Подозрение на вирус [not-a-virus:HEUR:AdWare.Win32.Generic, not-a-virus:RiskTool.Win64.Agent.dv ]

[Leshik]

Хром стал жить своей жизнью - периодически запускается сам, пытается открыть непонятные вкладки.

[Info_bot]

Уважаемый(ая) Leshik, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

NativeDesktopMediaService
Skype Click to Call

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('Windows');
 QuarantineFile('C:\PROGRA~3\40878ede\4679b5af.dll', '');
 QuarantineFile('C:\ProgramData\{EA060E50-5DAD-B9FB-9A8A-245A42518E84}\AED6832A-197D-3481-FD4A-7C5CE032F442.exe', '');
 QuarantineFile('C:\Users\73B5~1\AppData\Local\B22758~1\{4679B~1.', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\aptrawo.dll', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{6A3A8FC8-5EE0-4EBE-A01B-42A19FFF2D75}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{7D790547-097D-087F-0811-7D7F7F0F1104}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{9EAA5C44-ACC3-8DAF-5309-38425C197342}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{AF184DBD-AC8D-4B5D-9C05-F4D8FB601D16}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "3AD8A350-1328-26DA-B033-5F76781D5D9D" /F', 0, 15000, true);
 DeleteFile('C:\PROGRA~3\40878ede\4679b5af.dll', '32');
 DeleteFile('C:\ProgramData\{EA060E50-5DAD-B9FB-9A8A-245A42518E84}\AED6832A-197D-3481-FD4A-7C5CE032F442.exe', '32');
 DeleteFile('C:\Users\73B5~1\AppData\Local\B22758~1\{4679B~1.', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\aptrawo.dll', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteService('Windows');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\aptrawo', 'DLLName');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O7 - Policy: [Untrusted Certificate] Fix all items from the log
O17 - HKLM\System\CCS\Services\Tcpip\..\{88A99417-6D46-43ED-9ACA-1E7A33CD62BF}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{88A99417-6D46-43ED-9ACA-1E7A33CD62BF}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3E7D9EC-2F59-4222-A9C6-24EC0D986CB8}: [NameServer] = 217.66.153.250
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3E7D9EC-2F59-4222-A9C6-24EC0D986CB8}: [NameServer] = 217.66.153.253
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{88A99417-6D46-43ED-9ACA-1E7A33CD62BF}: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{88A99417-6D46-43ED-9ACA-1E7A33CD62BF}: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{F3E7D9EC-2F59-4222-A9C6-24EC0D986CB8}: [NameServer] = 217.66.153.250
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{F3E7D9EC-2F59-4222-A9C6-24EC0D986CB8}: [NameServer] = 217.66.153.253
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O20-32 - HKLM\..\Winlogon\Notify: aptrawo [DllName] = C:\Users\Пользователь\AppData\Local\aptrawo.dll (file missing)
O22 - Task: 3AD8A350-1328-26DA-B033-5F76781D5D9D - C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/43b9b8fe7eb243f2 /q" "C:\Users\73B5~1\AppData\Local\B22758~1\{4679B~1."
O22 - Task: Checker64 - C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe

Сделайте повторные логи по правилам. (CollectionLog)

[Leshik]

Логи

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\programdata\{ea060e50-5dad-b9fb-9a8a-245a42518e84}\aed6832a-197d-3481-fd4a-7c5ce032f442.exe - not-a-virus:HEUR:AdWare.Win32.Generic
  2. c:\progra~3\40878ede\4679b5af.dll - not-a-virus:AdWare.Win32.Adposhel.jtqu
  3. c:\users\73b5~1\appdata\local\b22758~1\{4679b~1. - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
  4. c:\windows\svchost.exe - not-a-virus:RiskTool.Win64.Agent.dv