Рекламе в браузере [UDS:DangerousObject.Multi.Generic, not-a-virus:AdWare.Win32.Searchgo.a ]

**Влад Кулеш** · 03.04.2017, 19:46

Вот логи: https://yadi.sk/d/1Xvh_oAC3GcKBK
Вложения не работают.

- - - - -Добавлено - - - - -

И подскажите как обезопаситься на будущее?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.04.2017, 19:48

Уважаемый(ая) Влад Кулеш, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 04.04.2017, 11:50

Здравствуйте!

Удалите, если не пользуетесь:

Код:

Unity Web Player [2017/03/25 23:17:53]-->C:\Users\Vlad\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\vlad\appdata\local\temp\5d01.tmp.exe');
 QuarantineFile('C:\Users\Vlad\AppData\Local\nvfontcache\nvfontcache.exe', '');
 QuarantineFile('C:\Users\Vlad\AppData\Local\wupdate\wupdate.exe', '');
 QuarantineFile('C:\Users\Vlad\appdata\local\searchgo\searchgo.exe', '');
 QuarantineFile('C:\Users\Vlad\AppData\LocalLow\SearchGo\searchgo.dll', '');
 QuarantineFile('c:\users\vlad\appdata\local\temp\5d01.tmp.exe', '');
 DeleteFile('c:\users\vlad\appdata\local\temp\5d01.tmp.exe', '32');
 DeleteFile('C:\Users\Vlad\appdata\locallow\searchgo\searchgo.dll', '32');
 DeleteFile('C:\Users\Vlad\AppData\Local\wupdate\wupdate.exe', '32');
 DeleteFile('C:\Users\Vlad\AppData\Local\SearchGo\searchgo.exe', '32');
 DeleteFile('C:\Users\Vlad\AppData\Local\nvfontcache\nvfontcache.exe', '32');
 DeleteFileMask('C:\Users\Vlad\AppData\Local\SearchGo', '*', true);
 DeleteFileMask('C:\Users\Vlad\AppData\LocalLow\SearchGo', '*', true);
 DeleteDirectory('C:\Users\Vlad\AppData\Local\SearchGo');
 DeleteDirectory('C:\Users\Vlad\AppData\LocalLow\SearchGo');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'owssroqunu');
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "nvfontcache" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

3. Сделайте и пришлите в ответном сообщении лог AdwCleaner.

**Влад Кулеш** · 04.04.2017, 18:55

Вот лог: https://yadi.sk/d/1nPAsipw39tL8A
Как обезопаситься на будущее от рекламы?
И как удалить папку: http://i.imgur.com/6KU9ImS.png

**Сомнение** · 05.04.2017, 13:35

1. Удалите все найденное AdwCleaner'ом.
Потребуется перезагрузка компьютера. Лог сформированный после удаления предоставьте в ответном сообщении.

2. Не устанавливать сомнительные расширения в браузер.
Не устанавливать потенциально нежелательное ПО.
Перед установкой ПО, проверять чтобы вместе с ним не устанавливалось доп. ПО (как правило оно рекламное).

3. Попробуйте использовать Unlocker для удаления папки.

**Влад Кулеш** · 06.04.2017, 19:41

https://yadi.sk/i/o39GNaft3GiyLd - лог

**Сомнение** · 07.04.2017, 11:12

Лог некорректно открывается.
Почистите Ваши вложения и приложите его к сообщению.

**Влад Кулеш** · 07.04.2017, 22:18

Скрытый текст

# AdwCleaner v6.045 - Отчёт создан 06/04/2017 в 19:36:28

# Обновлено 28/03/2017 by Malwarebytes

# База данных : 2017-04-04.2 [Сервер]

# Операционная система : Windows 10 Pro (X64)

# Имя пользователя : Vlad - DESKTOP-GSQR8L6

# Запущено из : C:\Users\Vlad\Desktop\AutoLogger\adwcleaner_6.045.exe

# Режим: Очистка

# Помощь : https://www.malwarebytes.com/support

***** [ Службы ] *****

***** [ Папки ] *****

[-] Папка удалена: C:\Users\Vlad\AppData\Local\Amigo

[-] Папка удалена: C:\Users\Vlad\AppData\Local\Вoйти в Интeрнет

[-] Папка удалена: C:\Users\Vlad\AppData\Local\Поиcк в Интeрнете

[-] Папка удалена: C:\Users\Vlad\AppData\Roaming\zona

[#] Папка удалена при перезагрузке: C:\Users\Vlad\AppData\Roaming\Zona

[-] Папка удалена: C:\ProgramData\Mail.Ru

[#] Папка удалена при перезагрузке: C:\ProgramData\Application Data\Mail.Ru

***** [ Файлы ] *****

[-] Файл удалён: C:\Users\Vlad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk

[-] Файл удалён: C:\Users\Vlad\Favorites\Mail.Ru Агент - используй для общения!.url

***** [ DLL ] *****

***** [ WMI ] *****

***** [ Ярлыки ] *****

***** [ Запланированные задания ] *****

***** [ Реестр ] *****

[-] Ключ удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Classes\Zona

[#] Ключ удалён при перезагрузке: HKCU\Software\Classes\Zona

[-] Ключ удалён: HKLM\SOFTWARE\Classes\IESearchPlugin.MailRuBHO

[-] Ключ удалён: HKLM\SOFTWARE\Classes\IESearchPlugin.MailRuBHO.1

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Classes\Zona

[#] Ключ удалён при перезагрузке: [x64] HKLM\SOFTWARE\Classes\IESearchPlugin.MailRuBHO

[#] Ключ удалён при перезагрузке: [x64] HKLM\SOFTWARE\Classes\IESearchPlugin.MailRuBHO.1

[-] Ключ удалён: HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}

[-] Ключ удалён: HKLM\SOFTWARE\Classes\CLSID\{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}

[-] Ключ удалён: HKLM\SOFTWARE\Classes\CLSID\{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}

[-] Ключ удалён: HKLM\SOFTWARE\Classes\TypeLib\{C69276F0-9BC1-404F-8566-FCB14D0ED4B8}

[-] Ключ удалён: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}

[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E8F97CD-60B5-456F-A201-73065652D099}

[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}

[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}

[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E8F97CD-60B5-456F-A201-73065652D099}

[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}

[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}

[-] Ключ удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\zona

[-] Ключ удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Mail.Ru

[-] Ключ удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Ultimate-Discounter

[-] Ключ удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\TablacusApp

[-] Ключ удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Microsoft\Gosearch

[-] Ключ удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Microsoft\Gosearchq

[-] Ключ удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Xpom

[-] Ключ удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\AppDataLow\Software\Mail.Ru

[#] Ключ удалён при перезагрузке: HKCU\Software\zona

[#] Ключ удалён при перезагрузке: HKCU\Software\Mail.Ru

[#] Ключ удалён при перезагрузке: HKCU\Software\Ultimate-Discounter

[#] Ключ удалён при перезагрузке: HKCU\Software\TablacusApp

[#] Ключ удалён при перезагрузке: HKCU\Software\Microsoft\Gosearch

[#] Ключ удалён при перезагрузке: HKCU\Software\Microsoft\Gosearchq

[#] Ключ удалён при перезагрузке: HKCU\Software\Xpom

[#] Ключ удалён при перезагрузке: HKCU\Software\AppDataLow\Software\Mail.Ru

[-] Ключ удалён: HKLM\SOFTWARE\Mail.Ru

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\zona

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Mail.Ru

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Ultimate-Discounter

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\TablacusApp

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Microsoft\Gosearch

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Microsoft\Gosearchq

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Xpom

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\AppDataLow\Software\Mail.Ru

[-] Значение восстановлено: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Microsoft\Internet Explorer\Main [Start Page]

[-] Значение восстановлено: HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

[-] Значение восстановлено: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

[-] Ключ удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}

[-] Значение восстановлено: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

[#] Ключ удалён при перезагрузке: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}

[-] Значение восстановлено: HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}

[-] Значение восстановлено: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

[-] Параметр удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run [DUP]

[-] Параметр удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Microsoft\Windows\CurrentVersion\Run [mailruhomesearch]

[-] Параметр удалён: HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run [mailruhomesearch]

[#] Параметр удалён при перезагрузке: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [mailruhomesearch]

[#] Параметр удалён при перезагрузке: [x64] HKCU\Software\Microsoft\Windows\CurrentVersion\Run [mailruhomesearch]

[-] Ключ удалён: HKCU\Software\Google\Chrome\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Google\Chrome\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj

[-] Ключ удалён: HKCU\Software\Google\Chrome\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Google\Chrome\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd

[-] Ключ удалён: HKCU\Software\Google\Chrome\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof

[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Google\Chrome\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof

***** [ Браузеры ] *****

[-] [C:\Users\Vlad\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: ccfifbojenkenpkmnbnndeadpfdiffof

[-] [C:\Users\Vlad\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: oelpkepjlgmehajehfeicfbjdiobdkfj

[-] [C:\Users\Vlad\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: ojlcebdkbpjdpiligkdbbkdkfjmchbfd

[-] [C:\Users\Vlad\AppData\Local\Google\Chrome\User Data\Default] [homepage] Удалено: hxxp://mail.ru/cnt/10445?gp=831102

*************************

:: Ключи "Tracing" удалены

:: Настройки Winsock очищены

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [9364 Байт] - [06/04/2017 19:36:28]

C:\AdwCleaner\AdwCleaner[S0].txt - [8724 Байт] - [04/04/2017 18:48:32]

C:\AdwCleaner\AdwCleaner[S1].txt - [8800 Байт] - [06/04/2017 19:34:13]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [9592 Байт] ##########

Скрыть

....

- - - - -Добавлено - - - - -

вот что с вложениями происходит - https://www.youtube.com/watch?v=D7ZkFy9IBG0

**Влад Кулеш** · 09.04.2017, 14:18

Реклама не пропала.

**Сомнение** · 11.04.2017, 10:58

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Влад Кулеш** · 11.04.2017, 18:21

https://yadi.sk/d/1nPAsipw39tL8A

**Влад Кулеш** · 13.04.2017, 20:05

Ну что?

**Влад Кулеш** · 14.04.2017, 17:58

up.

**Влад Кулеш** · 15.04.2017, 21:45

Осталось при включение компьютера

**Сомнение** · 17.04.2017, 11:51

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2031817319-2659572755-1286125541-1001\...\Run: [owssroqunu] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=1067F340920E4C9269E8AF040BDFD580&utm_d=20161225" <===== ATTENTION
2017-04-09 15:08 - 2017-04-09 15:08 - 0852992 _____ () C:\Users\Vlad\AppData\Local\Temp\showCheckpoint.exe
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Попробуйте отключить расширение Tampermonkey и проверить проблему.

**CyberHelper** · 17.04.2017, 12:01

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\users\vlad\appdata\locallow\searchgo\searchgo.d ll - not-a-virus:AdWare.Win32.Agent.kcwn ( BitDefender: Trojan.GenericKD.3158757, AVAST4: Win32:Malware-gen )
2. c:\users\vlad\appdata\local\nvfontcache\nvfontcach e.exe - UDS:DangerousObject.Multi.Generic
3. c:\users\vlad\appdata\local\searchgo\searchgo.exe - not-a-virus:AdWare.Win32.Searchgo.a ( BitDefender: Trojan.GenericKD.3141570, AVAST4: Win32:Adware-gen [Adw] )

Рекламе в браузере [UDS:DangerousObject.Multi.Generic, not-a-virus:AdWare.Win32.Searchgo.a ] (заявка № 210842)

Опции темы