Помогите пож. вылечиться [not-a-virus:AdWare.Win32.Vitruvian.e, not-a-virus:AdWare.Win32.Agent.hedo ]

[olegyam]

Помогите пож. постоянно всплываю в браузере рекламные окна
комп тормозит.
в общем очевидно что зловред сидит

Вложение 547027Вложение 547028Вложение 547029

[Info_bot]

Уважаемый(ая) olegyam, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Утилиты, стартовые страницы от Mail.Ru нужны? Браузером Амиго пользуетесь?

- - - - -Добавлено - - - - -

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\boldareva.spoil\appdata\local\09461220-1424362359-11de-aa05-e0cb4ec52f4e\snsw13e6.tmp');
 TerminateProcessByName('c:\program files\quickref_1.10.0.9\service\qrsvc.exe');
 TerminateProcessByName('c:\users\boldareva.spoil\appdata\roaming\09461220-1424362300-11de-aa05-e0cb4ec52f4e\nsb4662.tmpfs');
 TerminateProcessByName('c:\users\boldareva.spoil\appdata\local\09461220-1425375586-11de-aa05-e0cb4ec52f4e\insce6b9.tmp');
 TerminateProcessByName('c:\program files\igs\basementduster.exe');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe', '');
 QuarantineFile('C:\Users\boldareva.SPOIL\AppData\Roaming\09461220-1424362300-11DE-AA05-E0CB4EC52F4E\jnsl75E0.tmp', '');
 QuarantineFile('C:\Windows\system32\BDL.dll', '');
 QuarantineFile('c:\users\boldareva.spoil\appdata\local\09461220-1424362359-11de-aa05-e0cb4ec52f4e\snsw13e6.tmp', '');
 QuarantineFile('c:\program files\quickref_1.10.0.9\service\qrsvc.exe', '');
 QuarantineFile('c:\users\boldareva.spoil\appdata\roaming\09461220-1424362300-11de-aa05-e0cb4ec52f4e\nsb4662.tmpfs', '');
 QuarantineFile('c:\users\boldareva.spoil\appdata\local\09461220-1425375586-11de-aa05-e0cb4ec52f4e\insce6b9.tmp', '');
 QuarantineFile('c:\program files\igs\basementduster.exe', '');
 DeleteFile('c:\program files\igs\basementduster.exe', '32');
 DeleteFile('c:\users\boldareva.spoil\appdata\local\09461220-1425375586-11de-aa05-e0cb4ec52f4e\insce6b9.tmp', '32');
 DeleteFile('c:\program files\quickref_1.10.0.9\service\qrsvc.exe', '32');
 DeleteFile('C:\Program Files\IGS\BasementDusterCert.dll', '32');
 DeleteFile('C:\Users\boldareva.SPOIL\AppData\Roaming\09461220-1424362300-11DE-AA05-E0CB4EC52F4E\nsb4662.tmpfs', '32');
 DeleteFile('C:\Users\boldareva.SPOIL\AppData\Local\09461220-1424362359-11DE-AA05-E0CB4EC52F4E\snsw13E6.tmp', '32');
 DeleteFile('C:\Users\boldareva.SPOIL\AppData\Roaming\09461220-1424362300-11DE-AA05-E0CB4EC52F4E\jnsl75E0.tmp', '32');
 DeleteFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys', '32');
 DeleteFile('C:\Users\boldareva.SPOIL\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFile('C:\Users\boldareva.SPOIL\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Users\boldareva.SPOIL\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
 DeleteFile('C:\Users\boldareva.SPOIL\AppData\Roaming\Browsers\exe.xoferif.bat', '32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job', '32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1', '32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3', '32');
 DeleteFile('C:\Windows\system32\Tasks\{D56EC498-2FB5-463A-A04B-B3816337AC9B}', '32');
 DeleteFile('C:\Windows\system32\Tasks\{E7D54D9F-4809-4BD9-8287-8285D3B1FF5B}', '32');
 DeleteFileMask('C:\Program Files\AnyProtectEx', '*', true);
 DeleteFileMask('C:\Users\boldareva.SPOIL\AppData\Roaming\09461220-1424362300-11DE-AA05-E0CB4EC52F4E', '*', true);
 DeleteFileMask('c:\program files\quickref_1.10.0.9', '*', true);
 DeleteFileMask('c:\program files\igs', '*', true);
 DeleteDirectory('C:\Program Files\AnyProtectEx');
 DeleteDirectory('C:\Users\boldareva.SPOIL\AppData\Roaming\09461220-1424362300-11DE-AA05-E0CB4EC52F4E');
 DeleteDirectory('c:\program files\quickref_1.10.0.9');
 DeleteDirectory('c:\program files\igs');
 DelSPIByFileName('C:\Windows\system32\BDL.dll'', true);
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteFile('C:\Windows\system32\BDL.dll');
 BC_DeleteFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys');
 BC_DeleteSvc('qiduvoko');
 BC_DeleteSvc('qrsvc_1.10.0.9');
 BC_DeleteSvc('zigysywy');
 BC_DeleteSvc('zutumuwy');
 BC_DeleteSvc('bofimyvu');
 BC_DeleteSvc('qrnfd_1_10_0_9');
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' LNK.

[olegyam]

mail.ru - пойдет идет нафиг
Такого браузера amigo вообще не знаю...

[Vvvyg]

Ок, жду продолжения.

[olegyam]

Спасибо Огромное
Комп ощутимо стал "поживее"

Карантин загрузил
Файл сохранён как 150320_115001_quarantine_550bd129a304e.zip
Вложение 547356
Вложение 547357
Вложение 547360

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

Просил ещё лог Check Browsers' LNK.

[olegyam]

я последовательно делал логи и редактировал свое сообщение - извините наверное раньше мое сообщение посмотрели...
Все равно спасибо ВАМ огромное...

[Vvvyg]

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\anyprotectex\anyprotect.exe - not-a-virus:AdWare.Win32.Agent.hpxh
  2. c:\program files\quickref_1.10.0.9\service\qrsvc.exe - not-a-virus:AdWare.Win32.Vitruvian.e ( AVAST4: Win32:GenMaliciousA-EHE [Adw] )
  3. c:\users\boldareva.spoil\appdata\local\09461220-1425375586-11de-aa05-e0cb4ec52f4e\insce6b9.tmp - not-a-virus:AdWare.Win32.AdSvc.b ( AVAST4: Win32:Adware-gen [Adw] )
  4. c:\users\boldareva.spoil\appdata\roaming\09461220-1424362300-11de-aa05-e0cb4ec52f4e\nsb4662.tmpfs - not-a-virus:AdWare.Win32.Agent.hedo
  5. c:\windows\system32\bdl.dll - not-a-virus:AdWare.Win32.Komodia.b