Ребёнок скачивал игру и после установки поймал Key-Finder. Никак не могу убить эту заразу.Что делать? Спасибо. [not-a-virus:AdWare.Win32.Agent.hing ]

**artpolis** · 24.02.2015, 09:48

Удалил всё, что ребёнок загрузил 21 и 22 февраля этого года, пролечил утилитами Касперского и д-р Веб, в браузерах ручным способом убрал страницу кей финд. Но эта пакость не исчезает. IE вроде пока нормально, а Мозилла - ничего не могу поделать

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.02.2015, 09:49

Уважаемый(ая) artpolis, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 24.02.2015, 10:26

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files\common files\shopperpro\spbiu.exe');
 TerminateProcessByName('c:\windows\temp\nsq99ef.tmp\ns9a4e.tmp');
 TerminateProcessByName('c:\program files\ver2blockandsurf\j4blockandsurfj52.exe');
 TerminateProcessByName('c:\users\artem\appdata\local\00000000-1424561432-0000-0000-00242150a216\cnsh55f1.tmp');
 TerminateProcessByName('c:\users\artem\appdata\local\00000000-1424561432-0000-0000-00242150a216\ansf5024.exe');
 StopService('webTinstMK');
 StopService('SPBIUpdd');
 StopService('ProtectMonitor');
 QuarantineFile('C:\Program Files\ShopperPro\JSDriver\1.37.0.193\jsdrv.exe', '');
 QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js', '');
 QuarantineFile('C:\Program Files\PCDApp\cstart.bat"', '');
 QuarantineFile('C:\Program Files\Uniblue\SpeedUpMyPC\speedupmypc.exe', '');
 QuarantineFile('C:\Users\Artem\AppData\Roaming\Complitly\Complitly.dll', '');
 QuarantineFile('C:\Windows\system32\Drivers\webTinstMK.sys', '');
 QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys', '');
 QuarantineFile('C:\Program Files\PCDApp\StartHelp.exe', '');
 QuarantineFile('C:\Program Files\XTab\SupTab.dll', '');
 QuarantineFile('c:\program files\common files\shopperpro\spbiu.exe', '');
 QuarantineFile('c:\windows\temp\nsq99ef.tmp\ns9a4e.tmp', '');
 QuarantineFile('c:\program files\ver2blockandsurf\j4blockandsurfj52.exe', '');
 QuarantineFile('c:\users\artem\appdata\local\00000000-1424561432-0000-0000-00242150a216\cnsh55f1.tmp', '');
 QuarantineFile('c:\users\artem\appdata\local\00000000-1424561432-0000-0000-00242150a216\ansf5024.exe', '');
 DeleteFile('C:\Program Files\PCDApp\cstart.bat"');
 DeleteFile('C:\Users\Artem\AppData\Roaming\Complitly\Complitly.dll', '32');
 DeleteFile('c:\users\artem\appdata\local\00000000-1424561432-0000-0000-00242150a216\ansf5024.exe', '32');
 DeleteFile('c:\users\artem\appdata\local\00000000-1424561432-0000-0000-00242150a216\cnsh55f1.tmp', '32');
 DeleteFile('c:\windows\temp\nsq99ef.tmp\ns9a4e.tmp', '32');
 DeleteFile('C:\Program Files\XTab\SupTab.dll', '32');
 DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys', '32');
 DeleteFile('C:\Windows\system32\Drivers\webTinstMK.sys', '32');
 DeleteFile('C:\Program Files\Uniblue\SpeedUpMyPC\speedupmypc.exe', '32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job', '32');
 DeleteFile('C:\Program Files\ver2BlockAndSurf\J4BlockAndSurfJ52.exe', '32');
 DeleteFile('C:\Windows\Tasks\BlockAndSurf Update.job', '32');
 DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Maintenance.job', '32');
 DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Startup.job', '32');
 DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayer-S-1-2-1298-9822', '32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1', '32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2', '32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3', '32');
 DeleteFile('C:\Windows\system32\Tasks\BlockAndSurf Update', '32');
 DeleteFile('C:\Windows\system32\Tasks\ShopperPro', '32');
 DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd', '32');
 DeleteFile('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_323331363336303938312d3437415a556c2a3223346c41', '32');
 DeleteFile('C:\ProgramData\ShopperPro\spbihe.js', '32');
 DeleteFile('C:\Program Files\ShopperPro\JSDriver\1.37.0.193\jsdrv.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\SPDriver', '32');
 DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Maintenance', '32');
 DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Startup', '32');
 DeleteFile('C:\Windows\system32\Tasks\UNELEVATE_22595', '32');
 DeleteFile('C:\Windows\system32\Tasks\{381B61CB-C56A-4D7B-BA44-EE7CB8A03F83}', '32');
 DeleteFile('C:\Users\Artem\AppData\Roaming\key-find\UninstallManager.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\{4C8CE70B-278C-4A29-A3C7-CBA2E4BBDE3E}', '32');
 DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe', '32');
 DeleteFile('C:\Program Files\pcdapp\starthelp.exe', '32');
 DeleteService('SPDRIVER_1.37.0.193');
 DeleteService('pfnfd_1_10_0_8');
 DeleteService('webTinstMK');
 DeleteService('SPBIUpdd');
 DeleteFileMask('C:\Program Files\pcdapp', '*', true);
 DeleteFileMask('C:\Program Files\Common Files\ShopperPro', '*', true);
 DeleteFileMask('C:\Program Files\ShopperPro', '*', true);
 DeleteFileMask('C:\ProgramData\ShopperPro', '*', true);
 DeleteFileMask('C:\Program Files\Uniblue', '*', true);
 DeleteFileMask('C:\Users\Artem\AppData\Roaming\Complitly', '*', true);
 DeleteFileMask('c:\users\artem\appdata\local\00000000-1424561432-0000-0000-00242150a216', '*', true);
 DeleteFileMask('C:\Program Files\XTab', '*', true);
 DeleteFileMask('c:\program files\ver2blockandsurf', '*', true);
 DeleteDirectory('C:\Program Files\pcdapp');
 DeleteDirectory('C:\Program Files\Common Files\ShopperPro');
 DeleteDirectory('C:\Program Files\ShopperPro');
 DeleteDirectory('C:\ProgramData\ShopperPro');
 DeleteDirectory('C:\Program Files\Uniblue');
 DeleteDirectory('C:\Users\Artem\AppData\Roaming\Complitly');
 DeleteDirectory('c:\users\artem\appdata\local\00000000-1424561432-0000-0000-00242150a216');
 DeleteDirectory('C:\Program Files\XTab');
 DeleteDirectory('c:\program files\ver2blockandsurf');
 DelBHO('{49D931C3-97C7-46BF-850F-83CC98E81623}');
 DelBHO('{0FB6A909-6086-458F-BD92-1F8EE10042A0}');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 DelBHO('{A923CA26-988F-4FE5-B1F5-B3DD3F3D6F4A}');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mobilegeni daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SPDriver');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SPDriver');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'amigo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Hoolapp Android', 'command');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Mediahit update process');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\desktopy', 'command');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end..

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

**artpolis** · 24.02.2015, 18:43

Вставил код, но после попытки запуска выполнения скипта появляется сообщение "Ошибка скрипта:позиция 14:17"
В тексте кода в строках
- QuarantineFile('C:\Program Files\PCDApp\cstart.bat"', '');
- DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Startup.job', '32');

абревиатуры в строках "bat" и "Startup" высвечивают какие-то сообщения ( ссылку) и окрашены в зелёный цвет

**Vvvyg** · 24.02.2015, 19:04

Поправил, выполняйте.

**artpolis** · 25.02.2015, 07:34

Я выполнил 2-й стандартный скрипт в AVZ. Извиняюсь, как мне прикрепить к своему сообщению сформированный файл virusinfo_syscheck.zip.? Что-то меня перемкнуло.

**Vvvyg** · 25.02.2015, 08:49

Как в начале это делали. Кнопка "Расширенный режим".

**artpolis** · 25.02.2015, 09:43

Спасибо, прикрепил приложение

**Vvvyg** · 25.02.2015, 10:15

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать, по окончании сканирования уберите галочки на вкладках Папки и Реестр со всех пунктов, где упоминаются Mail.Ru и MediaGet если используете соответствующие программы.

Затем нажмите Очистить и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**artpolis** · 26.02.2015, 13:27

Спасибо, вроде бы пакость типа визуальных закладок майлру и кей-финд исчезла.

**Vvvyg** · 26.02.2015, 14:52

Запустите AdwCleaner и нажмите Uninstall.

Выполните рекомендации после лечения.

**CyberHelper** · 26.02.2015, 15:02

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 7
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\common files\shopperpro\spbiu.exe - not-a-virus:AdWare.Win32.Agent.hing

Ребёнок скачивал игру и после установки поймал Key-Finder. Никак не могу убить эту заразу.Что делать? Спасибо. [not-a-virus:AdWare.Win32.Agent.hing ] (заявка № 178073)

Опции темы