Помогите пожалуйста с вирусом Adware.Neoreklami. Скачал видимо какое-то приложение в интернете вместе с прикрепленным вирусом.
Printable View
Помогите пожалуйста с вирусом Adware.Neoreklami. Скачал видимо какое-то приложение в интернете вместе с прикрепленным вирусом.
Уважаемый(ая) [B]MiPi67[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Какой антивирус видит этот adware, в каком файле? Удалить не может?
Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\powered-proceeds\plots-prince.lnk" -> ["C:\ProgramData\planet-provided\plots-prince"]
>>> "C:\Users\MiPi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\plots-prince.lnk" -> ["C:\ProgramData\planet-provided\bin.exe"][/CODE]Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O22 - Tasks: ASC_PerformanceMonitor - C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe /Task (file missing)[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Прикрепил файл с программой и расположением. Вирус Касперский удаляет, но при каждой перезагрузке появляется вновь. Спасибо
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Прикрепил файлы с отчетами. Спасибо.
[NOTICE]Внимание, куки браузеров будут очищены, при входе на сайты с авторизацией может последовать запрос пароля[/NOTICE]
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
(svchost.exe ->) (WProxy) [Файл не подписан] C:\Program Files\WProxy\WinProxy\WinProxy.exe
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {B621F49F-7329-442F-BFBE-6D98E5B01976} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe [137216 2023-07-01] (WProxy) [Файл не подписан]
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> cdn
CHR HKU\S-1-5-21-2373490720-2525868820-3643795269-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kbbidhfplpegemhlbcfboalcjdmgebap]
CHR HKU\S-1-5-21-2373490720-2525868820-3643795269-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kbbidhfplpegemhlbcfboalcjdmgebap]
CHR HKU\S-1-5-21-2373490720-2525868820-3643795269-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-2373490720-2525868820-3643795269-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
S3 cpuz150; отсутствует ImagePath
S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
2023-05-13 10:25 - 2023-05-20 08:24 - 000000768 _____ () C:\Users\MiPi\AppData\Roaming\ex_log.txt
C:\Program Files\WProxy
FirewallRules: [{9439784E-427A-407F-8EB9-DC1691B109A6}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣㈷慕⹓硥e => Нет файла
FirewallRules: [{D6589763-C053-44B3-A92E-64808E713B5D}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{6BDEE3AE-E346-4E96-966B-60EE0552D363}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯硥e => Нет файла
FirewallRules: [{78A2E34C-2E06-4C60-8E3D-D599C9AC48B3}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣啕硁攮數 => Нет файла
FirewallRules: [{206A5F47-47D6-44D1-BBF8-682B73D960CB}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣㈷慕⹓硥e => Нет файла
FirewallRules: [{698CDF9F-14B1-475C-8628-F47CCA087CE3}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{6D50A2FD-8447-4BE0-82FA-CB39F582A32F}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯硥e => Нет файла
FirewallRules: [{9E424FFE-39A5-427C-810A-EC0D20045FF7}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣啕硁攮數 => Нет файла
FirewallRules: [{58F87166-8D92-45AB-BBED-CB5FCA6A92FB}] => (Allow) C:\Users\MiPi\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{02D0FD13-3BE2-4F65-BD7D-95E3413AA4F6}] => (Allow) C:\Users\MiPi\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{AE004211-9452-4980-8245-AF2E2BDF2A7D}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
FirewallRules: [{E5DFF3AB-0948-40AB-816A-61EFBB47E78A}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
FirewallRules: [{DB994805-6E1D-460A-BC9D-2D9E3B73F8E7}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣祥祁硥e => Нет файла
FirewallRules: [{B8F52550-4DD0-438F-A982-6F678C64B31A}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{AE160C41-E09F-4601-842F-A00EB7AAE11B}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯硥e => Нет файла
FirewallRules: [{6ACC64C1-1DF0-4EFF-8481-74A22C394639}] => (Allow) 㩃啜敳獲䵜偩屩灁䑰瑡屡潒浡湩屧潴屣坷偩攮數 => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Emptytemp:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]), прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.
Сообщите, что с проблемой.
Спасибо огромное, после выполненных действий Касперский больше не показывает наличие вируса. Прикрепил лог. Скажите пожалуйста, какое приложение могло повлиять на безопасность системы? Какими лучше пользоваться антивирусами, оптимизаторами, чтобы постараться свести риски к минимуму для такой заразы впредь ? Спасибо, с уважением Михаил.
[QUOTE=MiPi67;1529570]Скажите пожалуйста, какое приложение могло повлиять на безопасность системы?[/QUOTE]
Определить уже невозможно. Вспоминайте. что устанавливали из программ, патчей и т. п. перед появлением проблемы.
[QUOTE=MiPi67;1529570]Какими лучше пользоваться антивирусами, оптимизаторами, чтобы постараться свести риски к минимуму для такой заразы впредь?[/QUOTE]
Касперский, пожалуй, один из лучших. Оптимизаторами - никакими, это зло. [URL="https://support.microsoft.com/ru-ru/help/2563254/microsoft-support-policy-for-the-use-of-registry-cleaning-utilities"]Политика поддержки Майкрософт для использования утилит очистки реестра[/URL].
Деинсталлируйте программу plots-prince. Если нет возможности удалить стандартным способом - сделайте принудительно, с помощью [URL="https://geekuninstaller.com/ru/download"]Geek Uninstaller Free[/URL].
Обновите WinRar: [URL="https://www.anti-malware.ru/news/2023-10-16-111332/42116"]Российские хакеры используют недавнюю уязвимость в WinRAR[/URL].
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
Спасибо Вам огромное за помощь и полезные советы!