Показано с 1 по 17 из 17.

Браузер выдает рекламные сайты [not-a-virus:AdWare.Win32.Eorezo.brqa, not-a-virus:AdWare.Win32.Eorezo.beay ] (заявка № 193875)

  1. #1
    Junior Member Репутация
    Регистрация
    04.12.2015
    Сообщений
    8
    Вес репутации
    8

    Браузер выдает рекламные сайты [not-a-virus:AdWare.Win32.Eorezo.brqa, not-a-virus:AdWare.Win32.Eorezo.beay ]

    Доброго времени суток.
    Помогите, пожалуйста, с такой проблемой.
    При открытии браузера Internet Explorer каждый раз открывается разная стартовая страница рекламного характера, хотя в объекте прописано
    C:\ProgramData\udmYGIRuexyMxF\eQbrVy5.bat
    а рабочая папка
    %HOMEDRIVE%%HOMEPATH%

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) Russianguy27, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    04.12.2015
    Сообщений
    8
    Вес репутации
    8
    Проверка AVZ
    Внимание !!! База поcледний раз обновлялась 04.09.2015 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Протокол антивирусной утилиты AVZ версии 4.45
    Сканирование запущено в 04.12.2015 04:03:16
    Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 04.09.2015 13:03
    Загружены микропрограммы эвристики: 394
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 759075
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: включено
    Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Ultimate", дата инсталляции 28.12.2013 00:10:55 ; AVZ работает с правами администратора (+)
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка - не найден файл (C:\SystemRoot\system32\xNtKrnl.exe)
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
    Ошибка загрузки драйвера - проверка прервана [C000036B]
    2. Проверка памяти
    Количество найденных процессов: 24
    Анализатор - изучается процесс 2032 C:\Program Files (x86)\Adguard\AdguardSvc.exe
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 1876 C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
    [ES]:Приложение не имеет видимых окон
    Количество загруженных модулей: 364
    Проверка памяти завершена
    3. Сканирование дисков
    Прямое чтение C:\Users\Sergey\AppData\Local\Microsoft\Windows\We bCache\WebCacheV01.tmp
    Прямое чтение C:\Users\Sergey\AppData\Local\Temp\~DF304A3CF43E27 0D2D.TMP
    Прямое чтение C:\Users\Sergey\AppData\Local\Temp\~DF7E584D0F1DF8 7838.TMP
    Прямое чтение C:\Users\Sergey\AppData\Local\Temp\~DF8C3D01A5A5C1 880C.TMP
    Прямое чтение C:\Users\Sergey\AppData\Local\Temp\~DF9100BFE63024 E645.TMP
    Прямое чтение C:\Users\Sergey\AppData\Local\Temp\~DF9B93EDD4058B 3B45.TMP
    Прямое чтение C:\Users\Sergey\AppData\Local\Temp\~DFB0D7367B4A61 DF85.TMP
    Прямое чтение C:\Users\Sergey\AppData\Local\Temp\~DFD8E9BA88D2E1 190B.TMP
    Прямое чтение C:\Users\Sergey\AppData\Local\Temp\~DFEC01A927D407 EA2D.TMP
    Прямое чтение C:\Users\Sergey\AppData\Local\Temp\~DFEDA418D8DEA5 76C2.TMP
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 317 описаний портов
    На данном ПК открыто 270 TCP портов и 9 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помощнику
    Проверка завершена
    9. Мастер поиска и устранения проблем
    Проверка завершена
    Просканировано файлов: 52944, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 04.12.2015 04:23:45
    Сканирование длилось 0032

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Продолжайте чтение правил и прикрепление нужных логов к сообщению
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    04.12.2015
    Сообщений
    8
    Вес репутации
    8
    Теперь вроде бы все )))
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Продолжайте чтение правил
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    04.12.2015
    Сообщений
    8
    Вес репутации
    8
    Подскажите как быть... при создании лога при отключенном интернете и всех вспомогательных программ (антивирус, блокиратор рекламы и прочих) AVZ с обновленной базой постоянно зависает при чтении папки
    C;\Users\Sergey\AppData\Local\Microsoft\Windows\We bCache\WebCacheV01.tmp

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Стандартный скрипт №2 выполните
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    04.12.2015
    Сообщений
    8
    Вес репутации
    8
    Можно уточнить, надо обязательно все программы, интернет, антивирусы закрывать при выполнении скрипта?

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Если трудно это сделать, не закрывайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    04.12.2015
    Сообщений
    8
    Вес репутации
    8
    Второй пункт, на 3 постоянно зависает
    Вложения Вложения

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Вы вообще читать умеете? Лог virusinfo_syscheck.zip пришлите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    04.12.2015
    Сообщений
    8
    Вес репутации
    8
    Спасибо а терпение
    Вложения Вложения

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Sergey\AppData\Local\ZVeKnOk\rxonPCQCerBchz1.bat','');
     QuarantineFile('C:\ProgramData\fPDQrdPE\lquvMLU5.bat','');
     QuarantineFile('C:\ProgramData\UtGgdK\JjEDAyFcqCPSo0.bat','');
     QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
     QuarantineFile('C:\Users\Sergey\AppData\Roaming\MyDesktop\qweeeCL.exe','');
     QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
     DeleteService('softaal');
     DeleteService('TsDefenseBt');
     DeleteService('QMUdisk');
     SetServiceStart('cusinuso', 4);
     SetServiceStart('HHandler Service', 4);
     SetServiceStart('kyvixuri', 4);
     SetServiceStart('SSFK', 4);
     SetServiceStart('WdMan', 4);
     DeleteService('rizyqibe');
     DeleteService('QQPCRTP');
     DeleteService('LiveUpdateSvc');
     DeleteService('WdMan');
     DeleteService('SSFK');
     DeleteService('kyvixuri');
     DeleteService('HHandler Service');
     DeleteService('cusinuso');
     QuarantineFile('C:\Program Files (x86)\00000000-1449775743-0000-0000-D43D7EB901D9\jnsoAFF9.tmp','');
     TerminateProcessByName('c:\programdata\1wdm1\wdman.exe');
     QuarantineFile('c:\programdata\1wdm1\wdman.exe','');
     TerminateProcessByName('c:\users\sergey\appdata\local\gmsd_ru_005010190\upgmsd_ru_005010190.exe');
     QuarantineFile('c:\users\sergey\appdata\local\gmsd_ru_005010190\upgmsd_ru_005010190.exe','');
     TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
     QuarantineFile('c:\program files (x86)\sfk\ssfk.exe','');
     TerminateProcessByName('c:\program files (x86)\rec_ru_150\rec_ru_150.exe');
     QuarantineFile('c:\program files (x86)\rec_ru_150\rec_ru_150.exe','');
     TerminateProcessByName('c:\program files (x86)\manager\manager.exe');
     QuarantineFile('c:\program files (x86)\manager\manager.exe','');
     TerminateProcessByName('c:\program files (x86)\00000000-1450823540-0000-0000-d43d7eb901d9\knsa4c94.tmpfs');
     TerminateProcessByName('c:\program files (x86)\00000000-1449775743-0000-0000-d43d7eb901d9\knsj7812.tmpfs');
     QuarantineFile('c:\program files (x86)\00000000-1449775743-0000-0000-d43d7eb901d9\knsj7812.tmpfs','');
     QuarantineFile('c:\program files (x86)\00000000-1450823540-0000-0000-d43d7eb901d9\knsa4c94.tmpfs','');
     DeleteFile('c:\program files (x86)\00000000-1450823540-0000-0000-d43d7eb901d9\knsa4c94.tmpfs','32');
     DeleteFile('c:\program files (x86)\00000000-1449775743-0000-0000-d43d7eb901d9\knsj7812.tmpfs','32');
     DeleteFile('c:\program files (x86)\manager\manager.exe','32');
     DeleteFile('c:\program files (x86)\rec_ru_150\rec_ru_150.exe','32');
     DeleteFile('c:\program files (x86)\sfk\ssfk.exe','32');
     DeleteFile('c:\users\sergey\appdata\local\gmsd_ru_005010190\upgmsd_ru_005010190.exe','32');
     DeleteFile('c:\programdata\1wdm1\wdman.exe','32');
     DeleteFile('C:\Program Files (x86)\00000000-1449775743-0000-0000-D43D7EB901D9\jnsoAFF9.tmp','32');
     DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16924.223\QQPCRtp.exe','32');
     DeleteFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe','32');
     DeleteFile('QMUdisk.sys','32');
     DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16924.223\TsDefenseBT64.sys','32');
     DeleteFile('softaal.sys','32');
     DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
     DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_ru_150');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010190.exe');
     DeleteFile('C:\Users\Sergey\AppData\Roaming\MyDesktop\qweeeCL.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
     DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
     DeleteFile('C:\ProgramData\UtGgdK\JjEDAyFcqCPSo0.bat','32');
     DeleteFile('C:\ProgramData\fPDQrdPE\lquvMLU5.bat','32');
     DeleteFile('C:\Users\Sergey\AppData\Local\ZVeKnOk\rxonPCQCerBchz1.bat','32');
     DeleteFile('C:\Windows\system32\Tasks\{96AE3501-6A27-4480-9E78-E2F665227F14}','64');
     DeleteFile('C:\Users\Sergey\AppData\Roaming\yoursearching\UninstallManager.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Сделайте лог Check Browsers' LNK

    Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    04.12.2015
    Сообщений
    8
    Вес репутации
    8
    В логах значится программа Cool edit pro 2.0 - современное название программы Adobe audition - звуковой редактор, которым пользуется значительное количество людей, работающих со звуком.

    Также снова программа AVZ зависает при выполнении 3-го лога.

    [InfectedFile]
    Src=C:\Users\Sergey\AppData\Local\Temp\nsuA287.tmp \blowfish.dll
    Infected=avz00001.dta
    Virus=Подозрение на Trojan-PSW.Win32.OnLineGames.kt ( 0A1FE5A0 054CC8C7 0020EEA4 0023C82D 2252
    QDate=01.01.2016 15:09:12
    Size=22528
    MD5=5AFD4A9B7E69E7C6E312B2CE4040394A
    FileDate=20.12.2015 1:23:18
    AVZVer=4.45
    Attr=rsAh
    MainAVBase=01.01.2016 4:00:11
    Encrypted=0
    Is64=0
    Вложения Вложения
    Последний раз редактировалось Russianguy27; 01.01.2016 в 14:41.

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    1. Распакуйте архив с утилитой в отдельную папку.
    2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

    3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    4. Прикрепите этот отчет к своему следующему сообщению.

    + Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files (x86)\manager\manager.exe - not-a-virus:AdWare.Win32.Amonetize.cbfn
      2. c:\program files (x86)\rec_ru_150\rec_ru_150.exe - not-a-virus:AdWare.Win32.Eorezo.beay ( DrWEB: Adware.Eorezo.749 )
      3. c:\program files (x86)\sfk\ssfk.exe - not-a-virus:AdWare.Win32.ELEX.hl ( DrWEB: Adware.Mutabaha.722 )
      4. c:\programdata\1wdm1\wdman.exe - not-a-virus:AdWare.Win32.ELEX.gr ( DrWEB: Adware.Mutabaha.672 )
      5. c:\users\sergey\appdata\local\gmsd_ru_005010190\up gmsd_ru_005010190.exe - not-a-virus:AdWare.Win32.Eorezo.brqa ( DrWEB: Adware.Eorezo.749 )


  • Уважаемый(ая) Russianguy27, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Браузер открывает рекламные сайты
      От Konus91 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.12.2014, 21:43
    2. Ответов: 9
      Последнее сообщение: 01.07.2014, 21:24
    3. Помогите, браузер сам открывает рекламные сайты
      От Максим Сергеевич в разделе Помогите!
      Ответов: 56
      Последнее сообщение: 26.02.2014, 19:59
    4. Браузер сам открывает рекламные сайты
      От CeperaCepera в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 21.12.2012, 13:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00432 seconds with 17 queries