Помощь в лечении компьютера [not-a-virus:AdWare.Win32.Vitruvian.s, not-a-virus:AdWare.Win32.Agent.jlir ]

**tjspy** · 14.11.2015, 13:56

Здравствуйте. При открытии браузера хром, открывается страница удалено. добавляется расширение с иероглифами.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.11.2015, 13:58

Уважаемый(ая) tjspy, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 14.11.2015, 14:31

Здравствуйте!

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('24FFC26');
 StopService('282D589');
 StopService('36841F4');
 StopService('7DC3542');
 StopService('833A4B6');
 StopService('8829A33');
 QuarantineFile('C:\Windows\TEMP\24FFC26.sys', '');
 QuarantineFile('C:\Windows\TEMP\282D589.sys', '');
 QuarantineFile('C:\Windows\TEMP\36841F4.sys', '');
 QuarantineFile('C:\Windows\TEMP\7DC3542.sys', '');
 QuarantineFile('C:\Windows\TEMP\833A4B6.sys', '');
 QuarantineFile('C:\Windows\TEMP\8829A33.sys', '');
 QuarantineFile('C:\Windows\system32\Drivers\swsedrvr_vw_1_10_0_25.sys', '');
 QuarantineFile('C:\ProgramData\Bamcof\Bamcof.exe', '');
 QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-11.exe', '');
 QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-7.exe', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', '');
 QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', '');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
 QuarantineFileF('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 QuarantineFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
 QuarantineFile('C:\ProgramData\lljbbjehdkha.dll', '');
 QuarantineFile('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\0.8', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\QKuiGdNMz1.bat', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Browsers\exe.resworb.bat', '');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe', '');
 QuarantineFile('C:\Program Files\Microsoft', '');
 QuarantineFile('Data\InstallAddons.exe', '');
 QuarantineFileF('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\', '*', true, '', 0, 0);
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job', '32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job', '32');
 DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', '32');
 DeleteFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', '32');
 DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-7.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-1-7', '32');
 DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-11', '32');
 DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-11.exe', '32');
 DeleteFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
 DeleteFile('C:\ProgramData\lljbbjehdkha.dll', '32');
 DeleteFile('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\0.8', '32');
 DeleteFile('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\QKuiGdNMz1.bat', '32');
 DeleteFile('C:\Users\МАРИЯ\AppData\Roaming\Browsers\exe.resworb.bat', '32');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe', '32');
 DeleteFile('C:\Program Files\Microsoft', '32');
 DeleteFile('Data\InstallAddons.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "chrome5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "chrome5_logon" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\', '*', true);
 DeleteFileMask('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\', '*', true);
 DeleteDirectory('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\');
 QuarantineFileF('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 DeleteFileMask('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\', '*', true);
 DeleteDirectory('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\');
 DeleteDirectory('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{646BAAE7-7538-4866-8EEE-974C0AA910AB}');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

**tjspy** · 14.11.2015, 16:12

готово

**regist** · 14.11.2015, 17:05

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('wwfd_vt_1_10_0_24');
 QuarantineFile('F:\autorun.inf', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехрlоrеr Вrоwsеr.lnk', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk', '');
 QuarantineFile('C:\Users\МАРИЯ\Desktop\неиспользуемые ярлыки\iехplоrе - Ярлык.lnk', '');
 QuarantineFile('C:\Users\МАРИЯ\Desktop\неиспользуемые ярлыки\iехplоrе 8.lnk', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Local\Yandex.bat', '');
 QuarantineFile('C:\ProgramData\enUXFQnZdR\RZgPpRwRJUkmfi5.bat', '');
 QuarantineFileF('C:\ProgramData\enUXFQnZdR\', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\{CF975636-4F50-4F98-8B50-4780EBF49956}', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 QuarantineFile('C:\Windows\system32\Drivers\swsedrvr_vw_1_10_0_25.sys', '');
 QuarantineFile('C:\ProgramData\Bamcof\Bamcof.exe', '');
 QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-6.exe', '');
 QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-5.exe', '');
 QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-3.exe', '');
 QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-6.exe', '');
 QuarantineFile('C:\Users\?????\AppData\Roaming\v5STjPiVU2xeLBZdd1n3vW.exe', '');
 QuarantineFile('C:\Users\?????\AppData\Roaming\joGQ11VQhFO.exe', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', '');
 QuarantineFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys', '');
 DeleteFile('F:\autorun.inf', '32');
 DeleteFile('C:\Users\МАРИЯ\AppData\Local\Yandex.bat', '');
 DeleteFile('C:\ProgramData\enUXFQnZdR\RZgPpRwRJUkmfi5.bat', '');
 DeleteFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys', '32');
 DeleteFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
 DeleteFile('C:\Windows\Tasks\jjk  Files Update Ver 20151029.job', '32');
 DeleteFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', '32');
 DeleteFile('C:\Windows\Tasks\joGQ11VQhFO.job', '32');
 DeleteFile('C:\Users\?????\AppData\Roaming\joGQ11VQhFO.exe', '32');
 DeleteFile('C:\Users\?????\AppData\Roaming\v5STjPiVU2xeLBZdd1n3vW.exe', '32');
 DeleteFile('C:\Windows\Tasks\v5STjPiVU2xeLBZdd1n3vW.job', '32');
 DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-6.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-1-6', '32');
 DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-3.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-3', '32');
 DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-5.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-5', '32');
 DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-6', '32');
 DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-6.exe', '32');
 DeleteFile('C:\ProgramData\Bamcof\Bamcof.exe', '32');
 DeleteFile('C:\Windows\system32\Drivers\swsedrvr_vw_1_10_0_25.sys', '32');
 DeleteService('wwfd_vt_1_10_0_24');
 DeleteFileMask('C:\ProgramData\enUXFQnZdR\', '*', true);
 DeleteFileMask('C:\Program Files\Common Files\{CF975636-4F50-4F98-8B50-4780EBF49956}', '*', true);
 DeleteDirectory('C:\ProgramData\enUXFQnZdR\');
 DeleteDirectory('C:\Program Files\Common Files\{CF975636-4F50-4F98-8B50-4780EBF49956}');
 DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
 DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**CyberHelper** · 14.11.2015, 17:15

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 47
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\bamcof\bamcof.exe - not-a-virus:AdWare.Win32.Agent.jlir ( AVAST4: Win32:Adware-gen [Adw] )
2. c:\windows\system32\drivers\swsedrvr_vw_1_10_0_25. sys - not-a-virus:AdWare.Win32.Vitruvian.s

Помощь в лечении компьютера [not-a-virus:AdWare.Win32.Vitruvian.s, not-a-virus:AdWare.Win32.Agent.jlir ] (заявка № 192775)

Опции темы