Всплывающие сообщения, новые окна, реклама на месте картинок при наведении курсора

[karina_kv]

Здравствуйте.

Помогите, пожалуйста, избавится от вируса.
Набор его действий: картинки переворачиваются при наведении курсора, при нажатии кнопки поиска в гугл открывается отдельное окно с "Казино вулкан", то же часто происходит при переходе по ссылкам на страницах. Реклама встраивается на странички.

Я скачала Farbar Recovery Scan Tool, просканировала с галочками на "List BCD" и "Driver MD5".
Отчеты, которые создались в результате - прикрепляю.


Очень надеюсь на помощь.
Большое спасибо заранее.


Карина.

[Info_bot]

Уважаемый(ая) karina_kv, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

http://virusinfo.info/pravila.html

[karina_kv]

Здравствуйте.
Сделала как написано в инструкции.

Файлы прикрепляю.

Спасибо.
Карина.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Kate\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\BonanzaDeals\BonanzaDealsUpdate.exe','');
 DelBHO('{fe063412-bea4-4d76-8ed3-183be6220d17}');
 QuarantineFile('C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll','');
 QuarantineFile('C:\Users\Kate\AppData\Local\Kometa\Application\kometa.exe','');
 QuarantineFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','');
 DeleteService('bonanzadealslivem');
 DeleteService('bonanzadealslive');
 DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32');
 DeleteFile('C:\Users\Kate\AppData\Local\Kometa\Application\kometa.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mmbftujubn');
 DeleteFile('C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll','32');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64');
 DeleteFile('C:\Program Files (x86)\BonanzaDeals\BonanzaDealsUpdate.exe','32');
 DeleteFile('C:\Users\Kate\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\DealPly','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[karina_kv]

Здравствуйте.

Спасибо за рекомендации.

Я выполнила оба скрипта.
Прислала запрошенный карантин по красной ссылке
Выполнила правила еще раз.
Высылаю новые логи.

С уважением,
Карина.

[thyrex]

Сделайте лог полного сканирования МВАМ

[karina_kv]

Здравствуйте.

Прикрепляю лог полного сканирования МВАМ.
Жду дальнейших указаний.


Спасибо.
Карина.

[thyrex]

Удалите в МВАМ все, кроме

Код:

PUP.Keygen.Intro, C:\Users\Kate\Desktop\Mov\Adobe Illustrator CS6 16.2.0\Активация\keygen-CORE\CORE10k.EXE, , [19389575ff8c5bdbc415a15072929e62], 
PUP.RiskWare.Patcher, C:\Users\Kate\Desktop\Mov\Adobe Illustrator CS6 16.2.0\Сначала открыть эту папку и прочитать инструкцию\aam-patch.painter.exe, , [a7aa8189226979bd2bd8438728d918e8], 
PUP.RiskWare.Patcher, C:\Users\Kate\Desktop\Mov\Photodex ProShow Producer v6.0.3410 Final Eng_Rus\patch Producer & Gold 6.0.3410 by KHG\proshow.producer.-.gold.6.0.3410-patch.exe, , [2031a466b5d6a98d5da6606ac23f6d93], 
Malware.Gen, C:\Users\Kate\Desktop\Mov\Photoshop.CS6\Adobe.Photoshop.CS6.u3.(RU-EN)\Crack\2_Serial_Keygen.exe, , [ea675caeddaee5514e8b472537c92ad6], 
PUP.RiskWareTool.CK, C:\Users\Kate\Desktop\Mov\Photoshop.CS6\Adobe.Photoshop.CS6.u3.(RU-EN)\Crack\3_Activation_Keygen.exe, , [a8a953b77318a5910a0ba624679a22de], 
RiskWare.Tool.CK, H:\PremiereCS4\2.Adobe All Products Keymaker v1.03\Adobe All Products Keymaker v1.03.exe, , [173aa26823682f07d455d3769f622fd1],

[karina_kv]

Удалила в МВАМ все кроме указанных строк.
Перезагрузилась.
Эффекта пока нет, все зловредности на месте.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[karina_kv]

Спасибо.

Просканировала при помощи FRST.
Отчеты выкладываю.

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-4047661791-4214710902-1316209243-1000\...\Run: [AdobeBridge] => [X]
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Task: {51AD146D-3A10-4736-AE37-0103B37DF597} - \nethost task -> No File <==== ATTENTION
Task: {21568FDA-0E9A-4DA1-87DB-9A4FCD49E939} - \DealPly -> No File <==== ATTENTION
Task: {19230EF8-7B21-4D31-8EEE-1CC1545BDD78} - \BonanzaDealsUpdate -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[karina_kv]

Здравствуйте.

Выполнила рекомендации.
Прикрепляю Fixlog.
Зловредности пока остались.


Спасибо.

[thyrex]

Отключите все установленные расширения для браузеров и проверьте проблему

[karina_kv]

Проблема благополучно разрешена.
Огромное спасибо!


С уважением,
Карина.

[thyrex]

Теперь по одному включайте. Найдете проблемное, сообщите нам его имя, а само расширение удалите

[karina_kv]

А я их все, кроме расширений Google docs удалила сразу...
Было три или два. Вроде бы имели отношение к mail.ru.
Но к сожалению, не помню точно названий. Не обратила внимание.

[thyrex]

Удалите МВАМ