Вирус троян атакует [not-a-virus:AdWare.Win32.Agent.gvls ]

**zarko** · 16.05.2016, 21:43

Добрый вечер!
Никак не получается справится с торояном. Вложила файлы с отчетами. Надеюсь, что правильно. Спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.05.2016, 21:44

Уважаемый(ая) zarko, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 16.05.2016, 23:40

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\ticno\ticno io\io.exe');
 TerminateProcessByName('c:\users\samsung\appdata\local\mail.ru\mailruupdater.exe');
 TerminateProcessByName('c:\users\samsung\appdata\local\mail.ru\update service\mrupdsrv.exe');
 TerminateProcessByName('c:\program files\ticno\tabs\ticno tabs.exe');
 QuarantineFile('c:\program files\ticno\ticno io\io.exe', '');
 QuarantineFile('c:\users\samsung\appdata\local\mail.ru\mailruupdater.exe', '');
 QuarantineFile('c:\users\samsung\appdata\local\mail.ru\update service\mrupdsrv.exe', '');
 QuarantineFile('c:\program files\ticno\tabs\ticno tabs.exe', '');
 QuarantineFile('C:\Users\SAMSUNG\LOCALS~1\Temp\msuuuaika.exe', '');
 QuarantineFile('C:\Program Files\Ticno\Tabs\Ticno', '');
 QuarantineFile('C:\Users\SAMSUNG\AppData\Local\Temp\Temp1_mephisto.zip\Mephisto.exe', '');
 QuarantineFile('C:\Users\SAMSUNG\AppData\Local\Temp\6D21D2E8-E4AD40E0-3339CBA-7A403026\a49a61cb9.sys', '');
 DeleteFile('c:\program files\ticno\ticno io\io.exe', '32');
 DeleteFile('c:\users\samsung\appdata\local\mail.ru\mailruupdater.exe', '32');
 DeleteFile('c:\users\samsung\appdata\local\mail.ru\update service\mrupdsrv.exe', '32');
 DeleteFile('c:\program files\ticno\tabs\ticno tabs.exe', '32');
 DeleteFile('C:\Users\SAMSUNG\LOCALS~1\Temp\msuuuaika.exe', '32');
 DeleteFile('C:\Program Files\Ticno\Tabs\Ticno', '32');
 DeleteFile('C:\Users\SAMSUNG\AppData\Local\Temp\Temp1_mephisto.zip\Mephisto.exe', '32');
 DeleteFile('C:\Users\SAMSUNG\AppData\Local\Temp\6D21D2E8-E4AD40E0-3339CBA-7A403026\a49a61cb9.sys', '32');
 DeleteFileMask('c:\program files\ticno', '*', true);
 DeleteFileMask('c:\users\samsung\appdata\local\mail.ru', '*', true);
 DeleteDirectory('c:\program files\ticno');
 DeleteDirectory('c:\users\samsung\appdata\local\mail.ru');
 ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{6C953484-1839-4922-9894-9A2165878E41}" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Ticno iO');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mrupdsrv');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог сканирования МВАМ.

**zarko** · 18.05.2016, 09:39

Сделала все как Вы написали. Но после проведения стандартного второго скрипа при выходе в интернет опять появилось куча окон с оповещением обнаружения вируса троян.

- - - - -Добавлено - - - - -

Результаты отчета лог программой Malwarebytes Antimalware

**Vvvyg** · 18.05.2016, 10:24

Мы только начали.

Удалите в MBAM всё найденное.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**zarko** · 18.05.2016, 15:00

Добрый день.
Надеюсь, что сделала все верно. Единственно, у меня сомнения по поводу отчетов анти - малвар. В указанных папках ничего не было. Отчеты брала в Истории- журналы программы - просмотры логов проверки и защиты.
Спасибо.

**Vvvyg** · 18.05.2016, 15:39

Не нужно было устанавливать MBAM как "Ознакомительная версия".

Уведомление

Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.

В системе ещё и McAfee Security Scan Plus, и Avira, у которой, кстати, базы устарели. Рекомендую McAfee удалить и оставить Avira, только обновлять базы автоматически.

Удалите браузеры Uran и Интернет, это устаревшие поделки на базе Хрома.
Opera 12.14 устарела и содержит серьёзные уязвимости, обновите до 12.18 или удалите вовсе.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\...\Run: [] => [X]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2014-02-26]
Toolbar: HKLM - No Name - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} -  No File
FF Extension: tabs - C:\Users\SAMSUNG\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-05-13] [not signed]
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - hxxp://clients2.google.com/service/update2/crx
2016-05-16 18:55 - 2013-08-24 15:25 - 00002313 _____ C:\Users\SAMSUNG\Desktop\Войти в Интернет.lnk
2016-05-18 08:53 - 2013-09-07 18:15 - 00000000 ____D C:\ProgramData\boost_interprocess
2016-05-18 08:52 - 2013-09-07 18:15 - 00000000 ____D C:\Program Files\Ticno
C:\Users\SAMSUNG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Одноклассники.lnk
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TicnoIo" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ticno Shell Extension Manager" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tabs" /f
Reg: reg delete "HKU\S-1-5-21-3887370309-4164544564-1923556546-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\Amigo" /f
FirewallRules: [{112A7BFF-E51E-4749-9888-9F135F31B31F}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{B21DFED4-88A2-47D3-9723-CBE8DFEFEFB9}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{476D91B9-F30D-4F42-AE64-13A1C3E605CD}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikHelper.exe
FirewallRules: [{1E7BBB70-D469-42CE-881C-5CA4BBEA95C6}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikHelper.exe
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

**zarko** · 19.05.2016, 07:19

Доброе утро.
Удалила все как Вы посоветовали. Спасибо.

**Vvvyg** · 19.05.2016, 08:46

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**zarko** · 19.05.2016, 13:44

Добрый вечер.

**Vvvyg** · 19.05.2016, 14:59

Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено

Работать без установленного сервис-пака (и последующих обновлений безопасности, коих вышло под сотню, наверное) - совершенно недопустимо. Многие вирусы и трояны используют для внедрения в систему незакрытые уязвимости.
Установите также Internet Explorer 11 даже если им не пользуетесь, это критически важный для безопасности компонент Windows.

Microsoft Silverlight v.4.0.60531.0 Внимание! Скачать обновления

Обновите, или удалите вовсе, особенно не нужна, а уязвимости там серьёзные.

Adobe Flash Player 10 ActiveX v.10.0.42.34 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.1.102.55 Внимание! Скачать обновления
Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

Продукты Adobe нужно либо обновлять автоматически, либо не пользоваться ими вовсе, регулярно в них находят критические уязвимости.

Google Chrome v.37.0.2062.124 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
Yandex v.16.2.0.3539 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Браузеры также непременно должны быть актуальных версий, для безопасности и совместимости.

AntiVir Desktop (включен и устарел)

Антивирус что мешает обновить?

Такое чувство, что с момента установки системы в 2011-м году ничего не обновлялось...

**zarko** · 19.05.2016, 22:03

Добрый вечер.
Вы совершенно правы.
Ноут взяла у родителей, как купили и ничего не обновляли. К интернету не подключали, с текстовыми документами только работали.
Servic Park какой файл нужно в загрузках выбрать.
Я совсем не разбираюсь в этом.
Спасибо за понимание и помощь.

**Vvvyg** · 19.05.2016, 23:18

Выберите при загрузке:

windows6.1-KB976932-X86.exe

После установки сервис-пака включайте автоматическое обновление, поиск обновлений - и устанавливать остальное. Это надолго могут быть и затыки.

**CyberHelper** · 19.05.2016, 23:28

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 20
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\ticno\tabs\ticno tabs.exe - not-a-virus:AdWare.Win32.Agent.gvls

Вирус троян атакует [not-a-virus:AdWare.Win32.Agent.gvls ] (заявка № 200529)

Опции темы