Самооткрывающаяся реклама и неизвестные ошибки [not-a-virus:HEUR:AdWare.Win32.Generic, Backdoor.Win32.Androm.nzjy]

**Александр Гринченко** · 02.10.2017, 13:32

Здравствуйте, во-первых, у меня реклама сама открывается, тоесть браузер(Chrome и иногда открывается Opera) самостоятельно запускается с рекламой.
Пробовал очистить кеш и cockies браузера, сброс настроек. Не помогло.
А во-вторых, у меня выскакивает 2 окна с ошибками:
1)comhosts.exe - Диск отсутсвует
В устройстве нет диска. Вставьте диск в устройство D:.
2)Установка conserver 1.00
Произошла ошибка при попытке копирования файла:
C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4 026492F-2F69-46B8-B9BF-5654FC07E423}\comhosts.exe
Нажмите Повтор, чтобы повторить попытку, Пропустить, чтобы пропустить файл, или Прервать для отмены установки.
Пробовал нажимать и отмены и пропуски и всеравно выскакивают эти ошибки.
При нажатии на прервать установку пишет что установка conserver прервана и всеравно потом появляется эта ошибка.
Помогите пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.10.2017, 13:34

Уважаемый(ая) Александр Гринченко, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 06.10.2017, 07:09

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\programdata\windowssql\com surrogate.exe');
 TerminateProcessByName('c:\users\alexa\appdata\roaming\windows_firewall.{4026492f-2f69-46b8-b9bf-5654fc07e423}\comhosts.exe');
 TerminateProcessByName('c:\users\alexa\appdata\roaming\backup.{b98a2bea-7d42-4558-8bd1-832f41bac6fd}\backup\conserver_at.exe');
 TerminateProcessByName('c:\program files (x86)\common files\microsoft shared\phone tools\corecon\11.0\bin\ipoverusbsvc.exe');
 TerminateProcessByName('C:\ProgramData\WindowsTask\MicrosoftShellHost.exe');
 TerminateProcessByName('c:\users\alexa\appdata\roaming\windows_firewall.{4026492f-2f69-46b8-b9bf-5654fc07e423}\runhosts.exe');
 TerminateProcessByName('C:\ProgramData\System32\Logs\ShellExperienceHost.exe');
 TerminateProcessByName('c:\users\alexa\appdata\roaming\memorycool\sysservices.exe');
 TerminateProcessByName('c:\programdata\framework\windows driver.exe');
 TerminateProcessByName('c:\programdata\winsxd.exe');
 TerminateProcessByName('c:\program files (x86)\uumeftwnyie\yrrcuitcah.exe');
 StopService('IpOverUsbSvc');
 QuarantineFileF('c:\users\alexa\appdata\roaming\memorycool', '*.exe', false, '', 0 , 0);
 QuarantineFile('c:\programdata\windowssql\com surrogate.exe', '');
 QuarantineFile('c:\users\alexa\appdata\roaming\windows_firewall.{4026492f-2f69-46b8-b9bf-5654fc07e423}\comhosts.exe', '');
 QuarantineFile('c:\users\alexa\appdata\roaming\backup.{b98a2bea-7d42-4558-8bd1-832f41bac6fd}\backup\conserver_at.exe', '');
 QuarantineFile('C:\ProgramData\WindowsTask\MicrosoftShellHost.exe', '');
 QuarantineFile('c:\users\alexa\appdata\roaming\windows_firewall.{4026492f-2f69-46b8-b9bf-5654fc07e423}\runhosts.exe', '');
 QuarantineFile('C:\ProgramData\System32\Logs\ShellExperienceHost.exe', '');
 QuarantineFile('c:\users\alexa\appdata\roaming\memorycool\sysservices.exe', '');
 QuarantineFile('c:\programdata\framework\windows driver.exe', '');
 QuarantineFile('c:\programdata\winsxd.exe', '');
 QuarantineFile('c:\program files (x86)\uumeftwnyie\yrrcuitcah.exe', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\Qt5Widgets.dll', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\Qt5Gui.dll', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\Qt5Core.dll', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\Qt5WebSockets.dll', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\Qt5Network.dll', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\OpenCL.dll', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\platforms\qwindows.dll', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\ssleay32.dll', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\LIBEAY32.dll', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\imageformats\qico.dll', '');
 QuarantineFile('C:\Program Files (x86)\UUMEfTWNyIE\kbYaKZWvA.dll', '');
 QuarantineFile('C:\Program Files (x86)\UUMEfTWNyIE\iRhXP.dll', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', '');
 QuarantineFile('C:\WINDOWS\System32\ihctrl32.dll', '');
 QuarantineFile('C:\WINDOWS\System32\wsaudio.dll', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Microsoft\fairbvsa\dgjivcfd.exe', '');
 QuarantineFile('C:\Program Files (x86)\PieSfXRZU\HDwtfe.dll', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Backup.{B98A2BEA-7D42-4558-8BD1-832F41BAC6FD}\Backup\conserver_at.sfx.exe', '');
 QuarantineFile('C:\Users\Alexa\AppData\Roaming\Recovery\rmssys.exe', '');
 QuarantineFile('C:\Program Files (x86)\JgBxoaZwmZRU2\pHGDGwDttfXeD.dll', '');
 DeleteFile('C:\WINDOWS\Tasks\BYkucKAbLoZInYF.job', '64');
 DeleteFile('c:\programdata\windowssql\com surrogate.exe', '32');
 DeleteFile('c:\users\alexa\appdata\roaming\windows_firewall.{4026492f-2f69-46b8-b9bf-5654fc07e423}\comhosts.exe', '32');
 DeleteFile('c:\users\alexa\appdata\roaming\backup.{b98a2bea-7d42-4558-8bd1-832f41bac6fd}\backup\conserver_at.exe', '32');
 DeleteFile('C:\ProgramData\WindowsTask\MicrosoftShellHost.exe', '32');
 DeleteFile('c:\users\alexa\appdata\roaming\windows_firewall.{4026492f-2f69-46b8-b9bf-5654fc07e423}\runhosts.exe', '32');
 DeleteFile('C:\ProgramData\System32\Logs\ShellExperienceHost.exe', '32');
 DeleteFile('c:\users\alexa\appdata\roaming\memorycool\sysservices.exe', '32');
 DeleteFile('c:\programdata\framework\windows driver.exe', '32');
 DeleteFile('c:\programdata\winsxd.exe', '32');
 DeleteFile('c:\program files (x86)\uumeftwnyie\yrrcuitcah.exe', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\Qt5Widgets.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\Qt5Gui.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\Qt5Core.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\Qt5WebSockets.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\Qt5Network.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\OpenCL.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\platforms\qwindows.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\ssleay32.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\LIBEAY32.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\imageformats\qico.dll', '32');
 DeleteFile('C:\Program Files (x86)\UUMEfTWNyIE\kbYaKZWvA.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\memorycool\libmysql.dll', '32');
 DeleteFile('C:\ProgramData\Framework\Qt5WebSockets.dll', '32');
 DeleteFile('C:\ProgramData\Framework\Qt5Core.dll', '32');
 DeleteFile('C:\ProgramData\Framework\Qt5Network.dll', '32');
 DeleteFile('C:\ProgramData\Framework\ssleay32.dll', '32');
 DeleteFile('C:\ProgramData\Framework\LIBEAY32.dll', '32');
 DeleteFile('C:\Program Files (x86)\UUMEfTWNyIE\iRhXP.dll', '32');
 DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys', '32');
 DeleteFile('C:\WINDOWS\System32\ihctrl32.dll', '32');
 DeleteFile('C:\WINDOWS\System32\wsaudio.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Microsoft\fairbvsa\dgjivcfd.exe', '32');
 DeleteFile('C:\Program Files (x86)\PieSfXRZU\HDwtfe.dll', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Backup.{B98A2BEA-7D42-4558-8BD1-832F41BAC6FD}\Backup\conserver_at.sfx.exe', '32');
 DeleteFile('C:\Users\Alexa\AppData\Roaming\Recovery\rmssys.exe', '32');
 DeleteFile('C:\Program Files (x86)\JgBxoaZwmZRU2\pHGDGwDttfXeD.dll', '32');
 DeleteService('IpOverUsbSvc');
 DeleteService('WinSxD');
 DeleteService('wfcre');
 DeleteFileMask('c:\programdata\windowssql', '*', true);
 DeleteFileMask('c:\users\alexa\appdata\roaming\windows_firewall.{4026492f-2f69-46b8-b9bf-5654fc07e423}', '*', true);
 DeleteFileMask('c:\users\alexa\appdata\roaming\backup.{b98a2bea-7d42-4558-8bd1-832f41bac6fd}', '*', true);
 DeleteFileMask('c:\program files (x86)\common files\microsoft shared\phone tools', '*', true);
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteFileMask('c:\programdata\system32\logs', '*', true);
 DeleteFileMask('c:\users\alexa\appdata\roaming\memorycool', '*', true);
 DeleteFileMask('c:\programdata\framework', '*', true);
 DeleteFileMask('c:\program files (x86)\uumeftwnyie', '*', true);
 DeleteFileMask('c:\users\alexa\appdata\roaming\microsoft\fairbvsa', '*', true);
 DeleteFileMask('c:\program files (x86)\piesfxrzu', '*', true);
 DeleteFileMask('c:\users\alexa\appdata\roaming\recovery', '*', true);
 DeleteFileMask('c:\program files (x86)\jgbxoazwmzru2', '*', true);
 DeleteDirectory('c:\programdata\windowssql');
 DeleteDirectory('c:\users\alexa\appdata\roaming\windows_firewall.{4026492f-2f69-46b8-b9bf-5654fc07e423}');
 DeleteDirectory('c:\users\alexa\appdata\roaming\backup.{b98a2bea-7d42-4558-8bd1-832f41bac6fd}');
 DeleteDirectory('c:\program files (x86)\common files\microsoft shared\phone tools');
 DeleteDirectory('c:\programdata\windowstask');
 DeleteDirectory('c:\programdata\system32\logs');
 DeleteDirectory('c:\users\alexa\appdata\roaming\memorycool');
 DeleteDirectory('c:\programdata\framework');
 DeleteDirectory('c:\program files (x86)\uumeftwnyie');
 DeleteDirectory('c:\users\alexa\appdata\roaming\microsoft\fairbvsa');
 DeleteDirectory('c:\program files (x86)\piesfxrzu');
 DeleteDirectory('c:\users\alexa\appdata\roaming\recovery');
 DeleteDirectory('c:\program files (x86)\jgbxoazwmzru2');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 ExecuteFile('schtasks.exe', '/delete /TN "BYkucKAbLoZInYF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "BYkucKAbLoZInYF2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\comhosts\runco" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Memory\recovery" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\system\r" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\sytems\recovery" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Wininet\Systemmanedger" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "zXHETIgCcYWbiA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{0D5F4463-D958-47B3-B5E0-5447E63083AF}" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Google_updater');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'THIS IS WIIIGET!');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

**Александр Гринченко** · 06.10.2017, 11:26

Вот все логи сделанные по инструкции

**Vvvyg** · 06.10.2017, 21:51

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Александр Гринченко** · 07.10.2017, 21:07

Сделал все что вы сказали. Очистил все в браузерах и провел очистку AdwCleaner. Файл С1 потому что я до того как к вам обратился уже пользовался этой программой. Реклама всеравно выскакивает. Вроде реже, но всеравно есть

**Vvvyg** · 07.10.2017, 22:55

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

**Александр Гринченко** · 13.10.2017, 20:45

Где мои сообщения? Я 2 раза уже отправил несколько дней назад с отчетом о работе

**Vvvyg** · 13.10.2017, 22:17

Значит, что-то было в них не так.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
() C:\ProgramData\DirectX11b\System.exe
HKLM-x32\...\Run: [AdobeReader] => C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}\runhosts.exe
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Tampermonkey) - C:\Users\Alexa\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-09-29]
OPR Extension: (Tables) - C:\Users\Alexa\AppData\Roaming\Opera Software\Opera Stable\Extensions\egafjhhpbipcmpoiomegbckljbbbphoj [2017-09-30]
OPR Extension: (SearchWay) - C:\Users\Alexa\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgldnknlljnfcfgchdijbjmmkdkmnabn [2017-09-29]
OPR Extension: (Teddy Protection Lite) - C:\Users\Alexa\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-04-12]
OPR Extension: (Quick Searcher) - C:\Users\Alexa\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-09-30]
OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Alexa\AppData\Roaming\Opera Software\Opera Stable\Extensions\pgkbgflmbfpkbehmfneoglkjkagbkhgd [2017-09-20]
S2 ihctrl32; C:\WINDOWS\System32\svchost.exe [47664 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 ihctrl32; C:\WINDOWS\SysWOW64\svchost.exe [40904 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\WINDOWS\System32\svchost.exe [47664 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\WINDOWS\SysWOW64\svchost.exe [40904 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 BurstMediaSvc; C:\Program Files (x86)\Burst Player\BurstMediaSvc.exe [X]
R2 UbarCalloutDriver; C:\Program Files\UBar\UbarDriver.sys [14920 2017-09-30] () <==== ATTENTION
C:\Program Files\UBar\UbarDriver.sys
C:\Program Files\UBar
2017-09-30 20:38 - 2017-09-30 23:47 - 000000000 ____D C:\Program Files\UBar
2017-09-29 13:36 - 2017-09-29 13:36 - 000000000 ____D C:\ProgramData\DirectX11b
2017-09-30 20:42 - 2017-10-04 00:32 - 000000020 _____ () C:\ProgramData\gfe.3rew
2017-08-11 10:17 - 2017-08-11 10:17 - 000740416 _____ (Oracle Corporation) C:\Users\digdo\AppData\Local\Temp\jre-8u144-windows-au.exe
2017-06-09 18:04 - 2017-06-09 18:04 - 061749240 _____ (YANDEX LLC) C:\Users\digdo\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Alexa\AppData\Roaming\Windows_Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}
Task: {08F811B5-0C99-4DEE-AE6A-E2F45ED07D99} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
Task: {9AE3A130-C293-4B41-870F-E9544F09A4F8} - System32\Tasks\news24socialcomgorsa => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" news24social.com/gorsa <==== ATTENTION
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

Если не поможет - отключите все расширения, если пропадёт реклама - подключайте по одному, проверяйте эффект.
Сообщите результат.

**Александр Гринченко** · 15.10.2017, 20:08

Вот лог. Очистил кеш и coоkie. После сообщу ушла ли проблема

**Александр Гринченко** · 16.10.2017, 19:31

Ну прошли сутки и я лично ни разу не видел этой рекламы за 1.5-2 часа использования компьютера. Так что скорее всего ее уже нету. Спасибо вам огромное

**Vvvyg** · 16.10.2017, 20:36

Запустите AdwCleaner и нажмите Файл -> Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 16.10.2017, 20:46

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 31
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\piesfxrzu\hdwtfe.dll - not-a-virus:HEUR:AdWare.Win32.Generic
2. c:\program files (x86)\uumeftwnyie\kbyakzwva.dll - not-a-virus:HEUR:AdWare.Win32.Generic ( BitDefender: Gen:Heur.Kelios.1 )
3. c:\program files (x86)\uumeftwnyie\yrrcuitcah.exe - not-a-virus:AdWare.Win32.Neoreklami.kug ( BitDefender: Gen:Trojan.Heur.JP.RuW@amD6fWoi )
4. c:\programdata\framework\windows driver.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.hxao
5. c:\programdata\system32\logs\shellexperiencehost.e xe - not-a-virus:HEUR:RiskTool.Win32.Generic
6. c:\programdata\windowssql\com surrogate.exe - Trojan.VBS.Agent.ajd
7. c:\programdata\winsxd.exe - HEUR:Trojan.Win32.Generic
8. c:\users\alexa\appdata\roaming\microsoft\fairbvsa\ dgjivcfd.exe - Backdoor.Win32.Androm.nzjy
9. c:\users\alexa\appdata\roaming\windows_firewall.{4 026492f-2f69-46b8-b9bf-5654fc07e423}\comhosts.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.igyg
10. c:\users\alexa\appdata\roaming\windows_firewall.{4 026492f-2f69-46b8-b9bf-5654fc07e423}\runhosts.exe - UDS:DangerousObject.Multi.Generic
11. c:\windows\system32\ihctrl32.dll - HEUR:Trojan.Win32.Generic
12. c:\windows\system32\wsaudio.dll - Trojan.Win32.Agentb.bvhd

Самооткрывающаяся реклама и неизвестные ошибки [not-a-virus:HEUR:AdWare.Win32.Generic, Backdoor.Win32.Androm.nzjy] (заявка № 215535)

Опции темы