реклама в браузере [not-a-virus:HEUR:Downloader.Win64.Generic, not-a-virus:AdWare.Win32.ELEX.ayh]

[Arika]

Доброго времени суток!
Пользовалась браузером Яндекс, т.к. в хроме постоянно лезла реклама. А вчера сами установились мозилла и хром.
Реклама в яндексе иногда проявляется на разных сайтах, в виде новой вкладки.

Вложения

[Info_bot]

Уважаемый(ая) Arika, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Сомнение]

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\edward\appdata\roaming\sysmon\sysmon.exe');
 TerminateProcessByName('C:\Program Files\d6a67db7b9dd648d39c407894a6ea43d\bec10756b6b695da9d15d74c078fbe07.exe');
 StopService('3fdc15d46222e91f5dc941e16affe404');
 StopService('ed2kidle');
 StopService('FirefoxU');
 StopService('d6a67db7b9dd648d39c407894a6ea43d');
 QuarantineFile('C:\ProgramData\{33D1FDC5-847A-4A6E-BB8F-745A2432836D}\6FCEBC88-D865-0B23-050C-11B5170B3463.exe', '');
 QuarantineFile('C:\ProgramData\{0DEFA87C-BA44-1FD7-56D0-A9D96B553E71}\AC0B7197-1BA0-C63C-9433-FB40BC2BD11E.exe', '');
 QuarantineFile('C:\Program Files (x86)\Ckunash\aruqoward.exe', '');
 QuarantineFile('C:\Users\Edward\AppData\Local\Temp\45E5E908-3D1F7058-8CB33384-76A584B4\g3y6lvd63m.exe', '');
 QuarantineFile('C:\Users\Edward\AppData\Roaming\WinSnare\WinSnare.dll', '');
 QuarantineFile('C:\Program Files (x86)\amuleCe\ed2k.exe', '');
 QuarantineFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\3fdc15d46222e91f5dc941e16affe404.sys', '');
 QuarantineFile('C:\Users\Edward\AppData\Roaming\SysMon\isxdl.dll', '');
 QuarantineFile('c:\programdata\microsoft\office\office_update.dll', '');
 QuarantineFile('c:\programdata\apple\apple application support\support.dll', '');
 QuarantineFile('c:\programdata\apple\apple application support\errorreport.dll', '');
 QuarantineFile('c:\programdata\apple computer\installer cache\setup.dll', '');
 QuarantineFile('c:\users\edward\appdata\roaming\sysmon\sysmon.exe', '');
 QuarantineFile('C:\Program Files\d6a67db7b9dd648d39c407894a6ea43d\bec10756b6b695da9d15d74c078fbe07.exe', '');
 DeleteFile('C:\Program Files\d6a67db7b9dd648d39c407894a6ea43d\bec10756b6b695da9d15d74c078fbe07.exe', '32');
 DeleteFile('C:\Users\Edward\AppData\Roaming\SysMon\isxdl.dll', '32');
 DeleteFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe', '32');
 DeleteFile('C:\Program Files (x86)\amuleCe\ed2k.exe', '32');
 DeleteFile('C:\WINDOWS\system32\drivers\3fdc15d46222e91f5dc941e16affe404.sys', '32');
 DeleteFile('C:\ProgramData\Apple\Apple Application Support\Support.dll', '32');
 DeleteFile('C:\ProgramData\Apple Computer\Installer Cache\setup.dll', '32');
 DeleteFile('C:\ProgramData\Microsoft\Office\office_update.dll', '32');
 DeleteFile('C:\ProgramData\Apple\Apple Application Support\ErrorReport.dll', '32');
 DeleteFile('C:\Users\Edward\AppData\Roaming\WinSnare\WinSnare.dll', '32');
 DeleteFile('C:\Users\Edward\AppData\Local\Temp\45E5E908-3D1F7058-8CB33384-76A584B4\g3y6lvd63m.exe', '32');
 DeleteFile('C:\Program Files (x86)\Ckunash\aruqoward.exe', '32');
 DeleteFile('C:\Users\Edward\AppData\Roaming\SysMon\sysmon.exe', '32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe', '32');
 DeleteFile('C:\ProgramData\{0DEFA87C-BA44-1FD7-56D0-A9D96B553E71}\AC0B7197-1BA0-C63C-9433-FB40BC2BD11E.exe', '32');
 DeleteFile('C:\ProgramData\{33D1FDC5-847A-4A6E-BB8F-745A2432836D}\6FCEBC88-D865-0B23-050C-11B5170B3463.exe', '32');
 DeleteFileMask('C:\Program Files (x86)\amuleCe', '*', true);
 DeleteDirectory('C:\Program Files (x86)\amuleCe');
 DeleteFileMask('C:\Program Files (x86)\Ckunash', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Ckunash');
 DeleteService('3fdc15d46222e91f5dc941e16affe404');
 DeleteService('ed2kidle');
 DeleteService('FirefoxU');
 DeleteService('d6a67db7b9dd648d39c407894a6ea43d');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Apple_Cfg\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\APPLE_svr\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\MSCFG_SVR\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\MS_TASK_SVR\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSnare\Parameters', 'ServiceDll');
 ExecuteFile('schtasks.exe', '/delete /TN "RunAtStartup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{10EC8F40-A747-38EB-345C-A2DD9041855B}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{7F1ED9D8-C8B5-6E73-E26E-922D6DCC527E}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Aneertpocosy Collector" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. "Оптимизатор" Wise Care 365 - рекомендую удалить.

3. Сделайте новые логи AutoLogger'a.

[Arika]

Здравствуйте!
Загрузила карантин, новые логи.
"Оптимизатор" Wise Care 365 не нашла.

[Сомнение]

Здравствуйте!

Вам необходимо:

1. Удалите через "Установку и удаление программ" (если не пользуетесь).

Код:

SearchAY [2016/09/30 15:26:53]-->C:\Users\Edward\AppData\Roaming\SearchAY\uninstall.exe
Skype Click to Call [20161025]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}
UmmyVideoDownloader [20161229]-->"C:\Users\Edward\AppData\Local\UmmyVideoDownloader\unins000.exe"
Unity Web Player [2016/12/29 15:19:32]-->C:\Users\Edward\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
WinSnare [20170208]-->MsiExec.exe /I{6B9B0FDA-3C20-4497-B62A-45102358B3C2}

2. Выполнить следующий скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Program Files (x86)\Wise\Wise Care 365\WiseTray.exe','32');
 DeleteFileMask('C:\Program Files (x86)\Wise', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Wise');
ExecuteFile('schtasks.exe', '/delete /TN "Wise Care 365" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Wise Care 365.job" /F', 0, 15000, true);
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер будет перезагружен.

3. Пофиксите в HiJackThis (используйте тот, который находится в папке с AutoLogger'ом):

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.amisites.com/?type=hp&ts=1486556129&z=370207ccfeaafa7b70e6374g5z5beq0wbwcq2g6o2m&from=archer1028&uid=WDCXWD20EARX-00PASB0_WD-WCAZAA91549515495
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.amisites.com/search/?type=ds&ts=1486556129&z=370207ccfeaafa7b70e6374g5z5beq0wbwcq2g6o2m&from=archer1028&uid=WDCXWD20EARX-00PASB0_WD-WCAZAA91549515495&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amisites.com/?type=hp&ts=1486556129&z=370207ccfeaafa7b70e6374g5z5beq0wbwcq2g6o2m&from=archer1028&uid=WDCXWD20EARX-00PASB0_WD-WCAZAA91549515495
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.amisites.com/search/?type=ds&ts=1486556129&z=370207ccfeaafa7b70e6374g5z5beq0wbwcq2g6o2m&from=archer1028&uid=WDCXWD20EARX-00PASB0_WD-WCAZAA91549515495&q={searchTerms}
O17 - HKLM\System\CSS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\ControlSet001\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178

4. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

[Arika]

здравствуйте, что показали логи?

[Vvvyg]

Результат работы ClearLNK прикрепите и сделайте лог Malwarebytes AdwCleaner.

[Arika]

здравствуйте, прикрепляю результат работы ClearLNK и лог Malwarebytes AdwCleaner.

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[Arika]

реклама все равно появляется, вкладки в хроме постоянно мигают, как будто обновляются

- - - - -Добавлено - - - - -

переустановила хром, вроде все нормально. Сделала новые логи, проверьте пожалуйста

[Сомнение]

Добрый день!

1. Удалите через "установку и удаление программ" (если не пользуетесь):

Код:

Video and Audio Plugin UBar [20160916]-->C:\Program Files\UBar\UbarUninstaller.exe

2. Пофиксите в HiJackThis (используйте тот, который находится в папке с AutoLogger'ом):

Код:

O22 - Ready: {04D14786-B37A-F02D-F1C1-43B57C62E4EA} - C:\ProgramData\{292CFEDC-9E87-4977-9C00-EBE9D561662D}\5BE990F8-EC42-2753-97B4-99B4598B0DA0.exe /run (file missing)
O22 - Ready: {0A6086A8-BDCB-3103-D108-F48BBE98D301} - C:\ProgramData\{47E2B239-F049-0592-D62E-D2956D77790F}\E5030768-52A8-B0C3-38BF-8E741ED785F5.exe /run (file missing)
O22 - Ready: {14B21285-A319-A52E-D40E-6BE55E7B35B0} - C:\ProgramData\{FD59866B-4AF2-31C0-17C8-EC7079844FBE}\E5120D27-52B9-BA8C-B1CE-0F458B9D0B82.exe /run (file missing)
O22 - Ready: {19BDDF82-AE16-6829-CAFF-5704D0F72938} - C:\ProgramData\{D4E3043E-6348-B395-58A1-69024D832156}\8091A2B8-373A-1513-1D8A-5B1C988F741E.exe /run (file missing)
O22 - Ready: {256FAF07-92C4-18AC-28C6-DE27EC2A8542} - C:\ProgramData\{4527EDB9-F28C-5A12-5B13-F35331CCA937}\B1885177-0623-E6DC-CFE7-F4BBE5C5BE15.exe /run (file missing)
O22 - Ready: {4A58BEA1-FDF3-090A-C322-9691FEFA661A} - C:\ProgramData\{460ED299-F1A5-6532-C679-C1A0CD41EA53}\B0B8580A-0713-EFA1-0819-DA2607CF9622.exe /run (file missing)
O22 - Ready: {56A703AA-E10C-B401-8296-0972A01C2201} - C:\ProgramData\{EC8F7F4D-5B24-C8E6-E355-1EEF718345F5}\848F9D5D-3324-2AF6-54E5-D3AA59D0644E.exe /run (file missing)
O22 - Ready: {7CDC094A-CB77-BEE1-28EB-EC6640344774} - C:\ProgramData\{C4ECC1D3-7347-7678-E275-88ADF028BCDB}\DB226007-6C89-D7AC-FACB-89629DEEEAD4.exe /run (file missing)
O22 - Ready: {89FDC336-3E56-749D-9D3C-6BED4F448934} - C:\ProgramData\{7A7DB267-CDD6-05CC-8E19-E2603412D04B}\FC16D74D-4BBD-60E6-8A98-8E94A05F3EC9.exe /run (file missing)
O22 - Ready: {B52CD8F4-0287-6F5F-8B29-F17D56FB4C33} - C:\ProgramData\{9B0FB40B-2CA4-03A0-4929-45ADBF48F811}\77ABD9B7-C000-6E1C-77B1-DDA4D4A66FC7.exe /run (file missing)
O22 - Ready: {B60B8D40-01A0-3AEB-94FF-AB4DFE00806C} - C:\ProgramData\{DA97433C-6D3C-F497-7299-6EEBD76F5254}\2D273784-9A8C-802F-2E6C-B0A65AF2038D.exe /run (file missing)
O22 - Ready: {BB1F53E8-0CB4-E443-8F21-367B59F067E0} - C:\ProgramData\{584A5676-EFE1-E1DD-1241-129B7D42A855}\187D8A73-AFD6-3DD8-329B-61E091AAB087.exe /run (file missing)
O22 - Ready: {BED5C75B-097E-70F0-94A3-AC7824F1BC1A} - C:\ProgramData\{2DDA35A2-9A71-8209-11F5-C96838698D77}\E55E8F6B-52F5-38C0-0DBE-BEA6AF6EE334.exe /run (file missing)
O22 - Ready: {BF011C07-08AA-ABAC-51E3-0B3679E95B5B} - C:\ProgramData\{F1318EA4-469A-390F-E60A-7C8D9EBD7DF7}\72F41310-C55F-A4BB-CF97-37EEFFD364E4.exe /run (file missing)
O22 - Ready: {D7633F32-60C8-8899-1FD9-8E5DB214DB6F} - C:\ProgramData\{A43D8699-1396-3132-EE40-CAE511BDF477}\D1D7B814-667C-0FBF-59ED-16AED4C40F95.exe /run (file missing)
O22 - Ready: {E1C8B440-5663-03EB-C116-283B91EC1A6B} - C:\ProgramData\{D5FE8EE6-6255-394D-755A-43FDB1502002}\EEFBD698-5950-6133-CD9D-62FFF7624AF0.exe /run (file missing)
O22 - Ready: {EA2E48A1-5D85-FF0A-3344-66AB7762BE45} - C:\ProgramData\{8E714530-39DA-F29B-9CEA-3120124DF6FA}\17CF8AA0-A064-3D0B-9A3B-CF43F3BAF21B.exe /run (file missing)

[Arika]

спасибо, вроде все нормально стало

[Сомнение]

Выполните скрипт в AVZ:

Код:

var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
   if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
     if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
        ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
        exit;
       end;
   end;
  if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После работы скрипта, в блокноте откроется файл avz_log.txt со ссылкам на обновление Вашей системы и критичных к безопасности программ, которые нужно загрузить и обновить в первую очередь.
Подробнее также читайте здесь - http://virusinfo.info/showthread.php?t=121902

[Arika]

спасибо большое за помощь

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\firefox\bin\firefoxupdate.exe - not-a-virus:AdWare.Win32.ELEX.ayh
  2. c:\program files\d6a67db7b9dd648d39c407894a6ea43d\bec10756b6b 695da9d15d74c078fbe07.exe - not-a-virus:HEUR:Downloader.Win64.Generic
  3. c:\programdata\apple\apple application support\support.dll - not-a-virus:AdWare.Win32.ELEX.ban
  4. c:\windows\system32\drivers\3fdc15d46222e91f5dc941 e16affe404.sys - not-a-virus:NetTool.Win64.NetFilter.rb