открываются левые сайты и реклама в хроме [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:AdWare.Win32.Vopak.ast ]

[max2008k]

Появилась реклама в хроме и перенаправления на другие сайты, а также установка каких-то левых программ

[Info_bot]

Уважаемый(ая) max2008k, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Никита Соловьев]

Выполните скрипт в AVZ:

Код:

BEGIN
 ClearQuarantine;
 TerminateProcessByName('C:\Users\Maximka\AppData\Roaming\svchost.exe');
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files (x86)\miuitab\protectservice.exe');
 TerminateProcessByName('c:\temp\nsy621d.tmp');
 TerminateProcessByName('c:\users\maximka\appdata\roaming\nssm.exe');
 TerminateProcessByName('c:\program files (x86)\miuitab\hpnotify.exe');
 TerminateProcessByName('c:\program files (x86)\8636d6e0-1436968206-11d5-9c64-001fc6180843\jnsf5f4e.tmp');
 TerminateProcessByName('c:\program files (x86)\8636d6e0-1436968206-11d5-9c64-001fc6180843\knsf4208.tmpfs');
 TerminateProcessByName('c:\program files (x86)\miuitab\cmdshell.exe');
 TerminateProcessByName('c:\program files (x86)\gamexpservice\gamexpsvc.exe');
 TerminateProcessByName('c:\program files (x86)\8636d6e0-1436968206-11d5-9c64-001fc6180843\hnsk79f1.tmp');
 QuarantineFile('C:\Program Files (x86)\8636D6E0-1436968206-11D5-9C64-001FC6180843\hnsk79F1.tmp','');
 QuarantineFile('C:\Users\Maximka\appdata\local\smartweb\__u.exe','');
 QuarantineFile('C:\Users\Maximka\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 QuarantineFile('C:\Users\Maximka\AppData\Local\Host installer\3169388124_installcube.exe','');
 QuarantineFile('C:\Users\Maximka\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Users\Maximka\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Maximka\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('c:\program files (x86)\miuitab\protectservice.exe','');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
 QuarantineFile('c:\temp\nsy621d.tmp','');
 QuarantineFile('c:\users\maximka\appdata\roaming\nssm.exe','');
 QuarantineFile('c:\program files (x86)\8636d6e0-1436968206-11d5-9c64-001fc6180843\jnsf5f4e.tmp','');
 QuarantineFile('c:\program files (x86)\8636d6e0-1436968206-11d5-9c64-001fc6180843\knsf4208.tmpfs','');
 QuarantineFile('C:\Windows\system32\drivers\{944009a5-dde1-4778-861e-fb4fc61382dd}Gw64.sys','');
 QuarantineFile('C:\Users\Maximka\AppData\Roaming\svchost.exe','');
 QuarantineFile('c:\program files (x86)\8636d6e0-1436968206-11d5-9c64-001fc6180843\hnsk79f1.tmp','');
 QuarantineFile('c:\temp\nsm19a.tmp','');
 QuarantineFile('c:\program files (x86)\miuitab\cmdshell.exe','');
 QuarantineFile('c:\program files (x86)\gamexpservice\gamexpsvc.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\Update\GoogleUpdate.exe','');
 DeleteService('{944009a5-dde1-4778-861e-fb4fc61382dd}Gw64');
 DeleteService('Util Coupon Time');
 DeleteService('Update Coupon Time');
 DeleteService('zejytose');
 DeleteService('WindowsMangerProtect');
 DeleteService('vicoqudu');
 DeleteService('noxebutu');
 DeleteService('IHProtect Service');
 DeleteService('gamexpsvc');
 DeleteService('clr_optimization_v1.0');
 DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
 DeleteFile('c:\program files (x86)\8636d6e0-1436968206-11d5-9c64-001fc6180843\hnsk79f1.tmp','32');
 DeleteFile('c:\program files (x86)\gamexpservice\gamexpsvc.exe','32');
 DeleteFile('c:\program files (x86)\miuitab\cmdshell.exe','32');
 DeleteFile('c:\temp\nsm19a.tmp','32');
 DeleteFile('c:\program files (x86)\8636d6e0-1436968206-11d5-9c64-001fc6180843\knsf4208.tmpfs','32');
 DeleteFile('c:\program files (x86)\8636d6e0-1436968206-11d5-9c64-001fc6180843\jnsf5f4e.tmp','32');
 DeleteFile('c:\users\maximka\appdata\roaming\nssm.exe','32');
 DeleteFile('c:\temp\nsy621d.tmp','32');
 DeleteFile('c:\program files (x86)\miuitab\protectservice.exe','32');
 DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
 DeleteFile('C:\Users\Maximka\AppData\Roaming\svchost.exe','32');
 DeleteFile('C:\Windows\system32\drivers\{944009a5-dde1-4778-861e-fb4fc61382dd}Gw64.sys','32');
 DeleteFile('C:\Users\Maximka\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Maximka\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\Users\Maximka\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\Maximka\AppData\Local\Host installer\3169388124_installcube.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
 DeleteFile('C:\Windows\system32\Tasks\{AA4A1E5D-2EFE-41D4-9B15-F0AF433D6F70}','64');
 DeleteFile('C:\Users\Maximka\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
 DeleteFile('C:\Users\Maximka\appdata\local\smartweb\__u.exe','32');
 DeleteFile('C:\Program Files (x86)\8636D6E0-1436968206-11D5-9C64-001FC6180843\hnsk79F1.tmp','32');
 DeleteFileMask('C:\Program Files (x86)\8636D6E0-1436968206-11D5-9C64-001FC6180843','*',true);
 DeleteFileMask('C:\Users\Maximka\appdata\local\smartweb','*',true);
 DeleteFileMask('C:\Users\Maximka\AppData\Roaming\mystartsearc','*',true);
 DeleteFileMask('c:\program files (x86)\miuitab','*',true);
 DeleteFileMask('c:\program files (x86)\gamexpservice','*',true);
 DeleteFileMask('c:\programdata\windowsmangerprotect','*',true);
 DeleteFileMask('c:\temp','*',true);
 DeleteDirectory('C:\Users\Maximka\appdata\local\smartweb');
 DeleteDirectory('C:\Program Files (x86)\8636D6E0-1436968206-11D5-9C64-001FC6180843');
 DeleteDirectory('C:\Users\Maximka\AppData\Roaming\mystartsearc');
 DeleteDirectory('c:\program files (x86)\miuitab');
 DeleteDirectory('c:\program files (x86)\gamexpservice');
 DeleteDirectory('c:\temp');
 DeleteDirectory('c:\programdata\windowsmangerprotect');
 ExecuteSysClean;
 ExecuteWizard('TSW',2,3,true);
 ExecuteWizard('SCU',2,2,true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
END.

Компьютер будет перезагружен.

Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.

Повторите действия, указанные в правилах и подготовьте новый отчёт syscheck.
________________________

Подготовьте отчёт ADWCleaner.

________________________

1. Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите Check Browsers LNK.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
5. Прикрепите этот отчет в вашей теме.

[max2008k]

Сделал

[Никита Соловьев]

Удалите всё, что обнаружила программа adwcleaner согласно инструкции.
____________________

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

____________________

Сделайте новый отчёт virusinfo_syscheck.

[max2008k]

Сделал

[Никита Соловьев]

Проблема решена?

[max2008k]

Проблема возможно решена. Рекламы нет, на левые сайты пока что не перебрасывает

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\miuitab\cmdshell.exe - not-a-virus:AdWare.Win32.SearchProtect.ti
  2. c:\program files (x86)\miuitab\protectservice.exe - not-a-virus:AdWare.Win32.ELEX.be
  3. c:\program files (x86)\8636d6e0-1436968206-11d5-9c64-001fc6180843\hnsk79f1.tmp - not-a-virus:AdWare.Win32.Vopak.ast
  4. c:\program files (x86)\8636d6e0-1436968206-11d5-9c64-001fc6180843\jnsf5f4e.tmp - not-a-virus:AdWare.Win32.ConvertAd.awz ( AVAST4: Win32:Rootkit-gen [Rtk] )
  5. c:\programdata\windowsmangerprotect\protectwindows manager.exe - not-a-virus:AdWare.Win32.WProtManager.bj
  6. c:\temp\nsm19a.tmp - Trojan-Downloader.Win32.Genome.tkpa
  7. c:\users\maximka\appdata\local\host installer\3169388124_installcube.exe - not-a-virus:Downloader.Win32.IObit.d
  8. c:\users\maximka\appdata\local\smartweb\__u.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: archive:, AVAST4: Win32:Malware-gen )
  9. c:\users\maximka\appdata\roaming\mystartsearch\uni nstallmanager.exe - not-a-virus:AdWare.Win32.ELEX.ba
  10. c:\users\maximka\appdata\roaming\svchost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.tb
  11. c:\windows\system32\drivers\{944009a5-dde1-4778-861e-fb4fc61382dd}gw64.sys - not-a-virus:NetTool.Win64.NetFilter.k ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.SwiftBrowse.CH )