Постоянная реклама в браузере ( [not-a-virus:HEUR:AdWare.Win32.Generic, not-a-virus:AdWare.Win32.Neoreklami.fta ]

**Drobo** · 16.07.2017, 15:51

Азино с депозитом 3000 постоянно выскакивает , подменяет ссылки
Помогите, пожалуйста решить данную проблему

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.07.2017, 15:52

Уважаемый(ая) Drobo, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 17.07.2017, 07:12

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\yiuaskie\mv0bwifni.exe');
 TerminateProcessByName('c:\users\Максим\appdata\local\sweetlabs app platform\engine\servicehostapp.exe');
 TerminateProcessByName('C:\Users\Максим\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe');
 TerminateProcessByName('c:\users\Максим\appdata\local\yc\application\yc.exe');
 QuarantineFile('c:\program files (x86)\yiuaskie\mv0bwifni.exe', '');
 QuarantineFile('c:\users\Максим\appdata\local\sweetlabs app platform\engine\servicehostapp.exe', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe', '');
 QuarantineFile('c:\users\Максим\appdata\local\yc\application\yc.exe', '');
 QuarantineFile('C:\Program Files (x86)\YiuAskIE\kHZ6qSM.dll', '');
 QuarantineFile('C:\Program Files (x86)\YiuAskIE\mA148lY.dll', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\SweetLabs App Platform\Engine\libPokki.dll', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\yc\Application\56.0.2924.76\chrome.dll', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\yc\Application\56.0.2924.76\libglesv2.dll', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\yc\Application\56.0.2924.76\libegl.dll', '');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\fiibkhokmfkkadmpaigijmgmlfenpchk\ml.py', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\Pokki\Engine\ServiceHostApp.exe', '');
 QuarantineFile('C:\Program Files (x86)\YiuAskU\xwVKOQo.dll', '');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\svshost\svshost.exe', '');
 QuarantineFile('C:\Program Files (x86)\YiuAskU2\pW38GuP.dll', '');
 DeleteFile('C:\Windows\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job', '64');
 DeleteFile('c:\program files (x86)\yiuaskie\mv0bwifni.exe', '32');
 DeleteFile('c:\users\Максим\appdata\local\sweetlabs app platform\engine\servicehostapp.exe', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe', '32');
 DeleteFile('c:\users\Максим\appdata\local\yc\application\yc.exe', '32');
 DeleteFile('C:\Program Files (x86)\YiuAskIE\kHZ6qSM.dll', '32');
 DeleteFile('C:\Program Files (x86)\YiuAskIE\mA148lY.dll', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\SweetLabs App Platform\Engine\libPokki.dll', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\yc\Application\56.0.2924.76\chrome.dll', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\yc\Application\56.0.2924.76\libglesv2.dll', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\yc\Application\56.0.2924.76\libegl.dll', '32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\fiibkhokmfkkadmpaigijmgmlfenpchk\ml.py', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\Pokki\Engine\ServiceHostApp.exe', '32');
 DeleteFile('C:\Program Files (x86)\YiuAskU\xwVKOQo.dll', '32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\svshost\svshost.exe', '32');
 DeleteFile('C:\Program Files (x86)\YiuAskU2\pW38GuP.dll', '32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteFile('C:\Users\Максим\Desktop\Вoйти в Интeрнет.lnk');
 DeleteFileMask('c:\program files (x86)\yiuaskie', '*', true);
 DeleteFileMask('c:\users\максим\appdata\local\sweetlabs app platform', '*', true);
 DeleteFileMask('c:\users\максим\appdata\local\yc', '*', true);
 DeleteFileMask('c:\users\максим\appdata\roaming\fiibkhokmfkkadmpaigijmgmlfenpchk', '*', true);
 DeleteFileMask('c:\program files (x86)\yiuasku', '*', true);
 DeleteFileMask('c:\users\максим\appdata\roaming\curl', '*', true);
 DeleteFileMask('c:\users\максим\appdata\local\svshost', '*', true);
 DeleteFileMask('c:\program files (x86)\yiuasku2', '*', true);
 DeleteDirectory('c:\program files (x86)\yiuaskie');
 DeleteDirectory('c:\users\максим\appdata\local\sweetlabs app platform');
 DeleteDirectory('c:\users\максим\appdata\local\yc');
 DeleteDirectory('c:\users\максим\appdata\roaming\fiibkhokmfkkadmpaigijmgmlfenpchk');
 DeleteDirectory('c:\program files (x86)\yiuasku');
 DeleteDirectory('c:\users\максим\appdata\roaming\curl');
 DeleteDirectory('c:\users\максим\appdata\local\svshost');
 DeleteDirectory('c:\program files (x86)\yiuasku2');
 DelBHO('{2C6A44CB-AD42-4731-A544-3FBD3D83AB5B}');
 ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "fiibkhokmfkkadmpaigijmgmlfenpchk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SweetLabs App Platform" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "U2_2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'fiibkhokmfkkadmpaigijmgmlfenpchk');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_162D83540BB4D2F98AE0E989D89F22EF');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'enhjrvzmyl');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #5');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

**Drobo** · 20.08.2017, 17:11

карантин загрузил, логи во вложении

**Vvvyg** · 20.08.2017, 20:07

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\ulqmcwwuiie\rvevyswilx.exe');
 QuarantineFile('c:\program files (x86)\ulqmcwwuiie\rvevyswilx.exe', '');
 QuarantineFile('C:\Program Files (x86)\UlQMCwwUiIE\kdhwPXH.dll', '');
 QuarantineFile('C:\Program Files (x86)\UlQMCwwUiIE\FzMn2.dll', '');
 QuarantineFile('C:\Program Files (x86)\ItBuQIQqU\LlCfg1r.dll', '');
 DeleteFile('C:\Windows\Tasks\ASKrDqYRnvIyhGB.job', '64');
 DeleteFile('c:\program files (x86)\ulqmcwwuiie\rvevyswilx.exe', '32');
 DeleteFile('C:\Program Files (x86)\UlQMCwwUiIE\kdhwPXH.dll', '32');
 DeleteFile('C:\Program Files (x86)\UlQMCwwUiIE\FzMn2.dll', '32');
 DeleteFile('C:\Program Files (x86)\ItBuQIQqU\LlCfg1r.dll', '32');
 DeleteFile('C:\Users\Максим\Favorites\Links\Интернет.url', '32');
 DeleteFileMask('c:\program files (x86)\ulqmcwwuiie', '*', true);
 DeleteFileMask('c:\program files (x86)\itbuqiqqu', '*', true);
 DeleteFileMask('c:\users\максим\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\program files (x86)\ulqmcwwuiie');
 DeleteDirectory('c:\program files (x86)\itbuqiqqu');
 DeleteDirectory('c:\users\максим\appdata\roaming\curl');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 ExecuteFile('schtasks.exe', '/delete /TN "ASKrDqYRnvIyhGB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ASKrDqYRnvIyhGB2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

**Drobo** · 21.08.2017, 09:28

Скрипт не запускается, пишет ошибка ";" expected в позиции 14:2

**thyrex** · 21.08.2017, 09:55

Поправил. Выполняйте

**Drobo** · 21.08.2017, 22:14

все сделал, файлы во вложении

- - - - -Добавлено - - - - -

насчет карантина пишет Ошибка загрузки. Данный файл уже был загружен

**Vvvyg** · 22.08.2017, 07:06

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
Tcpip\..\Interfaces\{E8D31113-A871-4E40-96C8-D6FC196590C9}: [NameServer] 82.202.226.203,81.171.10.42,94.130.44.229
SearchScopes: HKU\S-1-5-21-3810453931-1728964200-1893992552-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BF4DB411E-8381-4FDB-88B3-E8260C5FF07A%7D&gp=811014
BHO: YoutubeAdBlock -> {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} -> C:\Program Files (x86)\YiuAskIE\tNxULSV.dll => No File
BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\UlQMCwwUiIE\tKyY41Z5.dll [2017-08-20] ()
BHO-x32: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\UlQMCwwUiIE\kdhwPXH.dll [2017-08-20] ()
C:\Program Files (x86)\UlQMCwwUiIE
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\ph6hjtv7.default-1447794676707 -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ph6hjtv7.default-1447794676707 -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\ph6hjtv7.default-1447794676707 -> hxxp://mail.ru/cnt/10445?gp=811013
FF Keyword.URL: Mozilla\Firefox\Profiles\ph6hjtv7.default-1447794676707 -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7BF7572B82-601A-4626-8E60-3F7339E821A3%7D&gp=811014
FF Extension: (No Name) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{5C3FD6D1-9185-4195-B5E1-FAB622427F59} [2017-08-20] [not signed]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811009","hxxps://newtab.club/"
CHR NewTab: Default ->  Active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
CHR Extension: (Mail.Ru) - C:\Users\Максим\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2017-07-13]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Максим\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif [2017-07-13]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Максим\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-08-20]
CHR Extension: (MeSafe) - C:\Users\Максим\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkknfledgpmlnapbbfdahiigcanjgana [2017-07-13]
CHR Profile: C:\Users\Максим\AppData\Local\Google\Chrome\User Data\System Profile [2017-08-20]
CHR Extension: (Adblocker for Youtube™) - C:\Users\Максим\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-08-20]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
2017-08-20 17:04 - 2017-08-20 17:04 - 000000000 ____D C:\Users\Максим\AppData\LocalLow\BOgQyMqOYnSSC
2017-08-20 16:48 - 2015-03-22 13:07 - 001530880 ___SH C:\Users\Максим\Downloads\Thumbs.db
2017-08-20 16:30 - 2017-07-13 23:40 - 000000000 ____D C:\Users\Максим\AppData\Roaming\fiibkhokmfkkadmpaigijmgmlfenpchk
2015-08-17 15:22 - 2015-08-17 15:22 - 067114248 _____ (SweetLabs,Inc.) C:\Users\Гость\AppData\Local\Temp\oct1E1F.tmp.exe
2015-05-21 00:04 - 2015-05-21 00:05 - 107701776 _____ (SweetLabs,Inc.) C:\Users\Гость\AppData\Local\Temp\oct291E.tmp.exe
2015-07-15 22:56 - 2015-07-15 22:57 - 067289280 _____ (SweetLabs,Inc.) C:\Users\Гость\AppData\Local\Temp\oct8D8C.tmp.exe
2015-10-28 05:52 - 2015-10-28 05:53 - 067197784 _____ (SweetLabs,Inc.) C:\Users\Гость\AppData\Local\Temp\octADD4.tmp.exe
Task: {094079C2-C943-4F75-AF3C-2513CDA463A4} - System32\Tasks\ASKrDqYRnvIyhGB2 => rundll32 "C:\Program Files (x86)\ItBuQIQqU\LlCfg1r.dll",#1
Task: {18B53C86-B492-4180-9F3D-EEF156A59037} - System32\Tasks\EUpgwmlTGJwqLU => rundll32 "C:\Program Files (x86)\HPgbdPAxeKOU2\fJSzw9w.dll",#1
Task: {3A3EE624-A32F-44BC-AA70-3EB4D8472E49} - System32\Tasks\MSI => C:\Users\Максим\AppData\Roaming\Microsoft\msi.exe <==== ATTENTION
Task: {6A0FE646-27E1-47F5-BB9B-D8C59CF5E951} - System32\Tasks\curls => C:\Users\Максим\AppData\Roaming\curl\curl.exe <==== ATTENTION
Task: {8D0F2C3F-555D-4454-A628-A29418AFC9C5} - System32\Tasks\curl => C:\Users\Максим\AppData\Roaming\curl\curl_7_54.exe <==== ATTENTION
Task: {CF81B85E-36ED-46FE-BC8D-BAA5B20B0693} - System32\Tasks\ASKrDqYRnvIyhGB => rundll32 "C:\Program Files (x86)\ItBuQIQqU\LlCfg1r.dll",#1
Task: C:\Windows\Tasks\ASKrDqYRnvIyhGB.job => C:\Program Files (x86)\ItBuQIQqU\LlCfg1r.dll
Shortcut: C:\Users\Максим\Desktop\PhotoshopPortable - Ярлык.lnk -> C:\Users\Максим\Downloads\PhotoshopPortable\PhotoshopPortable.exe (No File) <==== Cyrillic
FirewallRules: [{0BAF7066-70ED-4720-B558-481251088622}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{40093D43-3FBE-40B0-A8B5-77CF2A1CFEA9}] => (Allow) C:\Users\Максим\AppData\Local\yc\Application\yc.exe
Reg: reg delete "HKU\S-1-5-21-3810453931-1728964200-1893992552-1002\Software\Microsoft\Windows\CurrentVersion\Uninstall\fiibkhokmfkkadmpaigijmgmlfenpchk" /f
CMD: ipconfig /flushdns
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (а папку загрузок в Вашем случае).
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

**Drobo** · 09.09.2017, 21:21

Стало гораздо лучше! Но, не ушли дурацкие баннеры из Youtube и периодически стал вылетать wifi

**Vvvyg** · 10.09.2017, 11:21

За почти 3 недели многое могло измениться, если хотите долечиться - не затягивайте с ответами.

Удалите расширение Adblocker for Youtube™ в хроме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**CyberHelper** · 10.09.2017, 11:31

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 17
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\yiuaskie\khz6qsm.dll - not-a-virus:HEUR:AdWare.Win32.Generic ( BitDefender: Gen:Heur.Kelios.1 )
2. c:\program files (x86)\yiuaskie\mv0bwifni.exe - not-a-virus:AdWare.Win32.Neoreklami.fta ( BitDefender: Gen:Trojan.Heur.JP.JuW@aKads5ei )
3. c:\program files (x86)\yiuasku\xwvkoqo.dll - not-a-virus:AdWare.Win32.Neoreklami.iul
4. c:\users\максим\appdata\local\svshost\svshost.exe - HEUR:Trojan.Win32.Generic

Постоянная реклама в браузере ( [not-a-virus:HEUR:AdWare.Win32.Generic, not-a-virus:AdWare.Win32.Neoreklami.fta ] (заявка № 213889)

Опции темы