Самопроизвольная установка браузеров. [vnlgp.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.bti]

**eem-kz** · 28.04.2017, 07:47

Здравствуйте. Такая проблема, самопроизвольно устанавливается браузеры и др. программы якобы для ускорения компьютера.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.04.2017, 07:49

Уважаемый(ая) eem-kz, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Sandor** · 28.04.2017, 12:37

Здравствуйте!

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\windows\psgo\psgo.ps1','');
 QuarantineFile('C:\Users\User\AppData\Local\SNARE\Snare.dll', '');
 QuarantineFile('C:\Program Files (x86)\Atuzoiedfrle Mapper\local64spl.dll', '');
 QuarantineFileF('c:\users\user\appdata\local\snare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 ExecuteFile('schtasks.exe', '/delete /TN "Megerther" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Samsung Update" /F', 0, 15000, true);
 DeleteFile('C:\windows\psgo\psgo.ps1','32');
 DeleteFile('C:\Users\User\AppData\Local\SNARE\Snare.dll', '32');
 DeleteFile('C:\Program Files (x86)\Atuzoiedfrle Mapper\local64spl.dll', '32');
 DeleteFileMask('c:\users\user\appdata\local\snare', '*', true);
 DeleteDirectory('c:\users\user\appdata\local\snare');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Сделайте повторные логи по правилам. (CollectionLog)

**eem-kz** · 28.04.2017, 13:21

Сделано ...

**Sandor** · 28.04.2017, 13:39

Карантин следует отправить именно так, как указано в предыдущем сообщении.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**eem-kz** · 28.04.2017, 14:03

Спасибо, готово.

**Sandor** · 28.04.2017, 14:19

Включите Восстановление системы.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\...\Providers\sa1cqxin: C:\Program Files (x86)\Atuzoiedfrle Mapper\local64spl.dll
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWv3XjGGZrhGQbtfCic404bHxDfE0C6Il9ymXEx2u2P1rd3uOTMScCkJjUouN61zOJ6jvHRdi9SMESrYwttey8wSALtk2yLsU1lcqp9UPsgGLDcTQCjjuMXv9P_gwushxf1MnoZ5886ZjF0WgeEwzVHNAjkkdsPgxY4VAgiAp_&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2622087092-1931345129-62130821-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWv3XjGGZrhGQbtfCic404bHxDfE0C6Il9ymXEx2u2P1rd3uOTMScCkJjUouN61zOJ6jvHRdi9SMESrYwttey8wSALtk2yLsU1lcqp9UPsgGLDcTQCjjuMXv9P_gwushxf1MnoZ5886ZjF0WgeEwzVHNAjkkdsPgxY4VAgiAp_&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2622087092-1931345129-62130821-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B0682A2A0-622B-4CD0-BA7F-24E48A414A2E%7D&gp=820331
SearchScopes: HKU\S-1-5-21-2622087092-1931345129-62130821-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWv3XjGGZrhGQbtfCic404bHxDfE0C6Il9ymXEx2u2P1rd3uOTMScCkJjUouN61zOJ6jvHRdi9SMESrYwttey8wSALtk2yLsU1lcqp9UPsgGLDcTQCjjuMXv9P_gwushxf1MnoZ5886ZjF0WgeEwzVHNAjkkdsPgxY4VAgiAp_&q={searchTerms}
FF ProfilePath: C:\Users\User\AppData\Roaming\Mozilla\Firefox\naweriweentcofise\Profiles\w7cq6ajw.default\Profiles\w7cq6ajw.default [not found]
FF Extension: (Fast search) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\w7cq6ajw.default\Extensions\amcontextmenu@loucypher [2017-04-04]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-04-04]
S2 SNARE; C:\Windows\System32\svchost.exe [43944 2015-10-30] (Microsoft Corporation)
S2 SNARE; C:\Windows\SysWOW64\svchost.exe [37256 2015-10-30] (Microsoft Corporation)
S2 WinSAPSvc; C:\windows\system32\svchost.exe [43944 2015-10-30] (Microsoft Corporation) <==== ATTENTION
S2 WinSAPSvc; C:\windows\SysWOW64\svchost.exe [37256 2015-10-30] (Microsoft Corporation) <==== ATTENTION
2017-04-06 18:36 - 2017-04-06 18:38 - 00000000 ____D C:\Users\Все пользователи\Plusdaxs
2017-04-06 18:36 - 2017-04-06 18:38 - 00000000 ____D C:\ProgramData\Plusdaxs
2017-04-06 18:36 - 2017-04-06 18:36 - 00015606 _____ C:\Windows\SysWOW64\findit.xml
2017-04-06 18:32 - 2017-04-07 08:19 - 00000000 ____D C:\Users\Все пользователи\PrefsSecure
2017-04-06 18:32 - 2017-04-07 08:19 - 00000000 ____D C:\ProgramData\PrefsSecure
2017-04-06 18:32 - 2017-04-06 18:32 - 07303680 _____ C:\Users\User\AppData\Roaming\agent.dat
2017-04-06 18:32 - 2017-04-06 18:32 - 01893685 _____ C:\Users\User\AppData\Roaming\Truelight.tst
2017-04-06 18:32 - 2017-04-06 18:32 - 01164288 _____ C:\Users\User\AppData\Roaming\Truelight.exe
2017-04-06 18:32 - 2017-04-06 18:32 - 00278510 _____ C:\Users\User\AppData\Roaming\Hot-Ron.bin
2017-04-06 18:32 - 2017-04-06 18:32 - 00140288 _____ C:\Users\User\AppData\Roaming\Installer.dat
2017-04-06 18:32 - 2017-04-06 18:32 - 00126464 _____ C:\Users\User\AppData\Roaming\noah.dat
2017-04-06 18:32 - 2017-04-06 18:32 - 00070800 _____ C:\Users\User\AppData\Roaming\Config.xml
2017-04-06 18:32 - 2017-04-06 18:32 - 00019008 _____ C:\Users\User\AppData\Roaming\InstallationConfiguration.xml
2017-04-06 18:32 - 2017-04-06 18:32 - 00018432 _____ C:\Users\User\AppData\Roaming\Main.dat
2017-04-06 18:32 - 2017-04-06 18:32 - 00005568 _____ C:\Users\User\AppData\Roaming\md.xml
2017-04-04 17:32 - 2017-04-04 17:34 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-04-04 17:32 - 2017-04-04 17:34 - 00000000 ____D C:\ProgramData\ProductData
2017-04-04 17:32 - 2017-04-04 17:32 - 00027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS
2017-04-04 17:32 - 2017-04-04 17:32 - 00000000 ____D C:\Windows\IObit
2017-04-04 17:32 - 2017-04-04 17:32 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-04-04 17:32 - 2017-04-04 17:32 - 00000000 ____D C:\Users\User\AppData\Roaming\IObit
2017-04-04 17:32 - 2017-04-04 17:32 - 00000000 ____D C:\Users\User\AppData\LocalLow\IObit
2017-04-04 17:32 - 2017-04-04 17:32 - 00000000 ____D C:\ProgramData\IObit
2017-04-04 17:32 - 2017-04-04 17:32 - 00000000 ____D C:\Program Files (x86)\IObit
2017-04-04 17:30 - 2017-04-08 08:31 - 00000000 ____D C:\Program Files\My Web Shield
2017-04-04 17:30 - 2017-04-07 18:59 - 00000000 ____D C:\Users\User\AppData\Local\Mail.Ru
2017-04-04 17:30 - 2017-04-04 17:32 - 00000000 ____D C:\Users\User\AppData\Roaming\bestsalesprofit
2017-04-04 17:30 - 2017-04-04 17:30 - 00000000 ____D C:\Users\Все пользователи\RegisterObject
2017-04-04 17:30 - 2017-04-04 17:30 - 00000000 ____D C:\ProgramData\RegisterObject
2017-04-04 17:29 - 2017-04-04 17:32 - 00000000 ____D C:\Users\User\AppData\Roaming\TablacusApp
2017-04-04 17:29 - 2017-04-04 17:29 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2017-04-04 17:29 - 2017-04-04 17:29 - 00000000 ____D C:\ProgramData\Mail.Ru
2017-04-04 17:25 - 2017-04-04 17:32 - 00000000 ____D C:\Program Files (x86)\Driver Identifier
2017-04-04 17:25 - 2017-04-04 17:25 - 00000000 ____D C:\Users\User\AppData\Roaming\driveridentifier
2017-04-04 17:08 - 2017-04-04 17:32 - 00000000 ____D C:\Program Files (x86)\DriverToolkit
2017-04-04 17:08 - 2017-04-04 17:08 - 00000000 ____D C:\Users\User\AppData\Local\DriverToolkit
Task: {7E56E341-4332-4413-A301-BA4FEB307F31} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
FirewallRules: [{1A734F28-4CE4-480E-ACBD-030D1458E1AB}] => (Allow) C:\Users\User\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**eem-kz** · 28.04.2017, 16:15

Cделано ...

**eem-kz** · 30.04.2017, 16:09

Каждый 3-4 часа АВ выдает тако сообщение :
30.04.2017 17:33:08 Обнаружено рекламная программа not-a-virus:HEUR:AdWare.Win32.Mewishid.gen C:\Program Files\My Web Shield\My Web Shield.zip//mweshieldup.exe Средняя
30.04.2017 17:33:11 Обнаружено рекламная программа not-a-virus:HEUR:AdWare.Win32.Mewishid.gen C:\Program Files\My Web Shield\My Web Shield.zip//mwesmanager.exe Средняя
30.04.2017 17:33:14 Обнаружено рекламная программа not-a-virus:HEUR:AdWare.Win32.Mewishid.gen C:\Program Files\My Web Shield\My Web Shield.zip//mweshield.exe Средняя
30.04.2017 17:33:15 Обнаружено троянская программа HEUR:Trojan.Win32.Generic c:\users\user\appdata\local\kitty\kitty.dll Высокая

**Sandor** · 30.04.2017, 16:31

Подготовьте и прикрепите лог сканирования AdwCleaner.

**eem-kz** · 30.04.2017, 16:51

Ok.

**Sandor** · 30.04.2017, 17:13

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

**eem-kz** · 30.04.2017, 17:56

Спасибо большое за помощь!

**Sandor** · 30.04.2017, 20:49

Проблема решена?

**eem-kz** · 02.05.2017, 06:01

Здравствуйте!
Проблема не решена! Сегодня о пять появилась

Код HTML:

02.05.2017 8:29:44	Обнаружено	рекламная программа not-a-virus:HEUR:AdWare.Win32.Mewishid.gen	C:\Program Files\My Web Shield\My Web Shield.zip//mweshieldup.exe	Средняя	
02.05.2017 8:29:48	Обнаружено	рекламная программа not-a-virus:HEUR:AdWare.Win32.Mewishid.gen	C:\Program Files\My Web Shield\My Web Shield.zip//mwesmanager.exe	Средняя	
02.05.2017 8:29:52	Обнаружено	рекламная программа not-a-virus:HEUR:AdWare.Win32.Mewishid.gen	C:\Program Files\My Web Shield\My Web Shield.zip//mweshield.exe	Средняя	
02.05.2017 8:29:53	Обнаружено	троянская программа HEUR:Trojan.Win32.Generic	c:\users\user\appdata\local\kitty\kitty.dll	Высокая

**Sandor** · 02.05.2017, 15:40

Сделайте повторные логи по правилам. (CollectionLog)

**CyberHelper** · 02.05.2017, 15:50

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Самопроизвольная установка браузеров. [vnlgp.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.bti] (заявка № 211554)

Опции темы