Проблемы с браузером [not-a-virus:HEUR:AdWare.Win32.Mewishid.gen, not-a-virus:AdWare.Win32.Agent.xxczfq ]

[Theodore]

В chrome добавились расширения mail.ru и yandex, стало появляться много рекламы

[Info_bot]

Уважаемый(ая) Theodore, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

отключите антивирусную программу

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  TerminateProcessByName('C:\Program Files\My Web Shield\mweshieldup.exe');
  StopService('mwescontroller');
  StopService('mweshieldup');
  StopService('mweshield');
  QuarantineFile('C:\windows\system32\drivers\mwescontroller.sys','');
  QuarantineFile('C:\Program Files (x86)\Ticno\Indexator\SearchService.exe','');
  QuarantineFile('C:\Program Files\My Web Shield\mweshield.exe','');
  QuarantineFile('C:\Program Files\My Web Shield\mweshieldup.exe','');
  DeleteFile('C:\Program Files (x86)\Ticno\Indexator\SearchService.exe','32');
  DeleteFile('C:\windows\system32\drivers\mwescontroller.sys','32');
  DeleteFile('C:\windows\system32\Tasks\{64F77AF0-977C-4A21-B2CD-B385BA1E0EC6}','64');
  DeleteFile('C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe','32');
  DeleteFile('C:\Program Files\my web shield\mweshield.exe','32');
  DeleteFile('C:\Program Files\my web shield\mweshieldup.exe','32');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GameCenterMailRu','command');
  DeleteService('mwescontroller');
  DeleteService('TicnoIndexator');
  DeleteService('mweshieldup');
  DeleteService('mweshield');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

- - - - -Добавлено - - - - -

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Theodore]

Отчет

[mrak74]

- Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[Theodore]

Готово

[mrak74]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {1ad2adef-1ff6-11e1-a88e-f46d042b2b4f} - F:\Autorun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {53a7262b-264a-11e1-8864-f46d042b2b4f} - E:\AutoRun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {5d965ce2-24bc-11e1-9ac6-001e101f1f81} - F:\autorun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {8572ee49-02c5-11e1-8b1d-001e101fb681} - G:\AutoRun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {c8f5aa5d-deb6-11e0-8fe3-f46d042b2b4f} - F:\AutoRun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {c8f5aa69-deb6-11e0-8fe3-f46d042b2b4f} - E:\AutoRun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {ebdd36c4-1ef7-11e1-b368-001e101f63cf} - 0
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
Tcpip\..\Interfaces\{D0BF45C5-78ED-4FE9-A0FB-D14A261B517A}: [DhcpNameServer] 7.254.254.254
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3387874277-2504550756-3322508961-1004 -> Moikrug URL = hxxp://moikrug.ru/persons/?clid=41129&charset=utf-8&keywords={searchTerms}&submitted=1
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3387874277-2504550756-3322508961-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3387874277-2504550756-3322508961-1004 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=821272
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BEBECC24E-E7A0-4F84-BD7C-79218F8F05B5%7D&gp=821273
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Михаил\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-22]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Михаил\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-22]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Михаил\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-22]
FF SearchPlugin: C:\Users\Михаил\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2016-12-22]
CHR Extension: (Визуальные закладки) - C:\Users\Михаил\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\pchfckkccldkbclgdepkaonamkignanh [2016-12-23]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
Task: {2BC05688-6D27-40DC-807B-B2236582ECEA} - \AdobeFlashPlayer-S-1-2-1298-9822 -> No File <==== ATTENTION
Task: {44ADC3BF-8359-448B-BE57-A7E3A6BFE81F} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION
Task: {711B5A00-51FE-44E7-AC75-A401348483E6} - \{64F77AF0-977C-4A21-B2CD-B385BA1E0EC6} -> No File <==== ATTENTION
Task: {C196A673-A60F-43DE-B2D0-7F82F734B2ED} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM [85]
AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM [85]
AlternateDataStreams: C:\Users\Все пользователи:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM [85]
AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM [85]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM [85]
AlternateDataStreams: C:\Users\Михаил\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Михаил\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Михаил\AppData\Local\Application Data:wa [146]


EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

- - - - -Добавлено - - - - -

P.S. если после выполнения скрипта пропадет интернет, в сетевых настройках укажите DNS 8.8.8.8 и 8.8.4.4; или 77.88.8.8 и 77.88.8.1.

[Theodore]

Лог

[mrak74]

Что с проблемой ?

[Theodore]

Помогло, спасибо!

[mrak74]

Пожалуйста !!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\my web shield\mweshield.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen
  2. c:\program files\my web shield\mweshieldup.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen
  3. c:\windows\system32\drivers\mwescontroller.sys - not-a-virus:AdWare.Win32.Agent.xxczfq