Скачал adwcleaner c левого сайта http://adwcleaner.ru

**PyroChurches** · 12.04.2018, 14:17

Схватил Амиго и всякую гадость от Maill.ru решил воспользоваться Adwcleaner'ом (раньше помогало). В спешке скачал с этого проклятого сайта и запустил. После перезагрузки не сразу понял, что произошло. Опомнился когда обнаружил что больше программа не открывается (отменятся запуск). При вводе в поисковой строке проводника "adw" происходит перезагрузка explorer.exe (как оказалось позже при вводе "avz" и запуске autologger'а случается то же самое) при открытии папок с именем Adwcleaner опять же перезапускает explorer.exe. Та же мистика и при работе с браузером, стоит только где-то всплыть заветным буквам, сразу происходит перезапуск хрома и всех остальных браузеров. В диспетчере задач висит 2 странных безымянный процесса один из которых грузящий систему на 50-60% (иногда он один-второй исчезает) отсылающий к svchost.exe в C:\Windows\SysWOW64. Все остальные системные процессы и службы отсылают к svchost.exe в System32.
Памагите
Запустить autologger.exe смог только в безопасном режиме. Проблема с проводником и браузерами в безопасном режиме исчезает, странного процесса тоже нет.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.04.2018, 14:19

Уважаемый(ая) PyroChurches, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**PyroChurches** · 12.04.2018, 15:29

Простите. Случайно сканировал два раза, вот первый

**Vvvyg** · 14.04.2018, 10:48

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files (x86)\Common Files\YuYMmoz.exe', '');
 QuarantineFile('C:\ProgramData\TaskbarWindows\winstar.exe', '');
 QuarantineFile('C:\Users\kdolg\AppData\Roaming\WeatherForecaster\app.py', '');
 QuarantineFile('C:\Users\kdolg\AppData\Roaming\WeatherForecaster\ml2.py', '');
 QuarantineFile('C:\Users\kdolg\AppData\Roaming\WeatherForecaster\python\pythonw.exe', '');
 QuarantineFile('C:\WINDOWS\WOIOpeX.exe', '');
 DeleteFile('C:\Program Files (x86)\Common Files\YuYMmoz.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AdwCleaner.lnk', '32');
 DeleteFile('C:\ProgramData\TaskbarWindows\winstar.exe', '32');
 DeleteFile('C:\Users\kdolg\AppData\Roaming\WeatherForecaster\app.py', '32');
 DeleteFile('C:\Users\kdolg\AppData\Roaming\WeatherForecaster\ml2.py', '32');
 DeleteFile('C:\Users\kdolg\AppData\Roaming\WeatherForecaster\python\pythonw.exe', '32');
 DeleteFile('C:\WINDOWS\WOIOpeX.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{31FA9FDE-7596-56F9-108A-6A771DF5611C}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{67E02F33-D876-5565-3575-69E6C60BF184}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\QuickLaunch" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Starter" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster2" /F', 0, 15000, true);
 DeleteFileMask('c:\programdata\taskbarwindows', '*', true);
 DeleteFileMask('c:\users\kdolg\appdata\roaming\weatherforecaster', '*', true);
 DeleteDirectory('c:\programdata\taskbarwindows');
 DeleteDirectory('c:\users\kdolg\appdata\roaming\weatherforecaster');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger в обычном режиме.

Сделайте лог Malwarebytes AdwCleaner.

**PyroChurches** · 14.04.2018, 12:23

Огромное спасибо. Всё сделал, пока проблем не видно. AdwCleaner нашёл 6 угроз.

**Vvvyg** · 14.04.2018, 14:16

PUP.Optional.22ChromeEXT Rutube
PUP.Optional.Legacy Текствертер- для русско-английской клавиатуры
PUP.Optional.Mail.Ru Визуальные Закладки Mail.Ru
PUP.Optional.Mail.Ru Rutube
PUP.Optional.Mail.Ru Домашняя страница Mail.Ru
PUP.Optional.Mail.Ru Поиск Mail.Ru

Это расширения хрома, если не нужны, или от них есть реклама - удалите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O22 - Task: WeatherForecaster - C:\Users\kdolg\AppData\Roaming\WeatherForecaster\python\pythonw.exe "C:\Users\kdolg\AppData\Roaming\WeatherForecaster\ml2.py" --APPNAME="WeatherForecaster" (file missing)
O22 - Task: WeatherForecaster2 - C:\Users\kdolg\AppData\Roaming\WeatherForecaster\python\pythonw.exe "C:\Users\kdolg\AppData\Roaming\WeatherForecaster\app.py" (file missing)
O22 - Task: \Microsoft\QuickLaunch - C:\ProgramData\TaskbarWindows\winstar.exe /quicklaunch (file missing)
O22 - Task: \Microsoft\Windows\Starter - C:\ProgramData\TaskbarWindows\winstar.exe /updatecheck (file missing)
O22 - Task: {31FA9FDE-7596-56F9-108A-6A771DF5611C} - C:\Program Files (x86)\Common Files\YuYMmoz.exe /q /i http://freshrefreshnerer24rb.info/4QZg80C89Nn1.0CG (file missing)
O22 - Task: {67E02F33-D876-5565-3575-69E6C60BF184} - C:\WINDOWS\WOIOpeX.exe /q /i http://freshrefreshnerer24.info/lwz7IO865.218 (file missing)

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**PyroChurches** · 14.04.2018, 14:44

есть!

**Vvvyg** · 14.04.2018, 20:19

IObit Driver Booster 5.0.3.402 v.5.0.3.402 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

В остальном порядок.

**PyroChurches** · 14.04.2018, 22:25

Спасибо вам и вашему ресурсу огромное

. А что посоветуете за место Driver Booster'а?

**Vvvyg** · 15.04.2018, 00:11

Такие утилиты скорее вредны, несколько раз наблюдал, как они валили систему. Драйвера Nvidia, AMD и сами обновляются, часть системных и сетевых - через Windows Update, а прочее лучше не трогать.

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.

**CyberHelper** · 15.04.2018, 00:21

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Скачал adwcleaner c левого сайта http://adwcleaner.ru (заявка № 218518)

Опции темы