Outstartpage и FVP [Trojan.Win32.Crypt.wnc, not-a-virus:AdWare.Win32.Foxum.m ]

**Sickpc** · 02.01.2017, 21:08

Здравствуйте, помогите пожалуйста.
Появилась не меняемая стартовая страница, поисковик по умолчанию так же не поддается смене.
Самостоятельное лечение результатов не дало.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.01.2017, 21:09

Уважаемый(ая) Sickpc, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 03.01.2017, 04:02

Здравствуйте !!!

отключите антивирусную программу

Пофиксите в HijackThis: (в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  TerminateProcessByName('c:\program files (x86)\firefox\bin\firefoxupdate.exe');
  TerminateProcessByName('c:\program files (x86)\firefox\bin\firefoxcommand.exe');
  TerminateProcessByName('c:\program files (x86)\goldlarry\application\chrome.exe');
  QuarantineFile('C:\Program Files (x86)\Common Files\90D9822F-8945-41A1-AD2D-88EDE0D2FA80\3FC2DCF5-3E63-4627-9BA3-671D66113B1F.exe','');
  QuarantineFile('C:\Program Files (x86)\Goldlarry\Update\GoldlarryUpdate.exe','');
  QuarantineFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe','');
  QuarantineFile('c:\program files (x86)\firefox\bin\firefoxcommand.exe','');
  QuarantineFile('c:\program files (x86)\goldlarry\application\chrome.exe','');
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

+

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Просьба, самостоятельно AdwCleaner-ом пока что ничего не удалять !!!

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

**Sickpc** · 03.01.2017, 06:50

Здравствуйте, не смог выполнить этап с фиксом в HijackThis.
В соответствии с примером пытаюсь задать код, но не уверен что ввожу нужный элемент кода в строку.
Пытался эту часть "D5FEC983-01DB-414A-9456-AF95AC9ED7B5" отправить в поле, получаю ответ, что такая служба не зарегистрирована.

**mrak74** · 03.01.2017, 07:49

Пропустите действия с HijackThis, остальное выполняйте.

**Sickpc** · 03.01.2017, 10:59

Все выполнил.

**mrak74** · 03.01.2017, 17:49

И так, подозрение подтвердилось, ваши браузеры хром и мозила фальшивки, копии браузеров, но уже с интегрированной функцией показа рекламы. Переделывать чей то код сложно и почти невозможно, просто удалите их сначала через установку удаления программ, потом сделаете новый лог adwcleaner, зачистите в нем все.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Приложите отчет Adwcleaner-а после удаления, дальше будем решать, что делать.

Браузеры Вам придется поставить новые, скачанные с официальных сайтов, никаких сборок, реплик, копий.

Найдена папка: C:\Program Files (x86)\Goldlarry
Найдена папка: C:\Program Files (x86)\Firefox

В подтверждение моих слов, программа Adwcleaner обнаружила в Ваших браузерах рекламный контент. Жду новых логов.

**Sickpc** · 03.01.2017, 21:41

Готово

**mrak74** · 03.01.2017, 21:42

Нормальные браузеры установили, проблема с рекламой наблюдается ?

**Sickpc** · 03.01.2017, 21:49

Установил, проблем не наблюдаю. Спасибо за помощь.

**mrak74** · 03.01.2017, 21:54

Пожалуйста !!!

**CyberHelper** · 03.01.2017, 22:04

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\firefox\bin\firefoxcommand.exe - not-a-virus:AdWare.Win32.Foxum.m
2. c:\program files (x86)\firefox\bin\firefoxupdate.exe - Trojan.Win32.Crypt.wnc
3. c:\program files (x86)\goldlarry\update\goldlarryupdate.exe - not-a-virus:HEUR:AdWare.Win32.Elex.gen

Outstartpage и FVP [Trojan.Win32.Crypt.wnc, not-a-virus:AdWare.Win32.Foxum.m ] (заявка № 207627)

Опции темы