Экранная реклама + ярлыки на рабочем cтоле + ярлыки на панели задач. [not-a-virus:HEUR:AdWare.Win32.Mewishid.gen ]

**Evgenbiz** · 04.07.2017, 01:38

Здравствуйте, только установил новый Windows 10 и начал наполнять его нужным мне софтом. Если не ошибаюсь после установки Exel 2010, скачанного с небезопасного источника, появилось несколько инородных иконок на рабочем столе и на панели задач. Также в браузере при любом клике кидает на рекламную ссылку и появились массово рекламные блоки где их ранее не было.
Прошу помогите, лог прилагается.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.07.2017, 01:57

Уважаемый(ая) Evgenbiz, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 05.07.2017, 10:41

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\Program Files\rempl\remsh.exe','');
 QuarantineFile('C:\Program Files (x86)\YubeAlckU\Q6JBZFA.dll','');
 SetServiceStart('webviewerpro', 4);
 SetServiceStart('webviewerproup', 4);
 SetServiceStart('webviewerprocontroller', 4);
 DeleteService('webviewerprocontroller');
 DeleteService('webviewerproup');
 DeleteService('webviewerpro');
 QuarantineFile('C:\Windows\system32\drivers\webviewprocontroller.sys','');
 TerminateProcessByName('C:\Program Files\Web Viewer Pro\webviewerpro.exe');
 TerminateProcessByName('C:\Program Files\Web Viewer Pro\webviewerproup.exe');
 QuarantineFile('C:\Program Files\Web Viewer Pro\webviewerproup.exe','');
 QuarantineFile('C:\Program Files\Web Viewer Pro\webviewerpro.exe','');
 TerminateProcessByName('c:\users\evgen\appdata\roaming\coretempapp\coretempapp.exe');
 QuarantineFile('c:\users\evgen\appdata\roaming\coretempapp\coretempapp.exe','');
 DeleteFile('c:\users\evgen\appdata\roaming\coretempapp\coretempapp.exe','32');
 DeleteFile('C:\Program Files\Web Viewer Pro\webviewerpro.exe','32');
 DeleteFile('C:\Program Files\Web Viewer Pro\webviewerproup.exe','32');
 DeleteFile('C:\Windows\system32\drivers\webviewprocontroller.sys','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CoreTempApp');
 DeleteFile('C:\Program Files (x86)\YubeAlckU\Q6JBZFA.dll','32');
 DeleteFile('C:\Windows\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job','32');
 DeleteFile('C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B','64');
 DeleteFile('C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2','64');
 DeleteFile('C:\Windows\system32\Tasks\CheckControllerUpdatesUA','64');
 DeleteFile('E:\autorun.inf','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**Evgenbiz** · 05.07.2017, 23:09

Свежий лог

- - - - -Добавлено - - - - -

Сегодня заметил один нюанс, у меня есть ноутбук также Windows 10 установлена, и на нем как и на этом компьютере одна и та же учетная запись и в Google и в Windows. Так вот на нем проявились все симптомы что и на компьютере, кроме ярлыков на рабочем столе.

**thyrex** · 07.07.2017, 09:56

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**Evgenbiz** · 07.07.2017, 11:51

Отчет прикрепил

**thyrex** · 07.07.2017, 16:07

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
BHO: No Name -> {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} -> No File
BHO-x32: No Name -> {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} -> No File
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820328","hxxp://www.istartpageing.com/?type=hp&ts=1455721884&z=5d9249330afa50491786dedgczew5w6m5ocg4bdb2z&from=cmi&uid=TOSHIBAXDT01ACA050_34V4SDMGSXX34V4SDMGSX","hxxp://www.trotux.com/?z=0e728d32181d9854e08a17eg8zbm4w2q3g4q1z3eag&from=web&uid=TOSHIBAXDT01ACA050_34V4SDMGSXX34V4SDMGSX&type=hp"
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Evgen\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-07-04]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
2017-07-07 02:39 - 2017-07-07 02:39 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign7194571462b2c86e
2017-07-07 01:28 - 2017-07-07 01:28 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign5130125998752ef0
2017-07-07 01:27 - 2017-07-07 01:27 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign9f65e265cc15b7da
2017-07-07 01:27 - 2017-07-07 01:27 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign6208d09fa2538de7
2017-07-07 01:27 - 2017-07-07 01:27 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign298e964c6a6ef1ed
2017-07-07 01:25 - 2017-07-07 01:25 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsignd8cf5bde27f351bd
2017-07-07 00:49 - 2017-07-07 00:49 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign21ee4afb32568e55
2017-07-07 00:32 - 2017-07-07 00:32 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsigndad6bb29b4d03968
2017-07-06 23:46 - 2017-07-06 23:46 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign9c6144ef92379d4c
2017-07-05 12:51 - 2017-07-05 12:51 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsignb65cfb3693d23c0c
2017-07-05 12:49 - 2017-07-05 12:49 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign2948e423ab2136d2
2017-07-05 12:25 - 2017-07-05 12:25 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign2d3545890c05927c
2017-07-05 12:13 - 2017-07-05 12:13 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign6540db6e10241749
2017-07-05 11:02 - 2017-07-05 11:02 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign8765351c9e80e4b6
2017-07-05 10:50 - 2017-07-05 10:50 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign1709462a52ef3096
2017-07-05 10:49 - 2017-07-05 10:49 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign1667c56d5f8d0227
2017-07-05 02:27 - 2017-07-05 02:27 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsigne7822c50762c7380
2017-07-05 02:21 - 2017-07-05 02:21 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign660d411da43c07d9
2017-07-05 02:07 - 2017-07-05 02:07 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign8b744e730bf79eb5
2017-07-05 01:29 - 2017-07-05 01:29 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign6965bbba5a57f9da
2017-07-05 01:13 - 2017-07-05 01:13 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign8b7c1886a1fce7e0
2017-07-05 01:13 - 2017-07-05 01:13 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign65e48cf9322dda03
2017-07-05 01:08 - 2017-07-05 01:08 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsignd4b68fff139823b9
2017-07-05 00:58 - 2017-07-05 00:58 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsignb3e74fd7136b72bf
2017-07-04 23:38 - 2017-07-04 23:38 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsignf323c860297d7ddd
2017-07-04 22:27 - 2017-07-04 22:27 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign54423a8d1a2f1e26
2017-07-04 22:25 - 2017-07-04 22:25 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsignf565f82def1575eb
2017-07-04 22:25 - 2017-07-04 22:25 - 00000000 ____D C:\Users\Evgen\AppData\Local\Tempzxpsign81a040ed6be4b17a
2017-07-04 00:20 - 2017-07-04 09:29 - 00000000 ____D C:\Program Files (x86)\YubeAlckU
2017-07-04 00:20 - 2017-07-04 00:20 - 00000000 ____D C:\Program Files (x86)\YubeAlckUn
2017-07-04 00:20 - 2017-07-04 00:20 - 00000000 ____D C:\Program Files (x86)\YubeAlckIE
2017-07-04 00:20 - 2017-03-24 20:06 - 00078632 _____ (Web Viewer Pro) C:\WINDOWS\system32\Drivers\webviewprocontroller.sys
2017-07-04 00:19 - 2017-07-04 21:49 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart Application Controller
2017-07-04 00:19 - 2017-07-04 09:27 - 00000000 ____D C:\Users\Evgen\AppData\Roaming\CoreTempApp
2017-07-04 00:19 - 2017-07-04 00:19 - 00002342 _____ C:\Users\Public\Desktop\Заработок Online.lnk
2017-07-04 00:19 - 2017-07-04 00:19 - 00002338 _____ C:\Users\Public\Desktop\World Of Warships.lnk
2017-07-04 00:19 - 2017-07-04 00:19 - 00002311 _____ C:\Users\Public\Desktop\World Of Tanks.lnk
2017-07-04 00:19 - 2017-07-04 00:19 - 00002284 _____ C:\Users\Public\Desktop\War Thunder.lnk
2017-07-04 00:19 - 2017-07-04 00:19 - 00002259 _____ C:\Users\Public\Desktop\Warface.lnk
2017-07-04 00:19 - 2017-07-04 00:19 - 00001158 _____ C:\Users\Evgen\Desktop\Core Temp.lnk
2017-07-04 00:19 - 2017-07-04 00:19 - 00000000 ____D C:\Users\Evgen\AppData\Roaming\Smart Application Controller
2017-07-04 00:19 - 2017-07-04 00:19 - 00000000 ____D C:\Users\Evgen\AppData\Roaming\NextIconInstaller
2017-07-04 00:19 - 2017-07-04 00:19 - 00000000 ____D C:\Program Files (x86)\Smart Application Controller
C:\Program Files\Web Viewer Pro
Task: {85B31918-34E6-4960-84AC-6C7B1983E7A3} - \2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2 -> No File <==== ATTENTION
Task: {C8EFEDCF-6F67-476C-BE87-D40DAF8FB393} - \CheckControllerUpdatesUA -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**Evgenbiz** · 08.07.2017, 17:03

Кстати на ноутбуке те же симптомы скорее всего из-за того что они в одной сети.

**thyrex** · 08.07.2017, 18:17

Что с проблемой?

**Evgenbiz** · 09.07.2017, 00:13

Пропали ярлыки на рабочем столе.
Экранная реклама в браузерах - осталась.
Рекламные блоки где их не было (вконтакте, Youtube и т.д.) - остались. Причем в Youtube наглая реклама поверх видео.

- - - - -Добавлено - - - - -

Предыдущее сообщение я писал не перезагружая браузер.
На данный момент в Google Chrome :
Экранная переадресацыя которая открывала отдельную вкладку с рекламой пропала.
Рекламные блоки остались.
Да еще кстати остались рекламные сообщения которые всплывают в углу экрана(правда почему-то с левой стороны)
В общем браузер очень трудно работает (тормозит)

В браузере FireFox никаких проблем вообще нет и работает хорошо(не тормозит).

- - - - -Добавлено - - - - -

Все таки в Google вернулась экранная реклама. От чего зависит ее появление не знаю.

**thyrex** · 09.07.2017, 08:24

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему

**Evgenbiz** · 09.07.2017, 23:38

Всего одно разрешение привлекало внимание и называлось оно "Блокировщик Рекламы Для Ютуба", после его отключения и перезагрузки браузера все стало на круги своя.

- Экранной рекламы нет,
- Рекламных блоков нет,
- С Youtube все в порядке,
- Google работает шустро.

P.S. - огромное спасибо!!!!!!

**CyberHelper** · 09.07.2017, 23:48

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\web viewer pro\webviewerpro.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen
2. c:\program files\web viewer pro\webviewerproup.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen

Экранная реклама + ярлыки на рабочем cтоле + ярлыки на панели задач. [not-a-virus:HEUR:AdWare.Win32.Mewishid.gen ] (заявка № 213564)

Опции темы