Подозрение на вирус [not-a-virus:HEUR:AdWare.Win32.Generic, not-a-virus:RiskTool.Win64.Agent.dv ]

Printable View

10.04.2018, 16:59
Leshik

Вложений: 1

Подозрение на вирус [not-a-virus:HEUR:AdWare.Win32.Generic, not-a-virus:RiskTool.Win64.Agent.dv ]

Хром стал жить своей жизнью - периодически запускается сам, пытается открыть непонятные вкладки.
10.04.2018, 17:02
Info_bot

Уважаемый(ая) [B]Leshik[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
11.04.2018, 13:07
Sandor

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
[quote]
NativeDesktopMediaService
Skype Click to Call
[/quote]

[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:

[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
StopService('Windows');
QuarantineFile('C:\PROGRA~3\40878ede\4679b5af.dll', '');
QuarantineFile('C:\ProgramData\{EA060E50-5DAD-B9FB-9A8A-245A42518E84}\AED6832A-197D-3481-FD4A-7C5CE032F442.exe', '');
QuarantineFile('C:\Users\73B5~1\AppData\Local\B22758~1\{4679B~1.', '');
QuarantineFile('C:\Users\Пользователь\AppData\Local\aptrawo.dll', '');
QuarantineFile('C:\Windows\svchost.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "{6A3A8FC8-5EE0-4EBE-A01B-42A19FFF2D75}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{7D790547-097D-087F-0811-7D7F7F0F1104}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{9EAA5C44-ACC3-8DAF-5309-38425C197342}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{AF184DBD-AC8D-4B5D-9C05-F4D8FB601D16}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "3AD8A350-1328-26DA-B033-5F76781D5D9D" /F', 0, 15000, true);
DeleteFile('C:\PROGRA~3\40878ede\4679b5af.dll', '32');
DeleteFile('C:\ProgramData\{EA060E50-5DAD-B9FB-9A8A-245A42518E84}\AED6832A-197D-3481-FD4A-7C5CE032F442.exe', '32');
DeleteFile('C:\Users\73B5~1\AppData\Local\B22758~1\{4679B~1.', '32');
DeleteFile('C:\Users\Пользователь\AppData\Local\aptrawo.dll', '32');
DeleteFile('C:\Windows\svchost.exe', '32');
DeleteService('Windows');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\aptrawo', 'DLLName');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(21);
ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
[/CODE]

Компьютер [U]перезагрузится[/U].

Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

[URL=http://virusinfo.info/showthread.php?t=4491]"Пофиксите" в HijackThis[/URL] (некоторые строки могут отсутствовать):
[CODE]
O7 - Policy: [Untrusted Certificate] Fix all items from the log
O17 - HKLM\System\CCS\Services\Tcpip\..\{88A99417-6D46-43ED-9ACA-1E7A33CD62BF}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{88A99417-6D46-43ED-9ACA-1E7A33CD62BF}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3E7D9EC-2F59-4222-A9C6-24EC0D986CB8}: [NameServer] = 217.66.153.250
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3E7D9EC-2F59-4222-A9C6-24EC0D986CB8}: [NameServer] = 217.66.153.253
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{88A99417-6D46-43ED-9ACA-1E7A33CD62BF}: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{88A99417-6D46-43ED-9ACA-1E7A33CD62BF}: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{F3E7D9EC-2F59-4222-A9C6-24EC0D986CB8}: [NameServer] = 217.66.153.250
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{F3E7D9EC-2F59-4222-A9C6-24EC0D986CB8}: [NameServer] = 217.66.153.253
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O20-32 - HKLM\..\Winlogon\Notify: aptrawo [DllName] = C:\Users\Пользователь\AppData\Local\aptrawo.dll (file missing)
O22 - Task: 3AD8A350-1328-26DA-B033-5F76781D5D9D - C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/43b9b8fe7eb243f2 /q" "C:\Users\73B5~1\AppData\Local\B22758~1\{4679B~1."
O22 - Task: Checker64 - C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe

[/CODE]

Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])
12.04.2018, 15:53
Leshik

Вложений: 1

Логи
12.04.2018, 16:03
Sandor

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
12.04.2018, 16:13
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\{ea060e50-5dad-b9fb-9a8a-245a42518e84}\aed6832a-197d-3481-fd4a-7c5ce032f442.exe - [B]not-a-virus:HEUR:AdWare.Win32.Generic[/B][*] c:\progra~3\40878ede\4679b5af.dll - [B]not-a-virus:AdWare.Win32.Adposhel.jtqu[/B][*] c:\users\73b5~1\appdata\local\b22758~1\{4679b~1. - [B]not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen[/B][*] c:\windows\svchost.exe - [B]not-a-virus:RiskTool.Win64.Agent.dv[/B][/LIST][/LIST]