Много рекламы в Opera. [not-a-virus:AdWare.Win32.Neoreklami.iso, not-a-virus:AdWare.Win32.Neoreklami.ite ]

[FatalMouse]

Появилось очень много рекламы в Opera, а так же невиданные до сего дня процессы в диспетчере задач.
При проверке антивирусы после перезагрузки снова находят одни и те же объекты.

[Info_bot]

Уважаемый(ая) FatalMouse, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\артем\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Users\артем\AppData\Local\ComDev\ComDev.exe','');
 QuarantineFile('C:\Program Files (x86)\YtuAskU2\L3Yj5GU.dll','');
 QuarantineFile('C:\Program Files (x86)\YueAckU\WS0wqwZ.dll','');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 QuarantineFile('C:\Users\3C26~1\AppData\Roaming\SETUPS~1\ml.py','');
 QuarantineFile('C:\Users\3C26~1\AppData\Roaming\setupsk\ml.py','');
 SetServiceStart('UbarPolicyProvider', 4);
 DeleteService('UbarPolicyProvider');
 QuarantineFile('C:\Program Files (x86)\YeuAskIE\kQSUVEEd.dll','');
 QuarantineFile('C:\Program Files (x86)\YeuAskIE\50mcz.dll','');
 TerminateProcessByName('C:\Program Files\UBar\ubar.exe');
 TerminateProcessByName('C:\Program Files\UBar\UbarService.exe');
 TerminateProcessByName('c:\users\артем\appdata\local\yc\application\yc.exe');
 QuarantineFile('c:\users\артем\appdata\local\yc\application\yc.exe','');
 QuarantineFile('C:\Program Files\UBar\UbarService.exe','');
 QuarantineFile('C:\Program Files\UBar\ubar.exe','');
 TerminateProcessByName('c:\users\3c26~1\appdata\roaming\setupsk\python\pythonw.exe');
 QuarantineFile('c:\users\3c26~1\appdata\roaming\setupsk\python\pythonw.exe','');
 TerminateProcessByName('c:\program files (x86)\yeuaskie\pwjswzwobb.exe');
 QuarantineFile('c:\program files (x86)\yeuaskie\pwjswzwobb.exe','');
 TerminateProcessByName('c:\users\артем\appdata\local\temp\4375.tmp.exe');
 QuarantineFile('c:\users\артем\appdata\local\temp\4375.tmp.exe','');
 DeleteFile('c:\users\артем\appdata\local\temp\4375.tmp.exe','32');
 DeleteFile('c:\program files (x86)\yeuaskie\pwjswzwobb.exe','32');
 DeleteFile('c:\users\3c26~1\appdata\roaming\setupsk\python\pythonw.exe','32');
 DeleteFile('C:\Program Files\UBar\ubar.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
 DeleteFile('c:\users\артем\appdata\local\yc\application\yc.exe','32');
 DeleteFile('C:\Program Files (x86)\YeuAskIE\50mcz.dll','32');
 DeleteFile('C:\Program Files (x86)\YeuAskIE\kQSUVEEd.dll','32');
 DeleteFile('C:\Users\3C26~1\AppData\Roaming\setupsk\python\python34.dll','32');
 DeleteFile('C:\Users\3C26~1\AppData\Roaming\setupsk\python\DLLs\_ctypes.pyd','32');
 DeleteFile('C:\Users\3C26~1\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\Users\3C26~1\AppData\Roaming\SETUPS~1\ml.py','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nnijqrffqk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_DD2F7A8B863E30B68324CD7805486825');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
 DeleteFile('C:\WINDOWS\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F.job','32');
 DeleteFile('C:\Program Files (x86)\YueAckU\WS0wqwZ.dll','32');
 DeleteFile('C:\Program Files (x86)\YtuAskU2\L3Yj5GU.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\5A8163FE-2D41-4CE5-AD54-7FE95B266373','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ComDev','64');
 DeleteFile('C:\Users\артем\AppData\Local\ComDev\ComDev.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\артем\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[FatalMouse]

Баннеры все равно появлялись, но нашел неизвестное мне расширение в Opera. После удаления его реклама исчезла.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[FatalMouse]

Сделал.

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\YeuAskIE\tKxHJnj.dll [2017-07-28] ()
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-935787954-3714542951-3318145870-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [No File]
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1200112.dll [No File]
CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
2017-07-28 17:10 - 2017-07-28 17:10 - 00000000 ____D C:\Users\артем\AppData\Local\Вoйти в Интeрнет
2017-07-28 17:08 - 2017-07-28 17:08 - 00000000 ____D C:\Users\артем\AppData\Local\yc
2017-07-28 17:07 - 2017-07-29 13:56 - 00000000 ____D C:\Users\артем\AppData\Roaming\setupsk_upd
2017-07-28 17:07 - 2017-07-29 13:56 - 00000000 ____D C:\Users\артем\AppData\Roaming\setupsk
2017-07-28 17:05 - 2017-07-28 17:05 - 00000000 ____D C:\Users\артем\AppData\Local\Войны престолов
2017-07-28 17:03 - 2017-07-29 13:56 - 00000000 ____D C:\Users\артем\AppData\Local\ComDev
2017-07-28 17:02 - 2017-07-29 13:56 - 00000000 ____D C:\Program Files (x86)\YueAckU
2017-07-28 17:02 - 2017-07-29 13:56 - 00000000 ____D C:\Program Files (x86)\YtuAskU2
2017-07-28 17:02 - 2017-07-29 13:56 - 00000000 ____D C:\Program Files (x86)\YeuAskIE
2017-07-28 17:02 - 2017-07-28 19:24 - 00000000 ____D C:\Program Files (x86)\YpuAskUn
2017-07-28 17:02 - 2017-07-28 17:02 - 00000000 ____D C:\Users\артем\AppData\Local\Поиcк в Интeрнете
2017-07-28 17:01 - 2017-07-29 13:56 - 00000000 ____D C:\Program Files\UBar
2017-07-28 17:01 - 2017-07-28 17:01 - 00000000 ____D C:\Users\Все пользователи\UBar
2017-07-28 17:01 - 2017-07-28 17:01 - 00000000 ____D C:\ProgramData\UBar
2017-07-28 16:39 - 2017-07-28 16:39 - 2578648 _____ () C:\Users\артем\AppData\Local\Temp\0fbqLsk3nrq8.exe
2017-07-28 17:05 - 2017-07-28 17:03 - 0820216 _____ (AUM LOD Inc) C:\Users\артем\AppData\Local\Temp\CB45.tmp.exe
2017-07-28 17:08 - 2017-07-28 17:08 - 37564928 ____N (The Chromium Authors) C:\Users\артем\AppData\Local\Temp\IlNgaagz3wy5.exe
2017-07-28 17:03 - 2017-07-28 17:03 - 1192936 _____ () C:\Users\артем\AppData\Local\Temp\JvdEBjR9Zybd.exe
2017-07-28 17:12 - 2017-07-28 17:12 - 1192936 ____N () C:\Users\артем\AppData\Local\Temp\OKHhKc0FaKon.exe
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> No File
Task: {150AACAB-4C30-461C-AF1D-776239348EE0} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {205C5E65-A0D3-45E6-83B4-E65671692B34} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {2E961551-FACF-4562-86BA-E70AA9A5FAA9} - \setupsk -> No File <==== ATTENTION
Task: {31FEB4B6-E90D-4254-8913-3424C612F66B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {4299A4B6-DB14-4807-87D4-98F33C94C223} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {4EFDE8AF-1908-4336-9704-2FCC60E95F11} - \KMSAuto -> No File <==== ATTENTION
Task: {57EFC37D-1702-43B1-8CB4-A22AA0F61A59} - \ComDev -> No File <==== ATTENTION
Task: {5991AD27-D289-4B45-8645-5B9BF8E96670} - \5A8163FE-2D41-4CE5-AD54-7FE95B266373 -> No File <==== ATTENTION
Task: {6169820B-CC50-4F98-814B-D811A9E5F407} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {61DE5F89-7D62-4A6E-8674-7372F69E176A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {6B8F0A5C-D09F-42C3-B16D-67B121C00AAC} - \setupsk_upd -> No File <==== ATTENTION
Task: {7D219E61-04C0-4486-98D3-D74FD0E4210C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {85787788-E779-47D6-B781-D5D7ECEC4C60} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {8F718602-9E5B-4997-8F9A-DE103C2F80A9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {B97373B6-FA3E-473A-919D-8DBB3FAD4736} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {CA7C3CA4-8278-4451-83BC-7E0D441C0EA9} - \A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F2 -> No File <==== ATTENTION
Task: {D3077E98-486D-49E6-B0F1-BF24D32DD310} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {DE580064-B8BF-41A5-B835-0A530CAFDFE5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {E522DB89-F2C5-4816-9EFC-4658BF1CC969} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {EBA7E0B2-6CFE-4987-9F7E-66F21B3F8359} - \MSI -> No File <==== ATTENTION
Task: {F5A8C1D2-38A2-4AC8-9011-696D0BDF50AA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {FAF3FABA-3DB7-410D-8DFF-FF53533EF313} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\артем\Desktop\1.jpeg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Facetune.jpg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Lelya.jpeg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Mcfjctb.jpeg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\К.jpg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Стекло.mp3:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Финалка.jpeg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Фото 30.03.17, 11 02 34.jpg:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\ч.jpg:com.dropbox.attributes [168]
FirewallRules: [{7B043775-5EC5-4DBB-AA77-0A1783EA747F}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{C4C00124-85B7-4E29-BF79-FED8A8191736}] => (Allow) C:\Users\артем\AppData\Local\yc\Application\yc.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[FatalMouse]

Выполнил.

[thyrex]

Проблема решена?

[FatalMouse]

Да, рекламы больше нет. Спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\yeuaskie\kqsuveed.dll - not-a-virus:AdWare.Win32.Neoreklami.ite ( BitDefender: Gen:Heur.Kelios.1 )
  2. c:\program files (x86)\yeuaskie\pwjswzwobb.exe - not-a-virus:AdWare.Win32.Neoreklami.isn ( BitDefender: Gen:Trojan.Heur.JP.suW@aizDshji )
  3. c:\program files (x86)\ytuasku2\l3yj5gu.dll - not-a-virus:AdWare.Win32.Neoreklami.iso ( BitDefender: Gen:Variant.Barys.6979 )
  4. c:\program files (x86)\yueacku\ws0wqwz.dll - not-a-virus:AdWare.Win32.Neoreklami.isl
  5. c:\users\артем\appdata\local\comdev\comdev.exe - HEUR:Trojan.Win32.Generic