Вирус подменяет браузеры Firefox и Chrome

**Quexy** · 13.03.2017, 18:37

В общем то сабж Вирус подменяет браузеры Firefox и Chrome(только на них заметил)
Постоянно пытается запуститься FirefoxUpdate, но Нод32 блочит. Удалял, всё что связанно с этим процессом, но файла появляются опять.
Антивирус- ESET SS

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.03.2017, 18:41

Уважаемый(ая) Quexy, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Quexy** · 13.03.2017, 20:50

Не знаю, важно или нет, но:
Мазила не запускается(профиль повреждён). Запуск возможен командой firefox.exe -p там нажимаю на запустить браузер. никаких подмен нет. левые сайты не лезут.
Хром запускается, но исчезла вся история, пароли, логины и т.д. Пытается запустить сайт istatic.eshopcomp.com и поиск(хотя в настройках выставлен гугл и другие отсутствуют) происходит на каком-то левом сайте.
Как-то получилось запустить хром нестандартно(не вспомню уже как)- появилась опять история, логины. Т.е. похоже, что этими заменами запускаются другие профили.
В IE и Microsoft Edge изменений не заметил(не особо и пользуюсь)

- - - - -Добавлено - - - - -

ну и сразу MD5 карантина: 927BFF70B9596B72BAD5641B00ED4927

**Vvvyg** · 16.03.2017, 07:16

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 TerminateProcessByName('c:\program files\firefox\bin\firefoxupdate.exe');
 StopService('FirefoxU');
 QuarantineFile('c:\program files\firefox\bin\firefoxupdate.exe', '');
 QuarantineFile('c:\users\pasha\appdata\roaming\winsnare\winsnare.dll', '');
 QuarantineFile('C:\Program Files\amulell\ed2k.exe', '');
 QuarantineFile('C:\Users\Pasha\AppData\Roaming\WinSAPSvc\WinSAP.dll', '');
 QuarantineFile('C:\Program Files\MIO\MIO.exe', '');
 QuarantineFile('C:\Program Files\Mehition\xdruverph.exe', '');
 DeleteFile('c:\program files\firefox\bin\firefoxupdate.exe', '32');
 DeleteFile('c:\users\pasha\appdata\roaming\winsnare\winsnare.dll', '32');
 DeleteFile('C:\Program Files\amulell\ed2k.exe', '32');
 DeleteFile('C:\Users\Pasha\AppData\Roaming\WinSAPSvc\WinSAP.dll', '32');
 DeleteFile('C:\Program Files\MIO\MIO.exe', '32');
 DeleteFile('C:\Program Files\Mehition\xdruverph.exe', '32');
 DeleteService('FirefoxU');
 DeleteService('ed2kidle');
 DeleteFileMask('c:\users\pasha\appdata\roaming\winsnare', '*', true);
 DeleteFileMask('c:\program files\amulell', '*', true);
 DeleteFileMask('c:\program files\mio', '*', true);
 DeleteFileMask('c:\program files\firefox\bin', '*', true);
 DeleteFileMask('c:\program files\mehition', '*', true);
 DeleteDirectory('c:\users\pasha\appdata\roaming\winsnare');
 DeleteDirectory('c:\program files\amulell');
 DeleteDirectory('c:\program files\firefox\bin');
 DeleteDirectory('c:\program files\mio');
 DeleteDirectory('c:\program files\mehition');
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Rerqit" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Zerkkvo Nodifier" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSnare\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Запустите повторно Malwarebytes AdwCleaner (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), /B]". Установите в пункте меню "Настройки" (Settings) галочку "Сброс политик Chrome" .
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Переустановите браузеры и сообщите, что с проблемами.

**Quexy** · 16.03.2017, 18:29

Карантин выслал. Проблем пока не замечено. Вроде компьютер даже легче работать стал. Возможно и плацебо.
Спасибо огромное!
З.Ы. AVZ Удаляет Маил.ру Агента

**Vvvyg** · 16.03.2017, 19:28

Не AVZ, а AdwCleaner, наверное. Пихают продукты Mail.Ru куда надо и куда не надо, вот причислили их к adware и PUP. Что не надо удалять по Вашему мнению - снимите перед очисткой соответствующие галочки на вкладке "Файлы". Файл AdwCleaner[C0].txt прикрепите.

**Quexy** · 17.03.2017, 00:18

Да, AdwCleaner. Перепутал.
Снимать галочки поздно. всё удалил.

**Vvvyg** · 17.03.2017, 06:51

Я просил файл AdwCleaner[C0].txt просил прикрепить.

Запустите AdwCleaner и нажмите Файл -> Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.