Мышка стала себя странно вести [not-a-virus:WebToolbar.Win32.Agent.adxm, Trojan.NSIS.Agent.qs ]

**Lapaka** · 26.12.2016, 12:21

Помогите пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.12.2016, 12:22

Уважаемый(ая) Lapaka, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 27.12.2016, 01:21

Здравствуйте,

HiJackThis (из каталога автологгера) профиксить

Код:

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - (no file)
O3 - Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O3 - Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [4D73331A892AAD1487F48640286931BBSB] "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --safebrowser
O4 - HKLM\..\Policies\Explorer\Run: [AA2E053C-02C8-4CC3-BE66-675A785BF937] "C:\ProgramData\Microsoft\Adobe\Flash Player\AA2E053C-02C8-4CC3-BE66-675A785BF937\7E285C33-5B99-43BB-8BF7-2122D3EBE01C.exe" -startup
O4-32 - HKLM\..\Policies\Explorer\Run: [4D73331A892AAD1487F48640286931BBSB] "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --safebrowser
O4-32 - HKLM\..\Policies\Explorer\Run: [AA2E053C-02C8-4CC3-BE66-675A785BF937] "C:\ProgramData\Microsoft\Adobe\Flash Player\AA2E053C-02C8-4CC3-BE66-675A785BF937\7E285C33-5B99-43BB-8BF7-2122D3EBE01C.exe" -startup
O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - ScheduledTask: (Ready) 4D73331A892AAD1487F48640286931BB - \Microsoft - "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --setresetup
O22 - ScheduledTask: (Ready) 4D73331A892AAD1487F48640286931BB - \Microsoft\Windows - "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --setresetup
O22 - ScheduledTask: (Ready) 4D73331A892AAD1487F48640286931BBSB - \Microsoft - "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) 4D73331A892AAD1487F48640286931BBSB - \Microsoft\Windows - "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) AAA2E053C-02C8-4CC3-BE66-675A785BF937 - \Microsoft\Windows - "C:\ProgramData\Microsoft\Adobe\Flash Player\AA2E053C-02C8-4CC3-BE66-675A785BF937\7E285C33-5B99-43BB-8BF7-2122D3EBE01C.exe" -startup
O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 StopService('QMUdisk');
 StopService('TS888x64');
 DeleteService('TS888x64');
 DeleteService('QMUdisk');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\AA2E053C-02C8-4CC3-BE66-675A785BF937\7E285C33-5B99-43BB-8BF7-2122D3EBE01C.exe','');
 QuarantineFile('C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe','');
 QuarantineFile('D:\china\QQPCMgr\8.11.11347.801\QMUdisk64.sys','');
 QuarantineFile('D:\china\QQPCMgr\8.11.11347.801\TS888x64.sys','');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\AA2E053C-02C8-4CC3-BE66-675A785BF937\7E285C33-5B99-43BB-8BF7-2122D3EBE01C.exe','32');
 DeleteFile('C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\4D73331A892AAD1487F48640286931BB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\4D73331A892AAD1487F48640286931BBSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\4D73331A892AAD1487F48640286931BB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\4D73331A892AAD1487F48640286931BBSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AAA2E053C-02C8-4CC3-BE66-675A785BF937" /F', 0, 15000, true);
 DeleteFile('D:\china\QQPCMgr\8.11.11347.801\QMUdisk64.sys','32');
 DeleteFile('D:\china\QQPCMgr\8.11.11347.801\TS888x64.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4D73331A892AAD1487F48640286931BBSB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AA2E053C-02C8-4CC3-BE66-675A785BF937');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Lapaka** · 27.12.2016, 10:48

Первое сканирование adw cleaner указало 100 угроз,полез делать без вас.Сегодня все делал по вашим инструкциям показало 5 угроз.Отправил файл карантин avz вверху темы и прилагаю отчет adw cleaner.

SQ · 27.12.2016, 18:00

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Lapaka** · 27.12.2016, 18:31

- - - - -Добавлено - - - - -

Сообщение от SQ

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Вот

SQ · 27.12.2016, 21:30

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Lapaka** · 28.12.2016, 02:41

Сообщение от SQ

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Пожалуйста

SQ · 28.12.2016, 09:52

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKU\S-1-5-21-2475403359-1627666026-843900035-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (News Tab) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-09-08]
OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-10-06]
OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2016-11-28]
OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-11-14]
OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-12-23]
OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-12-20]
S3 TesSafe; C:\Windows\system32\TesSafe.sys [910992 2015-10-18] (TENCENT)
2016-08-27 21:13 - 2016-08-27 21:13 - 0000016 _____ () C:\ProgramData\mntemp
2016-08-27 21:13 - 2016-08-27 21:13 - 0005116 _____ () C:\ProgramData\rxsmznjf.zcp
AlternateDataStreams: C:\Users\Алексей\Local Settings:wa [178]
AlternateDataStreams: C:\Users\Алексей\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\Алексей\AppData\Local\Application Data:wa [178]
FirewallRules: [{FDA7896A-3E1B-4E4B-9FEA-BCA59A172FBB}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\78ec69e9845f110c88173c9cfdcfb619\teniodl\teniodl.exe
FirewallRules: [{5FEF1FF9-CDC7-445B-B101-A636B21189B8}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\78ec69e9845f110c88173c9cfdcfb619\teniodl\teniodl.exe
FirewallRules: [{7B0EF580-6141-4336-A924-5CBDE6A23FD7}] => C:\Users\Алексей\AppData\Roaming\Tencent\剑灵\78EC69E9845F110C88173C9CFDCFB619\TenioDL\TenioDL.exe
FirewallRules: [{D2CFDD30-DE86-4E9B-B2FA-472A751E23ED}] => C:\Users\Алексей\AppData\Roaming\Tencent\剑灵\78EC69E9845F110C88173C9CFDCFB619\TenioDL\TenioDL.exe
FirewallRules: [{345B42F5-420C-4459-AE12-06AA5804B5DB}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\b63babdd09351f1c824263f071a003fe\teniodl\teniodl.exe
FirewallRules: [{1E92439D-23AE-4F5D-8248-184CA069D6BA}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\b63babdd09351f1c824263f071a003fe\teniodl\teniodl.exe
FirewallRules: [{8DC059A3-AD19-40BB-9DCA-8579036C0A6C}] => C:\program files (x86)\common files\tencent\qqvipdownloader\124\tencentdl.exe
FirewallRules: [{92E6E269-B831-44E3-BA3E-F022E2569793}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\3bdce7ecfdd6b9bfb73931c9c6596e3a\teniodl\teniodl.exe
FirewallRules: [{1DCB3ACF-3E6A-48E8-8B36-4E06A783942A}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\3bdce7ecfdd6b9bfb73931c9c6596e3a\teniodl\teniodl.exe
FirewallRules: [{CEDB67C9-3DA6-4C27-B0DC-881706A001E9}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\e51960b76388d88506decd9f87ae8a22\teniodl\teniodl.exe
FirewallRules: [{BC2EB5FE-DE0E-4D69-BC6A-A20D041FFEF4}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\e51960b76388d88506decd9f87ae8a22\teniodl\teniodl.exe
FirewallRules: [{978F44AD-9D23-4BE5-9AA9-44BD7A0F3A5C}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\531a1da6996cd6cd9f26e56718316e4c\teniodl\teniodl.exe
FirewallRules: [{699DA06F-1F61-49DE-B36C-6A27B903ACFE}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\531a1da6996cd6cd9f26e56718316e4c\teniodl\teniodl.exe
FirewallRules: [{FB23A5FE-6801-4A44-BA1C-8A664C84C3E4}] => C:\program files (x86)\common files\tencent\qqdownload\125\tencentdl.exe
FirewallRules: [{2179C1C2-6A8E-48D6-AF9B-FFBDEC5FC807}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\5dccbd9307d8f58be633d16f88edf0df\teniodl\teniodl.exe
FirewallRules: [{09CF4FA4-D790-4645-BFA0-6645F733CB84}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\5dccbd9307d8f58be633d16f88edf0df\teniodl\teniodl.exe
FirewallRules: [{2AD87B29-CA87-4856-AF38-6AA969565161}] => C:\program files (x86)\common files\tencent\qqdownload\125\tencentdl.exe
FirewallRules: [{E892C643-C6E8-46B5-96F1-56677EED4885}] => C:\program files (x86)\common files\tencent\qqdownload\125\tencentdl.exe
FirewallRules: [{E484D514-0910-414E-B051-E34D068F58E0}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\611af4ce883ed162e2bddae6fb53ef3e\teniodl\teniodl.exe
FirewallRules: [{5BA1726C-A51A-4571-83FF-FCD0F01D37E7}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\611af4ce883ed162e2bddae6fb53ef3e\teniodl\teniodl.exe
FirewallRules: [{780297E9-E597-4742-BAA2-BCA0662A5783}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\255240587b42df1193ddd2bc236ce21e\teniodl\teniodl.exe
FirewallRules: [{A4AC9218-802A-4F06-B8B7-06FD3984D68E}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\255240587b42df1193ddd2bc236ce21e\teniodl\teniodl.exe
FirewallRules: [{B8F3FB7E-6A04-420C-91DE-29A3AE0D9E73}] => C:\program files (x86)\common files\tencent\qqdownload\125\tencentdl.exe
FirewallRules: [{3894DF3C-3875-4ECD-8578-EC505AA3D8A8}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\111811754df9d6e6cad50ffd87bbf58a\teniodl\teniodl.exe
FirewallRules: [{E4A07BC7-9EAC-4C1F-9D58-B4DCE4B79EE1}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\111811754df9d6e6cad50ffd87bbf58a\teniodl\teniodl.exe
FirewallRules: [{567C2732-519A-490E-AB98-F2A82226A285}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\a085f394a39500d7fcb0b8bdf33c53a3\teniodl\teniodl.exe
FirewallRules: [{89233F93-D9F0-4624-BF12-D78A4DF8D720}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\a085f394a39500d7fcb0b8bdf33c53a3\teniodl\teniodl.exe
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Lapaka** · 28.12.2016, 11:40

Вот

SQ · 29.12.2016, 01:39

Сообщите, что с проблемой?

**Lapaka** · 29.12.2016, 06:07

Сообщение от SQ

Сообщите, что с проблемой?

Закрывайте тему,спасибо за помощь.

SQ · 29.12.2016, 09:39

Удачи Вам!

**CyberHelper** · 29.12.2016, 09:49

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\users\алексей\appdata\local\microsoft\49fbb31e9 cdf1743cb40f92adbb826bd\6931bb8204684f7841daa298a1 4d7333.exe - not-a-virus:WebToolbar.Win32.Agent.adxm

Мышка стала себя странно вести [not-a-virus:WebToolbar.Win32.Agent.adxm, Trojan.NSIS.Agent.qs ] (заявка № 207419)

Опции темы