Очень странный malware или вирус

**Alexey266** · 05.01.2017, 02:35

Сегодня получил какую ту фигню и в течении 20 или болие минут отрываться разные сайты через microsoft edge windows 10 с рекламой. Побывал все что угодно от нескольких антивирусов (AVG premium trial YAC Avast free Drwebcurelt) до всех возможных антимелверов (Antimalware bytes, Ad cleaner hjacker hunter Hitman Yac AVZ) в ccleaner смотрел автозагрузку нечиво подозрительного не нашел пробывал чистит microsoft edge результата не дало удалил его и после етого начало периодически выдавать ошибку

http://newcityinworld.ru/gvotesm

http://newcityinworld.ru/gvotesm

Сбой при удаленном вызове процедуры

Огромная просьба помочь мне. За ранее огромное спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.01.2017, 02:36

Уважаемый(ая) Alexey266, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Alexey266** · 05.01.2017, 02:47

script ver. 2016.10.22
Используется локализация на русском языке.
Второй этап сбора логов запустили в 2017.01.05-01:44:03
E:\Games\AutoLogger\
C:\Users\CD86~1\AppData\Local\Temp\
Работа скрипта продолжится через 20 секунд...
Ключ для создания дампов при аварийном завершении программ добавлен.
Параметр для тихого создания дампов при аварийном завершении программ добавлен.
AppXq0fevzme2pys62n3e0fbqa7peapykr8v браузер по умолчанию.
AppXq0fevzme2pys62n3e0fbqa7peapykr8v завершилось вернув код 0
iexplore.exe завершилось вернув код 1
Сейчас будет выполнено сканирование HiJackThis fork (SZ team). Время запуска 2017.01.05-01:46:12
HijackThis завершилось вернув код 0
Сейчас будет выполнено сканирование RSIT. Время запуска 2017.01.05-01:46:16
RSIT завершилось вернув код 0
Сейчас будет выполнено сканирование Check Browsers LNK. Время запуска 2017.01.05-01:46:42
Check Browsers LNK завершилось вернув код 0
Сканирование Check Browsers LNK завершено.
Сейчас логи будут упакованы в архив. Текущее время 2017.01.05-01:46:44
Папки последних логов не существует или она пустая.
Файл E:\Games\AutoLogger\CollectionLog-2017.01.05-01.46\Check_Browsers_LNK.log, результат архивации = 0
Файл E:\Games\AutoLogger\CollectionLog-2017.01.05-01.46\HiJackThis.log, результат архивации = 0
Файл E:\Games\AutoLogger\CollectionLog-2017.01.05-01.46\info.txt, результат архивации = 0
Файл E:\Games\AutoLogger\CollectionLog-2017.01.05-01.46\log.txt, результат архивации = 0
Файл E:\Games\AutoLogger\CollectionLog-2017.01.05-01.46\reportCrashDumps.log, результат архивации = 0
Файл E:\Games\AutoLogger\CollectionLog-2017.01.05-01.46\virusinfo_syscheck.zip, результат архивации = 0
Ключ для создания дампов при аварийном завершении программ удалён.
Параметр для тихого создания дампов при аварийном завершении программ удалён.

**thyrex** · 05.01.2017, 07:26

Перечитайте правила и пришлите нужные логи

**Alexey266** · 05.01.2017, 15:25

Сообщение от thyrex

Перечитайте правила и пришлите нужные логи

Файл во вложении

**mrak74** · 07.01.2017, 04:49

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Users\Алексей\AppData\Roaming\bestsalesprofit\updater.py','');
  QuarantineFile('C:\Users\Алексей\AppData\Roaming\bestsalesprofit\python\pythonw.exe','');
  QuarantineFile('C:\Users\Алексей\AppData\Roaming\bestsalesprofit\ml.py','');
  DeleteFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','32');
  DeleteFile('C:\Users\Алексей\AppData\Roaming\bestsalesprofit\ml.py','32');
  DeleteFile('C:\WINDOWS\system32\Tasks\bestsalesprofit','64');
  DeleteFile('C:\Users\Алексей\AppData\Roaming\bestsalesprofit\python\pythonw.exe','32');
  DeleteFile('C:\Users\Алексей\AppData\Roaming\bestsalesprofit\updater.py','32');
  DeleteFile('C:\WINDOWS\system32\Tasks\bestsalesprofit2','64');
  DeleteFile('C:\WINDOWS\system32\Tasks\newcityinworld','64');
  ExecuteFile('schtasks.exe', '/delete /TN "newcityinworld" /F', 0, 15000, true);
  DelBHO('{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}');
  DeleteService('Ghostery Storage Server');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки.

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

**Alexey266** · 10.01.2017, 14:36

Здравствуйте спасибо за помощь но я раньше сам решил проблему проблема что с сайта RG Mechanics само вписывало в планировщик задач чтоб каждые 25 минут мне открывалась разнообразие проплачиваемых страниц просто удалив эту задачу я решил проблему но все равно спасибо!

Очень странный malware или вирус (заявка № 207711)

Опции темы