Браузер [not-a-virus:AdWare.Win32.ELEX.aon, not-a-virus:AdWare.Win32.ELEX.aoe ]

**Montecristo001** · 15.01.2017, 01:11

Добрый вечер. Гугл хром, переодически открывает сам по себе ссылки с рекламой и прочие сайты

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.01.2017, 01:13

Уважаемый(ая) Montecristo001, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 15.01.2017, 04:11

Здравствуйте !!!

отключите антивирусную программу

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  StopService('ed2kidle');
  QuarantineFile('C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe','');
  QuarantineFile('C:\ProgramData\hdtask\hdtask.exe','');
  QuarantineFile('C:\Program Files\70275b68e7de2aadc45b073df2e606bf\63ab8ba8e512d028de0090223e419146.exe','');
  QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','');
  QuarantineFile('C:\Program Files (x86)\amuleC\ed2k.exe','');
  QuarantineFile('c:\program files (x86)\reekicult\erlnodifier.dll','');
  QuarantineFile('c:\program files (x86)\gubed\gubedzl.dll','');
  DeleteFile('c:\program files (x86)\reekicult\erlnodifier.dll','32');
  DeleteFile('C:\Program Files (x86)\amuleC\ed2k.exe','32');
  DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','32');
  DeleteFile('C:\Program Files\70275b68e7de2aadc45b073df2e606bf\63ab8ba8e512d028de0090223e419146.exe','32');
  DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe','32');
  DeleteFile('C:\ProgramData\hdtask\hdtask.exe','32');
  DeleteFile('C:\Program Files (x86)\Gubed\GubedZL.dll','32');
  DeleteFile('C:\Users\Кирилл\AppData\LocalLow\SearchGo\searchgo.dll','32');
  ExecuteFile('schtasks.exe', '/delete /TN "InternetB" /F', 0, 15000, true);
  DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','oeqgnqszse');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hdtask');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\GubedZL\Parameters','ServiceDll');
  DeleteService('iSafeService');
  DeleteService('2a4af2b5b77fac40997532803bdd913d');
  DeleteService('iThemes5');
  DeleteService('ed2kidle');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

+

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

**Montecristo001** · 15.01.2017, 05:54

Готово.

**mrak74** · 15.01.2017, 06:31

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Montecristo001** · 15.01.2017, 14:26

готово.

**mrak74** · 15.01.2017, 17:53

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1743673106-1889610002-2306830271-1000\...\MountPoints2: {1ff12210-e8fb-11e5-8a3c-8c89a5c1ae25} - G:\Lenovo_Suite.exe
HKU\S-1-5-21-1743673106-1889610002-2306830271-1000\...\MountPoints2: {4aad2833-6d33-11e6-94a5-8c89a5c1ae25} - H:\setup.exe
HKU\S-1-5-21-1743673106-1889610002-2306830271-1000\...\MountPoints2: {4aad28f9-6d33-11e6-94a5-8c89a5c1ae25} - I:\vs_professional.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Profile: C:\Users\Кирилл\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-15] <==== ATTENTION
CHR Extension: (The Safe Surfing) - C:\Users\Кирилл\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-12-02]
OPR Extension: (The Safe Surfing) - C:\Users\Кирилл\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-12-02]
Task: {36C5E3B5-BF64-4CF7-952C-59714A02973F} - \PowerMonitor -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [200]
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Montecristo001** · 15.01.2017, 21:17

готово.

**mrak74** · 15.01.2017, 21:19

Что с проблемой ?

**Montecristo001** · 15.01.2017, 21:26

гугл хром был заражен, поэтому удален, сейчас сижу с эксплорера пока все хорошо, никаких проблем нет, сейчас думаю скачать хром.

**mrak74** · 15.01.2017, 22:30

Сообщение от Montecristo001

сейчас думаю скачать хром.

Скачайте, проверьте проблему.

**Montecristo001** · 16.01.2017, 12:14

проблемы нет, спасибо большое за помощь!

**CyberHelper** · 16.01.2017, 12:24

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 11
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\common files\services\ithemes.dll - not-a-virus:AdWare.Win32.ELEX.aoe
2. c:\program files (x86)\gubed\gubedzl.dll - not-a-virus:AdWare.Win32.ELEX.aon ( BitDefender: Gen:Trojan.Heur2.LP.iu4@aSaxZXhi )
3. c:\program files\70275b68e7de2aadc45b073df2e606bf\63ab8ba8e51 2d028de0090223e419146.exe - not-a-virus:Downloader.Win64.Wajam.avu