Неудаляемый Offsaleprofit

**anesthesia** · 28.03.2017, 22:04

Доброго времени суток!
Прошу помочь мне с такой проблемой: в Chrome поселилось вредное расширение, именуемое Offsaleprofit, которое никак не удаётся удалить. Вместе с тем оно делает мелкие пакости, как, например, заменяет домашнюю страницу на свой вкус, предлагает левые поисковые системы и т.д.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.03.2017, 22:05

Уважаемый(ая) anesthesia, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 29.03.2017, 10:47

Добрый день!

Удалите:

Код:

SearchAY [2017/03/05 14:18:29]-->C:\Users\1\AppData\Roaming\SearchAY\uninstall.exe

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\1\AppData\Roaming\SearchAY\app.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\SearchAY\ml.py', '');
 DeleteFile('C:\ProgramData\uBar\uBar\uBar.exe', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\SearchAY\ml.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\SearchAY\app.py', '32');
 DeleteFileMask('C:\Users\1\AppData\Roaming\SearchAY', '*', true);
 DeleteFileMask('C:\ProgramData\uBar', '*', true);
 DeleteDirectory('C:\Users\1\AppData\Roaming\SearchAY');
 DeleteDirectory('C:\ProgramData\uBar');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'uBar');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SearchAY');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchAY" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchAY2" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

3. Сделайте данную процедуру - VirusDetector.
Загрузите карантин по данной ссылке.
Полученную ссылку после загрузки карантина, предоставьте в ответном сообщении.

4. Сделайте и пришлите в ответном сообщении лог AdwCleaner.

**anesthesia** · 29.03.2017, 18:46

Сделано.

MD5 карантина: CAF276EAFF2B18655A365A6EE22748D8

**Сомнение** · 30.03.2017, 11:50

Удалите все найденное AdwCleaner'ом, кроме файлов относящихся к MediaGet. и mail.ru. Если ничем от mail.ru не пользуетесь, то их тоже удалите.
Потребуется перезагрузка компьютера. Лог сформированный после удаления предоставьте в ответном сообщении.

**anesthesia** · 30.03.2017, 21:43

**Сомнение** · 30.03.2017, 21:57

Не тот лог. Нужен лог удаления.

**anesthesia** · 31.03.2017, 22:07

Такого, как в инструкции (AdwCleaner[C1]), в папке нет. Помимо того, что уже отправляла, есть ещё этот. Если это не он, то я в растерянности.

**Сомнение** · 01.04.2017, 12:40

Сейчас все верно. Что с проблемой ?

**anesthesia** · 02.04.2017, 09:49

Проблема решена, спасибо огромное!

**CyberHelper** · 02.04.2017, 09:59

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\users\1\appdata\roaming\searchay\app.py - not-a-virus:AdWare.Python.PBot.r

Неудаляемый Offsaleprofit (заявка № 210685)

Опции темы