local\SearchGo
2017-08-26 00:19 - 2017-08-26 17:12 - 000000000 ____D C:\Users\артем\AppData\LocalLow\SearchGo
2017-08-26 00:19 - 2017-08-26 00:19 - 000003552 _____ C:\WINDOWS\System32\Tasks\SearchGo Task
2017-08-25 23:44 - 2017-08-25 23:44 - 000000000 ____D C:\Users\артем\AppData\Local\Вoйти в Интeрнет
2017-08-25 23:43 - 2017-08-27 12:13 - 000000000 ____D C:\Users\артем\AppData\Roaming\curl
2017-08-25 23:42 - 2017-08-25 23:42 - 000969024 _____ C:\WINDOWS\system32\icacl.exe
2017-08-25 23:41 - 2017-08-26 16:21 - 000000000 ____D C:\Users\артем\AppData\Local\yc
2017-08-25 23:40 - 2017-08-27 12:13 - 000000000 ____D C:\Users\артем\AppData\Local\wupdate
2017-08-25 23:39 - 2017-08-27 12:13 - 000000000 ____D C:\Users\артем\AppData\Local\ScriptWriter
2017-08-25 23:37 - 2017-08-25 23:37 - 000000000 ____D C:\Users\артем\AppData\Local\Поиcк в Интeрнете
2017-08-26 00:25 - 2017-08-26 00:25 - 002099176 _____ () C:\Users\артем\AppData\Local\Temp\0YuwNA9gYltW.exe
2017-08-26 00:05 - 2017-08-26 00:05 - 000799744 _____ () C:\Users\артем\AppData\Local\Temp\11.tmp.exe
2017-08-27 06:56 - 2017-08-27 06:07 - 000844792 _____ () C:\Users\артем\AppData\Local\Temp\15A0.tmp.exe
2017-08-26 00:01 - 2017-08-25 23:38 - 000799744 _____ (MONN SOFT Inc) C:\Users\артем\AppData\Local\Temp\53C2.tmp.exe
2017-08-26 00:19 - 2017-08-26 00:19 - 000192000 _____ () C:\Users\артем\AppData\Local\Temp\82MiBObIF7SB.exe
2017-08-26 00:23 - 2017-08-26 00:23 - 038316032 _____ (The Chromium Authors) C:\Users\артем\AppData\Local\Temp\BTJHuD6oIn55.exe
2017-08-26 00:19 - 2017-08-26 00:19 - 000431320 _____ (Searchgo) C:\Users\артем\AppData\Local\Temp\dfIUTFoIXAkQ.exe
2017-08-26 00:03 - 2017-08-25 23:38 - 000799744 _____ (MONN SOFT Inc) C:\Users\артем\AppData\Local\Temp\E36B.tmp.exe
2017-08-26 00:02 - 2017-08-25 23:38 - 000799744 _____ (MONN SOFT Inc) C:\Users\артем\AppData\Local\Temp\E68.tmp.exe
2017-08-26 00:04 - 2017-08-25 23:38 - 000799744 _____ (MONN SOFT Inc) C:\Users\артем\AppData\Local\Temp\F24B.tmp.exe
2017-08-26 16:18 - 2017-08-26 16:18 - 002099176 _____ () C:\Users\артем\AppData\Local\Temp\IWbZimAcUmbP.exe
2017-08-26 16:19 - 2017-08-26 16:19 - 000192000 _____ () C:\Users\артем\AppData\Local\Temp\jj8MfEumaciF.exe
2017-08-25 23:38 - 2017-08-25 23:38 - 002099176 _____ () C:\Users\артем\AppData\Local\Temp\MpdZvx1p2BAh.exe
2017-08-26 16:24 - 2017-08-26 16:24 - 002099176 ____N () C:\Users\артем\AppData\Local\Temp\nEu8DKUHN3M6.exe
2017-08-26 00:17 - 2017-08-26 00:17 - 002099176 _____ () C:\Users\артем\AppData\Local\Temp\oVbZO35N4zIV.exe
2017-08-25 23:36 - 2017-08-25 23:37 - 002470457 _____ () C:\Users\артем\AppData\Local\Temp\VAPamjDzUONL.exe
2017-08-26 16:21 - 2017-08-26 16:21 - 038316032 ____N (The Chromium Authors) C:\Users\артем\AppData\Local\Temp\wPlfdgKhuIs7.exe
2017-08-25 23:46 - 2017-08-25 23:46 - 002099176 _____ () C:\Users\артем\AppData\Local\Temp\YuFNUGN8oiMZ.exe
2017-08-25 23:41 - 2017-08-25 23:41 - 038316032 _____ (The Chromium Authors) C:\Users\артем\AppData\Local\Temp\zOMfVLg2eBk5.exe
Task: {10E7BE15-6CEA-4FD6-8356-3A5AA265BE50} - \wupdate -> No File <==== ATTENTION
Task: {28BB5BEB-97A1-4EFC-A048-8DF281AEF354} - System32\Tasks\SearchGo Task => C:\Users\артем\AppData\Local\SearchGo\searchgo.exe <==== ATTENTION
Task: {568E03A2-B717-458E-9D94-85B1DBA4CAE5} - \curl -> No File <==== ATTENTION
Task: {5937F2D0-88C2-436D-BCD8-65EC8C41952D} - \TnqpiRJoXWMCwN -> No File <==== ATTENTION
Task: {6AAF76DA-3DBB-459A-A5C9-8569D182337B} - \uuxHwpnMkRCRpJh2 -> No File <==== ATTENTION
Task: {72376C71-19E8-4109-9127-2BE250C82D05} - \curls -> No File <==== ATTENTION
Task: {CC3DA26A-5A70-4ED7-B97F-562A53850197} - \ScriptWriter -> No File <==== ATTENTION
Task: {E00958C5-F7DA-426C-96DE-8380DE219F5D} - \MSI -> No File <==== ATTENTION
AlternateDataStreams: C:\WINDOWS\system32\Drivers\vxxtousc.sys:changelist [396]
AlternateDataStreams: C:\Users\артем\Desktop\AFMR final.JPG:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\ASMR.JPG:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Liliya.jpg:com.dropbox.attributes [168]
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
Сделал. Спустя время реклама снова появилась, так же открываются страницы.
Отключите ВСЕ установленные расширения для браузеров и проверьте проблему.
Да, после отключения расширений проблема исчезла.
Теперь по одному включайте и найдете виновника. Его имя сообщите.
Я так понимаю, что это расширение Zoom для зума страниц в браузере. Пользовался им месяц, но реклама раньше не появлялась.
Еще нашел во встроенном антивирусе Windows 10 очень много файлов в исключениях, хотя я их не заносил в этот список. И удалить их из исключений я тоже не могу, не удаляются.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\артем\appdata\local\scriptwriter\scriptwriter.exe - [B]HEUR:Trojan.Win32.Generic[/B][*] c:\users\артем\appdata\local\wupdate\wupdate.exe - [B]Trojan.Win32.Agent.ikps[/B][*] c:\users\3c26~1\appdata\roaming\curl\curl_7_54.exe - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\windows\microsoft\svchost.exe - [B]Trojan.Win32.SelfDel.gbpf[/B][*] c:\windows\microsoft\svchost.exe.exe - [B]not-a-virus:RiskTool.Win64.BitCoinMiner.cwo[/B][/LIST][/LIST]