Вирус Блокирует активный экран антивируса... [not-a-virus:HEUR:AdWare.Win32.ELEX.gen, not-a-virus:AdWare.Win32.ELEX.apd ]

**Salenoid** · 25.01.2017, 06:55

Странная зараза, не могу удалить. (Победить) Знакомые принесли "полечить" компьютер.

Из "Live" системы просканировал систему "UVS"-ом v.3.87.0, далее загрузился в установленную систему (Windows 7 Домашняя Расширенная х64 с лицензией от магазина ДНС) и просканировал ее "Dr.Web Cureit", было устранено 5-6 проблем при быстром сканировнии и 46 проблем при полном. Далее прогнал "AVZ" с обновленными базами (без скриптов), перезагрузил, подключил интернет, стал ждать обновления и чистить систему от ненужного мусора. Мало того что " Microsoft Security Essentials" так и не захотел обновляться, так еще через какое то время Отключил активный экран. Списав это дело на результат уже поработавшего вируса, переустановил " Microsoft Security Essentials" на "Avast Free". После установки "Avast Free" тоже повел себя подозрительно, ошибки при Интеллектуальной проверке и отключение Активного экрана.

Заметил что экраны на "Avast Free" отрубаются при запуске "Firefox Mozilla". Попытался удалить ее ("Firefox Mozilla") однако не нашел ее в установке-удалении программ. Отключил интернет, повторное сканирование "Dr.Web Cureit" выявило еще 33 проблемы. Чувствую зверюга какая то хитрая, незнакомая, один не поборю. Помогите...

Так же, при попытке очистить диск средствами Windows, после перезагрузки и экрана "Не выключайте компьютер идет очистка" вываливается сообщение "Не удалось настроить обновления Windows Выполняется отмена изменений Не выключайте компьютер."

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.01.2017, 06:56

Уважаемый(ая) Salenoid, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 25.01.2017, 11:53

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe','');
 QuarantineFile('C:\Program Files (x86)\Philuent\plonuther.exe','');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe','');
 QuarantineFile('http:\api.mhttxtv.com\stm3250318as_9vm26w82xxxx9vm26w82.exe','');
 QuarantineFile('C:\ProgramData\VideoFetcher\VideoFetcher.exe','');
 QuarantineFile('C:\Program Files (x86)\Retekphagisy Log\local64spl.dll','');
 QuarantineFile('C:\Users\galy\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010093\gmsd_ru_005010093.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010092\gmsd_ru_005010092.exe','');
 QuarantineFile('C:\Users\galy\AppData\Roaming\DRPSu\DrvUpdater.exe','');
 QuarantineFile('C:\Users\galy\AppData\Local\Kometa\kometaup.exe','');
 QuarantineFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','');
 QuarantineFile('C:\Windows\system32\drivers\aswHdsKe.sys','');
 StopService('iThemes5');
 DeleteService('iThemes5');
 QuarantineFile('c:\programdata\winsapsvc\winsap.dll','');
 QuarantineFile('c:\programdata\microsoft\identitycrl\ppcrlconf.dll','');
 QuarantineFile('c:\program files (x86)\winarcher\archer.dll','');
 QuarantineFile('c:\program files (x86)\gubed\gubedzl.dll','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','');
 QuarantineFile('C:\Program Files (x86)\Applefat\Application\chrome_child.dll','');
 QuarantineFile('C:\Program Files (x86)\Applefat\Application\chrome.dll','');
 DeleteFile('c:\program files (x86)\gubed\gubedzl.dll','32');
 DeleteFile('c:\program files (x86)\winarcher\archer.dll','32');
 DeleteFile('c:\programdata\microsoft\identitycrl\ppcrlconf.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Archer\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\GubedZL\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MSLN\Parameters','ServiceDll');
 DeleteFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
 DeleteFile('C:\Users\galy\AppData\Local\Kometa\kometaup.exe','32');
 DeleteFile('C:\Users\galy\AppData\Roaming\DRPSu\DrvUpdater.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DrvUpdater','command');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010092\gmsd_ru_005010092.exe','32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010093\gmsd_ru_005010093.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010092','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010093','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb','command');
 DeleteFile('C:\Users\galy\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\ProgramData\VideoFetcher\VideoFetcher.exe','32');
 DeleteFile('http:\api.mhttxtv.com\stm3250318as_9vm26w82xxxx9vm26w82.exe','32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe','32');
 DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','32');
 DeleteFile('C:\Program Files (x86)\Philuent\plonuther.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "VideoFetcher" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Retekphagisy Log" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WinTOOL" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\galy\AppData\Local\Kometa', '*', true);
 DeleteDirectory('C:\Users\galy\AppData\Local\Kometa');
 DeleteFileMask('C:\Program Files (x86)\Philuent', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Philuent');
 DeleteFileMask('C:\ProgramData\VideoFetcher', '*', true);
 DeleteDirectory('C:\ProgramData\VideoFetcher');
 DeleteFileMask('c:\program files (x86)\winarcher', '*', true);
 DeleteDirectory('c:\program files (x86)\winarcher');
 DeleteFileMask('c:\program files (x86)\gubed', '*', true);
 DeleteDirectory('c:\program files (x86)\gubed');
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Пофиксите в HiJackThis (используйте тот, который находится в папке с AutoLogger'ом):

Код:

O4 - MSConfig\startupreg:  [SmartWeb] C:\Users\galy\AppData\Local\SmartWeb\SmartWebHelper.exe (2015/09/21)
O4 - MSConfig\startupfolder: C:^Users^galy^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk - C:\Windows\pss\SmartWeb.lnk.Startup (2015/09/21)
O4 - MSConfig\startupreg:  [gmsd_ru_005010092] "C:\Program Files (x86)\gmsd_ru_005010092\gmsd_ru_005010092.exe" (2015/09/21)
O4 - MSConfig\startupreg:  [gmsd_ru_005010093] "C:\Program Files (x86)\gmsd_ru_005010093\gmsd_ru_005010093.exe" (2015/09/21)
O4 - MSConfig\startupreg:  [kometaup] C:\Users\galy\AppData\Local\Kometa\kometaup.exe --windows-start (2015/09/21)
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O23 - Service R3: iThemes5 - (iThemes5) - Microsoft Corporation - rundll32 "C:\Program Files (x86)\Common Files\Services\iThemes.dll",fnde_svr.exe (file missing)

3. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

4.Сделайте и пришлите в ответном сообщении лог AdwCleaner и новый лог AutoLogger'a.

**Salenoid** · 27.01.2017, 18:36

Карантин положил в кнопку "Прислать запрошенный карантин", логи прикрепляю ниже...

**Сомнение** · 29.01.2017, 13:29

1. Выполните скрипт в AVZ:

Код:

begin
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
end.

2. Удалите все найденное AdwCleaner'ом.
Потребуется перезагрузка компьютера. Лог сформированный после удаления предоставьте в ответном сообщении.

**Salenoid** · 01.02.2017, 08:07

Сообщение от Сомнение

1. Выполните скрипт в AVZ:
2. Удалите все найденное AdwCleaner'ом.
Потребуется перезагрузка компьютера. Лог сформированный после удаления предоставьте в ответном сообщении.

Лог прилагается.

**Сомнение** · 01.02.2017, 14:31

Что с проблемой сейчас ?

**Сомнение** · 03.02.2017, 20:24

Что с проблемой?

**Salenoid** · 05.02.2017, 17:55

Сообщение от Сомнение

Что с проблемой сейчас ?

Все в норме, Спасибо. Просто думал будут еще инструкции, по тому молчал...

**CyberHelper** · 05.02.2017, 18:05

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\common files\services\ithemes.dll - not-a-virus:AdWare.Win32.ELEX.apd
2. c:\program files (x86)\winarcher\archer.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
3. c:\programdata\winsapsvc\winsap.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen

Вирус Блокирует активный экран антивируса... [not-a-virus:HEUR:AdWare.Win32.ELEX.gen, not-a-virus:AdWare.Win32.ELEX.apd ] (заявка № 208550)

Опции темы