Часто автозапуск браузеров с рекламой

[AlexMin]

Win8.1 64 разр.
Часто автозапуск браузеров с рекламой порно- и игровых сайтов,
замедленная работа.
KIS-ом пролечился, не помогает.

[Info_bot]

Уважаемый(ая) AlexMin, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\asus\AppData\Local\ConvertAd\CASrv.exe','');
 QuarantineFile('C:\Users\asus\AppData\Local\Temp\GoForFilesfgqfQIHZKF.exe','');
 QuarantineFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','');
 QuarantineFile('C:\Users\asus\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\ver0BlockAndSurf\R0BlockAndSurfQ33.exe','');
 DelBHO('{9024F973-80C4-4B58-B02A-67C42A38232C}');
 DelBHO('{F2A46B82-6B61-32F1-DD45-30BF0DF0F01C}');
 QuarantineFile('C:\Program Files (x86)\ver0BlockAndSurf\184.dll','');
 QuarantineFile('C:\Program Files (x86)\WebBars\Toolbar32.dll','');
 QuarantineFile('C:\Users\asus\AppData\Roaming\337Games\337Games.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\ASUS\AsusVibe\asusvibelauncher.bat','');
 SetServiceStart('Update Service for WebBars', 4);
 DeleteService('Update Service for WebBars');
 SetServiceStart('servervo', 4);
 DeleteService('servervo');
 SetServiceStart('serverca', 4);
 DeleteService('serverca');
 QuarantineFile('C:\WINDOWS\system32\drivers\{3c433beb-079f-4f3d-a7d8-3be3076f2fbe}w64.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\webinstrNewH.sys','');
 TerminateProcessByName('c:\users\asus\appdata\roaming\vopackage\vosrv.exe');
 QuarantineFile('c:\users\asus\appdata\roaming\vopackage\vosrv.exe','');
 TerminateProcessByName('c:\users\asus\appdata\local\gmsd_ru_36\upgmsd_ru_36.exe');
 QuarantineFile('c:\users\asus\appdata\local\gmsd_ru_36\upgmsd_ru_36.exe','');
 TerminateProcessByName('c:\program files (x86)\gmsd_ru_36\gmsd_ru_36.exe');
 QuarantineFile('c:\program files (x86)\gmsd_ru_36\gmsd_ru_36.exe','');
 TerminateProcessByName('c:\program files (x86)\webbars\basement\extensionupdaterservice.exe');
 QuarantineFile('c:\program files (x86)\webbars\basement\extensionupdaterservice.exe','');
 TerminateProcessByName('c:\users\asus\appdata\local\convertad\casrv.exe');
 QuarantineFile('c:\users\asus\appdata\local\convertad\casrv.exe','');
 TerminateProcessByName('c:\program files (x86)\ver0blockandsurf\blockandsurf.exe');
 QuarantineFile('c:\program files (x86)\ver0blockandsurf\blockandsurf.exe','');
 TerminateProcessByName('c:\program files (x86)\webbars\backgroundsingleton.exe');
 QuarantineFile('c:\program files (x86)\webbars\backgroundsingleton.exe','');
 DeleteFile('c:\program files (x86)\webbars\backgroundsingleton.exe','32');
 DeleteFile('c:\program files (x86)\ver0blockandsurf\blockandsurf.exe','32');
 DeleteFile('c:\users\asus\appdata\local\convertad\casrv.exe','32');
 DeleteFile('c:\program files (x86)\webbars\basement\extensionupdaterservice.exe','32');
 DeleteFile('c:\program files (x86)\gmsd_ru_36\gmsd_ru_36.exe','32');
 DeleteFile('c:\users\asus\appdata\local\gmsd_ru_36\upgmsd_ru_36.exe','32');
 DeleteFile('c:\users\asus\appdata\roaming\vopackage\vosrv.exe','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\webinstrNewH.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{3c433beb-079f-4f3d-a7d8-3be3076f2fbe}w64.sys','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_36');
 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
 DeleteFile('C:\Users\asus\AppData\Local\Amigo\Application\amigo.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_36.exe');
 DeleteFile('C:\Users\asus\AppData\Roaming\337Games\337Games.exe','32');
 DeleteFile('C:\Program Files (x86)\WebBars\Toolbar32.dll','32');
 DeleteFile('C:\Program Files (x86)\ver0BlockAndSurf\184.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\BlockAndSurf Update','64');
 DeleteFile('C:\Program Files (x86)\ver0BlockAndSurf\R0BlockAndSurfQ33.exe','32');
 DeleteFile('C:\Users\asus\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\DealPly','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\DealPlyUpdate','64');
 DeleteFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\DSite','64');
 DeleteFile('C:\Users\asus\AppData\Local\Temp\GoForFilesfgqfQIHZKF.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\GoForFiles Installer Starter','64');
 DeleteFile('C:\Users\asus\AppData\Local\ConvertAd\CASrv.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[AlexMin]

В карантине ничего нет.

- - - - -Добавлено - - - - -

Скриптом из другой темы создал карантин, но почему-то при отправке ошибка:
Файл уже был отправлен ???

[thyrex]

Поместите в карантин МВАМ все найденное

[AlexMin]

Выполнил.

[thyrex]

Что с проблемой?

[AlexMin]

Все хорошо. Ярлыки браузеров меняю.
Уж больно много их в 8-ке.

[mike 1]

1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите checkbrowserlnk.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
5. Прикрепите этот отчет в вашей теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.