Рекламный вирус

**djreev** · 15.04.2018, 18:26

Скачал программу PowerPoint 2013, появилось на рабоче столе кучу разных ярлыков, всплывает реклама в броузере mail.ru и всякий Вулканический мусор, в место поисковой GOOGLE, постоянно MAIL.ru

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.04.2018, 18:28

Уважаемый(ая) djreev, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**djreev** · 17.04.2018, 15:33

как скоро я могу узнать ответ ?

**thyrex** · 17.04.2018, 16:30

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\IUpWUBcycmhgC\yeJAujS.dll','');
 QuarantineFile('C:\Program Files (x86)\GYHHaWMnbkQU2\NfDTbJyMLXihz.dll','');
 SetServiceStart('webviewerpro', 4);
 SetServiceStart('webviewerproup', 4);
 SetServiceStart('webviewerprocontroller', 4);
 DeleteService('webviewerprocontroller');
 DeleteService('webviewerproup');
 DeleteService('webviewerpro');
 QuarantineFile('C:\Windows\system32\drivers\webviewprocontroller.sys','');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
 TerminateProcessByName('C:\Program Files\Web Viewer Pro\webviewerproup.exe');
 QuarantineFile('C:\Program Files\Web Viewer Pro\webviewerproup.exe','');
 TerminateProcessByName('C:\Program Files\Web Viewer Pro\webviewerpro.exe');
 QuarantineFile('C:\Program Files\Web Viewer Pro\webviewerpro.exe','');
 TerminateProcessByName('c:\program files (x86)\opjpqbamiie\vhxwccbmfn.exe');
 QuarantineFile('c:\program files (x86)\opjpqbamiie\vhxwccbmfn.exe','');
 TerminateProcessByName('c:\users\reev\appdata\roaming\sivapp\sivapp.exe');
 QuarantineFile('c:\users\reev\appdata\roaming\sivapp\sivapp.exe','');
 DeleteFile('c:\users\reev\appdata\roaming\sivapp\sivapp.exe','32');
 DeleteFile('c:\program files (x86)\opjpqbamiie\vhxwccbmfn.exe','32');
 DeleteFile('C:\Program Files\Web Viewer Pro\webviewerpro.exe','32');
 DeleteFile('C:\Program Files\Web Viewer Pro\webviewerproup.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\libjsons.dll','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\QtWebKit4.dll','32');
 DeleteFile('C:\Windows\system32\drivers\webviewprocontroller.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SIVApp');
 DeleteFile('C:\Windows\Tasks\One System CarePeriod.job','32');
 DeleteFile('C:\Program Files (x86)\GYHHaWMnbkQU2\NfDTbJyMLXihz.dll','32');
 DeleteFile('C:\Program Files (x86)\IUpWUBcycmhgC\yeJAujS.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\KlgKDPyHEeVbjwqnEgK2','64');
 DeleteFile('C:\Windows\system32\Tasks\KlAEYQtzmHgics','64');
 DeleteFile('C:\Windows\system32\Tasks\One System Care Delayed','64');
 DeleteFile('C:\Windows\system32\Tasks\One System Care Monitor','64');
 DeleteFile('C:\Windows\system32\Tasks\One System CarePeriod','64');
 DeleteFile('C:\Windows\system32\Tasks\PCDDataUploadTask','64');
 DeleteFile('C:\Windows\system32\Tasks\XeRTeJCMKPYXWyYqW2','64');
 DeleteFile('C:\Windows\system32\Tasks\xRZOrQVCBWPMscb2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

**djreev** · 17.04.2018, 17:50

У МЕНЯ НЕ РАБОТАЕТ ВАША ССЫЛКА, её просто не существует хоть и надпсь у Вас подчёркнута, а самой сылки не существует и в помине нигде. Ни под, ни над, и в самой надписи ссылку не обнаружил. Покажите мне где она ? Может мне сюда прикрепить? ПРИКРЕПЛЯЮ СЮДА Вложение 670738 А файл с карантином не цепляется

(( говорит что очень много он занимает

**thyrex** · 17.04.2018, 18:08

Написано же, что ссылку на отправку карантина надо искать над первым сообщением в этой теме

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**djreev** · 17.04.2018, 18:47

У меня теперь ситуация такая, я удалил карантин т.к. не получилось загрузить сюда, теперь делаю карантин а он маленький, что делать? и совет как правильно оформить:
"В начале темы Вашего сообщения находиться ссылка на отправку файла c:\quarantine.zip" - так будет правильней, а у Вас не правильно составлено предложение.И у меня пока ещё вылетают сайт +18 и поисковая google не работает

**djreev** · 18.04.2018, 23:42

как скоро будет ответ ?
Сплывает реклама везде и всюду, как от неё уже избавиться ?

- - - - -Добавлено - - - - -

ДАЙТЕ ОТВЕТ ПОЖАЛУЙСТА!

**thyrex** · 19.04.2018, 08:45

Свой шедевральный русский, пожалуйста, оставьте при себе.

Помощь оказывается добровольно в свободное от основных занятий время.

YoutubeAdBlock
ZaxarGameBrowser
Служба автоматического обновления программ

удалите через Установку программ.

Расширения

Блокировщик Рекламы Для Ютуба™
AdBlocker Ultimate

удалите в Хроме.

Помощь оказывается добровольно в свободное от основных занятий время.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\oPjpQbAMIIE\tmnruzE3Q.dll [2018-04-14] ()
BHO-x32: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\oPjpQbAMIIE\kQ10Pxgx.dll [2018-04-14] ()
Task: {3E2B075E-97F6-460C-931A-BA9014E4FF36} - System32\Tasks\MailRuUpdater => C:\Users\ReeV\AppData\Local\Mail.Ru\MailRuUpdater.exe [2018-03-02] (Mail.Ru) <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
2018-04-14 18:41 - 2018-04-14 18:41 - 000000000 ____D C:\Users\ReeV\AppData\Local\cache
2018-04-14 18:40 - 2018-04-14 18:46 - 000000000 ____D C:\Users\ReeV\AppData\Roaming\One System Care
2018-04-14 18:40 - 2018-04-14 18:45 - 000000000 ____D C:\Program Files (x86)\OneSystemCare
2018-04-14 18:40 - 2018-04-14 18:40 - 000000000 ____D C:\Users\Все пользователи\dcbdb831-95af-4d21-874a-b8159552646c
2018-04-14 18:40 - 2018-04-14 18:40 - 000000000 ____D C:\Users\Все пользователи\9f216a24-091c-474e-a153-d6769e0d93d3
2018-04-14 18:40 - 2018-04-14 18:40 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care
2018-04-14 18:40 - 2018-04-14 18:40 - 000000000 ____D C:\ProgramData\dcbdb831-95af-4d21-874a-b8159552646c
2018-04-14 18:40 - 2018-04-14 18:40 - 000000000 ____D C:\ProgramData\9f216a24-091c-474e-a153-d6769e0d93d3
2018-04-14 18:39 - 2018-04-17 17:32 - 000000000 ____D C:\Program Files (x86)\IUpWUBcycmhgC
2018-04-14 18:39 - 2018-04-17 17:32 - 000000000 ____D C:\Program Files (x86)\GYHHaWMnbkQU2
2018-04-14 18:39 - 2018-04-14 18:39 - 000000000 ____D C:\Users\ReeV\AppData\Roaming\OneSystemCare
2018-04-14 18:39 - 2018-04-14 18:39 - 000000000 ____D C:\Users\ReeV\AppData\Local\Lite
2018-04-14 18:39 - 2018-04-14 18:39 - 000000000 ____D C:\Program Files (x86)\FpyEWGzDFWVVpLycIFR
2018-04-14 18:39 - 2018-04-14 18:38 - 001203929 _____ C:\Windows\unins000.exe
2018-04-14 18:38 - 2018-04-17 17:32 - 000000000 ____D C:\Users\ReeV\AppData\Roaming\SIVApp
2018-04-14 18:38 - 2018-04-17 17:32 - 000000000 ____D C:\Program Files\Web Viewer Pro
2018-04-14 18:38 - 2018-04-17 17:32 - 000000000 ____D C:\Program Files (x86)\Zaxar
2018-04-14 18:38 - 2018-04-17 17:32 - 000000000 ____D C:\Program Files (x86)\oPjpQbAMIIE
2018-04-14 18:38 - 2018-04-14 18:39 - 000000000 ____D C:\Program Files (x86)\muZPPgwvU
2018-04-14 18:38 - 2018-04-14 18:38 - 000003500 _____ C:\Windows\System32\Tasks\CheckControllerUpdatesUA
2018-04-14 18:38 - 2018-04-14 18:38 - 000000000 ____D C:\Users\ReeV\AppData\Roaming\Smart Application Controller
2018-04-14 18:38 - 2018-04-14 18:38 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser
2018-04-14 18:38 - 2018-04-14 18:38 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart Application Controller
2018-04-14 18:38 - 2018-04-14 18:38 - 000000000 ____D C:\Program Files (x86)\VjljmRaTOaUn
2018-04-14 18:38 - 2018-04-14 18:38 - 000000000 ____D C:\Program Files (x86)\Smart Application Controller
2018-04-14 18:38 - 2017-03-24 20:06 - 000078632 _____ (Web Viewer Pro) C:\Windows\system32\Drivers\webviewprocontroller.sys
2018-04-17 17:43 - 2017-09-29 16:46 - 000000000 ____D C:\Windows\DeliveryOptimization
2018-04-17 17:41 - 2017-09-29 16:46 - 000000000 ___HD C:\Program Files\WindowsApps
2018-04-17 17:41 - 2017-09-29 16:46 - 000000000 ____D C:\Windows\AppReadiness
2018-04-17 17:32 - 2017-09-29 11:45 - 000524288 _____ C:\Windows\system32\config\BBI
2018-04-14 18:37 - 2018-04-14 18:37 - 005175296 _____ () C:\Users\ReeV\AppData\Local\Temp\bundle140418183727z.exe
Task: {4BDE91C7-30C5-4191-A05A-1283148F3771} - \One System Care Delayed -> No File <==== ATTENTION
Task: {6AD7A04B-B138-432F-BCF5-DEE7380C8921} - \xRZOrQVCBWPMscb2 -> No File <==== ATTENTION
Task: {AB009ED1-BDD3-46A3-BA97-95BE1AF883FA} - \KlAEYQtzmHgics -> No File <==== ATTENTION
Task: {BE771684-ECC7-49F0-B96F-ABFE8D20C8AB} - \XeRTeJCMKPYXWyYqW2 -> No File <==== ATTENTION
Task: {DAFC0143-DDF0-40F4-BCF9-CBFFEC3F5EDE} - System32\Tasks\SystemToolsDailyTest => uaclauncher.exe
Task: {EF0C0A50-32F0-4C41-8A85-FE3CEE1795C7} - \One System Care Monitor -> No File <==== ATTENTION
Task: {F4A88985-A809-4F21-8FC0-3CC0934878A7} - \PCDDataUploadTask -> No File <==== ATTENTION
Task: {FBE360D1-830F-49F6-80A9-35EA1F5CB522} - \KlgKDPyHEeVbjwqnEgK2 -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

**djreev** · 19.04.2018, 15:44

Вложение 670785 проблема такая - не заходит на сайт - https://rutracker-org.appspot.com
скриншот показывает что нужно отключить, но у меня этих программ нету

(

**thyrex** · 19.04.2018, 17:15

Попробуйте зайти в другом браузере

**djreev** · 19.04.2018, 17:24

я хочу в этом броузере заходить,уже и пароля не помню, у меня все в памяти. Будут ли какие то дальнейшие действия ?

**thyrex** · 19.04.2018, 19:33

Проблема с рекламой решена?

**djreev** · 20.04.2018, 17:57

решена, но хочу зайти на свой сайт, а мне пишет что блокировщик мешает, но у меня его нет,я все блокировщики удали, хотя с ними я раньше заходил, что произошло не пойму.

**djreev** · 23.04.2018, 19:05

Как мне убрать блокировщик ? я все удали же, может что то осталось что я не знаю??

**thyrex** · 23.04.2018, 19:41

Сделайте лог полного сканирования МВАМ

**djreev** · 25.04.2018, 22:00

Вложение 670936
Контент на обновление платный, в описании про это ничего не сказано

**thyrex** · 25.04.2018, 22:57

Проверку можно выполнить и на бесплатной версии

**djreev** · 27.04.2018, 08:33

Сообщение от thyrex

Сделайте лог полного сканирования МВАМ

Тема не существует или не указан идентификатор (номер). Если вы уверены, что использовали правильную ссылку, свяжитесь с администрацией

**thyrex** · 27.04.2018, 08:56

Потому что пока Вы соображаете, я обновил инструкцию https://virusinfo.info/showthread.php?t=218706

Рекламный вирус (заявка № 218561)

Опции темы