Окна с рекламой. [UDS:DangerousObject.Multi.Generic, not-a-virus:AdWare.Win32.RuKoma.gen ]

[Обсаженый]

Встроенный защитник Windows постоянно жалуется на какие-то вирусы, но сам справиться не может. В браузере (Chrome) через определенное время сами открываются новые окна с рекламой. Проверка и лечение другими антивирусами не принесла результатов.

[Info_bot]

Уважаемый(ая) Обсаженый, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Users\Dron\AppData\Local\monotype\monotype.exe');
 QuarantineFile('C:\Users\Dron\AppData\Local\monotype\monotype.exe', '');
 QuarantineFile('C:\Users\Dron\AppData\Local\Kometa\StartButton\kometastartvx64.exe', '');
 QuarantineFile('C:\Users\Dron\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Dron\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe', '');
 QuarantineFile('C:\Users\Dron\AppData\Local\PowerMonitor\PowerMonitor.exe', '');
 QuarantineFile('C:\Users\Dron\AppData\Local\wupdate\wupdate.exe', '');
 QuarantineFile('C:\WINDOWS\microsoft\svchost.exe', '');
 DeleteFile('C:\Users\Dron\AppData\Local\monotype\monotype.exe', '32');
 DeleteFile('C:\Users\Dron\AppData\Local\Kometa\StartButton\kometastartvx64.exe', '32');
 DeleteFile('C:\Users\Dron\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFile('C:\Users\Dron\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe', '32');
 DeleteFile('C:\Users\Dron\AppData\Local\PowerMonitor\PowerMonitor.exe', '32');
 DeleteFile('C:\Users\Dron\AppData\Local\wupdate\wupdate.exe', '32');
 DeleteFile('C:\WINDOWS\microsoft\svchost.exe', '32');
 DeleteFileMask('c:\users\dron\appdata\local\monotype', '*', true);
 DeleteFileMask('c:\users\dron\appdata\local\microsoft', '*', true);
 DeleteFileMask('c:\users\dron\appdata\local\powermonitor', '*', true);
 DeleteFileMask('c:\users\dron\appdata\local\wupdate', '*', true);
 DeleteFileMask('c:\windows\microsoft', '*', true);
 DeleteDirectory('c:\users\dron\appdata\local\monotype');
 DeleteDirectory('c:\users\dron\appdata\local\microsoft');
 DeleteDirectory('c:\users\dron\appdata\local\powermonitor');
 DeleteDirectory('c:\users\dron\appdata\local\wupdate');
 DeleteDirectory('c:\windows\microsoft');
 ExecuteFile('schtasks.exe', '/delete /TN "monotype" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "OneDrive Standalone Update Task v2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "System.2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [HTTP] "C:\Users\Dron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk"       -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"  =>> hxxp://mohtute.ru/?utm_source=imp&utm_d=20170504]
>>> [MASK] "C:\Users\Dron\AppData\Roaming\Microsoft\Windows\Start Menu\Кнопка Пуск — Комета\Кнопка Пуск — Комета.lnk"    -> ["C:\Users\Dron\AppData\Local\Kometa\StartButton\kometastartvx64.exe"]
>>>  "C:\Users\Dron\Favorites\Links\Интернет.url"  ->                 hxxp://lonsale.ru/?utm_source=favorites03wmt&utm_content=e877526860aad8ef164cad8691e33a69&utm_term=ED420EE643CA55C4907A40DAA6B71C00&utm_d=20170503

Отчёт о работе прикрепите.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

[Обсаженый]

Всё сделал, вроде получилось.
Перестала работать кнопка "пуск".

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Обсаженый]

Сделал как просили.

[Vvvyg]

Запустите FRST/FRST64
Нажмите комбинацию Ctrl+Y - откроется Блокнот.
Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Startup: C:\Users\Dron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Stardock ObjectDock.lnk [2017-03-23]
SearchScopes: HKU\S-1-5-21-1903259704-3675251553-705375551-1001 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://pelyena.ru/search?q={searchTerms}
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://lonsale.ru/?utm_source=startpage03wmt&utm_content=386eb96079d8030eacd032c1935b1aed&utm_term=ED420EE643CA55C4907A40DAA6B71C00&utm_d=20170503
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B345B4E78-5950-4A7C-9248-C05B27AB77E5%7D&gp=831106
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Dron\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-05-04]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Dron\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-05-04]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Dron\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-04]
FF SearchPlugin: C:\Users\Dron\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2017-05-04]
FF Plugin HKU\S-1-5-21-1903259704-3675251553-705375551-1001: @mail.ru/GameCenter -> C:\Users\Dron\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Dron\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-03-09]
CHR Extension: (Chrome Media Router) - C:\Users\Dron\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-04-05]
2017-05-04 01:33 - 2017-05-10 11:40 - 00000000 ____D C:\Users\Dron\AppData\Roaming\Microsoft\Windows\Start Menu\Кнопка Пуск — Комета
Task: {E50494CF-4878-44CD-83F2-E5C13B304BF4} - System32\Tasks\MSI => C:\Users\Dron\AppData\Roaming\Microsoft\msi.exe 
ShortcutWithArgument: C:\Users\Dron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ICCup Launcher\ICCup Launcher.lnk -> C:\Program Files (x86)\ICCup\Launcher\Launcher.exe () -> hxxp://mohtute.ru/?utm_source=imp&utm_d=20170504
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "lalocrbtmn"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "StartButton"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "fhcmfdopnq"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "juhmahrnte"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "ollgsiffhg"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "pqwnuxulab"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "setsearch_delete_self"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "speeddialmaker_delete_self"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "ykemditjbc"
Powershell: Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register “$($_.InstallLocation)\AppXManifest.xml”}
Reboot:

Сохраните (Ctrl+s) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, нажмите в FRST Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

[Обсаженый]

Окна появляться перестали. Защитник не жалуется на вирусы. Не работает только кнопка "пуск".

[Vvvyg]

Пробуйте эти рекомендации.

[Обсаженый]

Спасибо большое за помощь!

[Vvvyg]

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\dron\appdata\local\powermonitor\powermoni tor.exe - UDS:DangerousObject.Multi.Generic
  2. c:\users\dron\appdata\local\wupdate\wupdate.exe - not-a-virus:AdWare.Win32.RuKoma.gen
  3. c:\windows\microsoft\svchost.exe - Trojan.Win32.SelfDel.exuz