Всплывающая реклама в виде сообщений вконтакте и загрузка самостоятелльно сайтов [not-a-virus:HEUR:AdWare.Win32.Mewishid.gen ]

[rostaman2008]

сайты загружает подобные http://traffic-media.co
в контакте реклама появляться везде даже когда открываешь раздел "мои сообщения"
и все время появляться как сообщение в контакте выезжая слева в низу екрана.

[Info_bot]

Уважаемый(ая) rostaman2008, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

отключите антивирусную программу

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  TerminateProcessByName('C:\Program Files\My Web Shield\mweshieldup.exe');
  TerminateProcessByName('C:\Program Files\My Web Shield\mweshield.exe');
  StopService('mwescontroller');
  StopService('mweshieldup');
  StopService('mweshield');
  QuarantineFile('C:\Users\rosta\AppData\Roaming\bestsalesprofit\updater.py','');
  QuarantineFile('C:\Users\rosta\AppData\Roaming\bestsalesprofit\ml.py','');
  QuarantineFile('C:\Users\rosta\AppData\Roaming\bestsalesprofit\python\pythonw.exe','');
  QuarantineFile('C:\WINDOWS\system32\drivers\mwescontroller.sys','');
  QuarantineFile('c:\program files (x86)\fazusemavudom\anameentrpicultserver.dll','');
  QuarantineFile('C:\Program Files\My Web Shield\mweshieldup.exe','');
  QuarantineFile('C:\Program Files\My Web Shield\mweshield.exe','');
  DeleteFile('C:\WINDOWS\system32\drivers\mwescontroller.sys','32');
  DeleteFile('C:\Users\rosta\AppData\Roaming\bestsalesprofit\python\pythonw.exe','32');
  DeleteFile('C:\Users\rosta\AppData\Roaming\bestsalesprofit\ml.py','32');
  DeleteFile('C:\Program Files (x86)\Fazusemavudom\AnameentrpicultServer.dll','32');
  DeleteFile('C:\WINDOWS\system32\Tasks\bestsalesprofit','64');
  DeleteFile('C:\Users\rosta\AppData\Roaming\bestsalesprofit\updater.py','32');
  DeleteFile('C:\WINDOWS\system32\Tasks\bestsalesprofit2','64');
  DeleteFile('C:\WINDOWS\system32\Tasks\famousaactors','64');
  DeleteFile('C:\Program Files\my web shield\mweshield.exe','32');
  DeleteFile('C:\Program Files\my web shield\mweshieldup.exe','32');
  ExecuteFile('schtasks.exe', '/delete /TN "famousaactors" /F', 0, 15000, true);
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bestsalesprofit');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Reiripy\Parameters','ServiceDll');
  DeleteService('mwescontroller');
  DeleteService('mweshieldup');
  DeleteService('mweshield');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[rostaman2008]

Выполнил.

[mrak74]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

После очистки AdwCleaner-ом.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[rostaman2008]

отчет FRST

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.trotux.com/?z=47e22476b7187d048f1890agdz8bbc1g0odz0c0g9t&from=fss&uid=ST1000LM024XHN-M101MBB_S30YJ9AG901595&type=hp
  FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B70EC14F7-2D42-40B9-A2BC-7937C89E64CB%7D&gp=811041
  CHR Extension: (Adblock Plus) - C:\Users\rosta\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-01-01]
  OPR Extension: (Tampermonkey) - C:\Users\rosta\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-01]
  OPR Extension: (Fast search) - C:\Users\rosta\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-23]
  Task: {598FA263-3625-4F6D-A460-994D5EDC77C3} - \bestsalesprofit -> No File <==== ATTENTION
  Task: {CBB8A899-CFED-48F4-94D8-C9A6E14BE280} - \bestsalesprofit2 -> No File <==== ATTENTION
  HKU\S-1-5-21-1115384155-3320979102-3718427215-1001\...\StartupApproved\Run: => "bestsalesprofit"
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[rostaman2008]

готово.

[mrak74]

Всплывающая реклама в виде сообщений вконтакте и загрузка самостоятелльно сайтов [not-a-virus:HEUR:AdWare.Win32.Mewishid.gen
]

Что с проблемой ?

[rostaman2008]

реклама в вк исчезла, а вот этот сайт грузит http://www.trotux.com/

[mrak74]

В каком браузере, Firefox ? Сделайте новые логи FRST.

[rostaman2008]

в Chrome ток его использую.

[mrak74]

Увы, в этих логах не видно. Попробуем по другому.

Сделайте лог полного сканирования MBAM

Напишите когда появляется эта страница trotux.com, при первом запуске браузера, с какой то периодичностью сама или просто при серфинге в интернете вместо запрашиваемой вылезает эта страница ?

[rostaman2008]

Спасибо уже перестала появлятся )

[mrak74]

испугалась.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\my web shield\mweshield.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen
  2. c:\program files\my web shield\mweshieldup.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen