Показано с 1 по 6 из 6.

Сами по себе устанавливаются программы not-a-virus:RiskTool.Win32.AdvancedPcCare.a, not-a-virus:AdWare.MSIL.Eorezo.bm при открывании страницы перекидывает на игровые сайты. (заявка № 196529)

  1. #1
    Junior Member Репутация
    Регистрация
    31.01.2016
    Сообщений
    2
    Вес репутации
    8

    Сами по себе устанавливаются программы not-a-virus:RiskTool.Win32.AdvancedPcCare.a, not-a-virus:AdWare.MSIL.Eorezo.bm при открывании страницы перекидывает на игровые сайты.


  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) shlango071, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,861
    Вес репутации
    843
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\users\Сергей\appdata\local\birds\birds365.exe');
     TerminateProcessByName('c:\program files\groover230120161208\csrcc.exe');
     TerminateProcessByName('c:\program files\groover230120161208\ebuofrej.exe');
     TerminateProcessByName('c:\program files\groover230120161208\fucolo.exe');
     TerminateProcessByName('C:\Program Files\groover230120161208\Fucolo64.exe');
     TerminateProcessByName('c:\program files\groover230120161208\nocwhq.exe');
     StopService('3F985544-B27F-44CF-85E6-B32FDFE5A0EE');
     StopService('csrcc');
     StopService('groover230120161208 Updater');
     QuarantineFile('c:\users\Сергей\appdata\local\birds\birds365.exe', '');
     QuarantineFile('c:\program files\groover230120161208\csrcc.exe', '');
     QuarantineFile('c:\program files\groover230120161208\ebuofrej.exe', '');
     QuarantineFile('c:\program files\groover230120161208\fucolo.exe', '');
     QuarantineFile('C:\Program Files\groover230120161208\Fucolo64.exe', '');
     QuarantineFile('c:\program files\groover230120161208\nocwhq.exe', '');
     QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\RuppellsVulture.dll', '');
     QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\RosyStarling.dll', '');
     QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\GrayPartridge.dll', '');
     QuarantineFile('C:\Program Files\groover230120161208\Uuvie.DLL', '');
     QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\BlackSwan.dll', '');
     QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\Cassowary.dll', '');
     QuarantineFile('Dumaze.sys', '');
     QuarantineFile('C:\ProgramData\Tmp0x0x\P', '');
     QuarantineFile('C:\Program Files\groover230120161208\Roetr.dll', '');
     QuarantineFile('C:\Users\Сергей\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
     QuarantineFile('C:\Users\Сергей\AppData\Local\Hostinstaller\2987258156_installcube.exe', '');
     QuarantineFile('C:\Users\Сергей\AppData\Local\SystemMonitor2016\2987258156.exe', '');
     QuarantineFile('C:\PROGRA~1\GROOVE~1\Lubbocfa.bat', '');
     DeleteFile('c:\users\Сергей\appdata\local\birds\birds365.exe', '32');
     DeleteFile('c:\program files\groover230120161208\csrcc.exe', '32');
     DeleteFile('c:\program files\groover230120161208\ebuofrej.exe', '32');
     DeleteFile('c:\program files\groover230120161208\fucolo.exe', '32');
     DeleteFile('C:\Program Files\groover230120161208\Fucolo64.exe', '32');
     DeleteFile('c:\program files\groover230120161208\nocwhq.exe', '32');
     DeleteFile('C:\Users\Сергей\AppData\Local\Birds\RuppellsVulture.dll', '32');
     DeleteFile('C:\Users\Сергей\AppData\Local\Birds\RosyStarling.dll', '32');
     DeleteFile('C:\Users\Сергей\AppData\Local\Birds\GrayPartridge.dll', '32');
     DeleteFile('C:\Program Files\groover230120161208\Uuvie.DLL', '32');
     DeleteFile('C:\Users\Сергей\AppData\Local\Birds\BlackSwan.dll', '32');
     DeleteFile('C:\Users\Сергей\AppData\Local\Birds\Cassowary.dll', '32');
     DeleteFile('Dumaze.sys', '32');
     DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys', '32');
     DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TS888x64.sys', '32');
     DeleteFile('C:\ProgramData\Tmp0x0x\P', '32');
     DeleteFile('C:\Program Files\groover230120161208\Roetr.dll', '32');
     DeleteFile('C:\Users\Сергей\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
     DeleteFile('C:\Users\Сергей\AppData\Local\Hostinstaller\2987258156_installcube.exe', '32');
     DeleteFile('C:\Users\Сергей\AppData\Local\SystemMonitor2016\2987258156.exe', '32');
     DeleteFile('C:\PROGRA~1\GROOVE~1\Lubbocfa.bat', '32');
     DeleteFile('C:\Users\Сергей\AppData\Roaming\WindowsUpdater\Updater.exe', '32');
     DeleteService('3F985544-B27F-44CF-85E6-B32FDFE5A0EE');
     DeleteService('csrcc');
     DeleteService('groover230120161208 Updater');
     DeleteService('Dumaze');
     DeleteService('QMUdisk');
     DeleteService('TS888x64');
     DeleteFileMask('c:\users\Сергей\appdata\local\birds', '*', true);
     DeleteFileMask('c:\program files\groover230120161208', '*', true);
     DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
     DeleteFileMask('C:\ProgramData\Tmp0x0x', '*', true);
     DeleteFileMask('C:\Users\Сергей\AppData\Local\Mail.Ru', '*', true);
     DeleteFileMask('C:\Users\Сергей\AppData\Local\Hostinstaller', '*', true);
     DeleteFileMask('C:\Users\Сергей\AppData\Local\SystemMonitor2016', '*', true);
     DeleteFileMask('C:\Users\Сергей\AppData\Roaming\WindowsUpdater', '*', true);
     DeleteDirectory('c:\users\Сергей\appdata\local\birds');
     DeleteDirectory('c:\program files\groover230120161208');
     DeleteDirectory('C:\Program Files (x86)\Tencent');
     DeleteDirectory('C:\ProgramData\Tmp0x0x');
     DeleteDirectory('C:\Users\Сергей\AppData\Local\Mail.Ru');
     DeleteDirectory('C:\Users\Сергей\AppData\Local\Hostinstaller');
     DeleteDirectory('C:\Users\Сергей\AppData\Local\SystemMonitor2016');
     DeleteDirectory('C:\Users\Сергей\AppData\Roaming\WindowsUpdater');
     DelBHO('{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}');
     DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
     ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Tisgi" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater4" /F', 0, 15000, true);
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    31.01.2016
    Сообщений
    2
    Вес репутации
    8

    файлы после сканирования программой farbar


  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,861
    Вес репутации
    843
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM-x32\...\Run: [gmsd_ru_005010213] => [X]
    HKLM-x32\...\Run: [gmsd_ru_005010215] => [X]
    HKLM-x32\...\Run: [gmsd_ru_005010212] => [X]
    HKU\S-1-5-21-2570669229-90642131-1025611686-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=820475
    SearchScopes: HKU\S-1-5-21-2570669229-90642131-1025611686-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
    BHO: groover230120161208 -> {8A647EB9-B2E6-4B02-a0F7-FEE60494DC97} -> C:\Program Files\groover230120161208\Roetr64.dll => No File
    StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1453215781&z=3c98d745fa36919e80c652dg5z9wcc8ocg1w8m0tdg&from=face&uid=WDCXWD7500AADS-00M2B0_WD-WCAV5004924949249
    FF DefaultSearchEngine: Поиск@Mail.Ru
    FF SelectedSearchEngine: Поиск@Mail.Ru
    FF Homepage: hxxp://mail.ru/cnt/10445?gp=820475
    FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7B20FDC599-042F-4A49-A4BD-BDBFF17F84CC%7D&gp=820485
    FF user.js: detected! => C:\Users\Сергей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2016-01-23]
    FF HKLM\...\Firefox\Extensions: [{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}] - C:\Program Files\groover230120161208\Firefox\{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}.xpi => not found
    FF HKLM-x32\...\Firefox\Extensions: [{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}] - C:\Program Files\groover230120161208\Firefox\{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}.xpi => not found
    CHR HomePage: Default -> mail.ru/cnt/11956636
    CHR Extension: (Kaspersky Protection) - C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpeeaghdjmhlakojjcgfdhgcejdaefmi [2016-01-31]
    CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
    CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
    CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-01-19] (DotC United Inc)
    S1 cherimoya; system32\drivers\cherimoya.sys [X]
    2016-01-23 17:01 - 2016-01-23 17:01 - 00000000 ____D C:\Users\Сергей\AppData\Local\Birds365
    2016-01-23 17:01 - 2016-01-23 17:01 - 00000000 ____D C:\Users\Сергей\AppData\Local\Birds
    2016-01-23 17:00 - 2016-01-23 17:00 - 00000000 ____D C:\Users\Сергей\AppData\LocalLow\Company
    2016-01-23 17:00 - 2016-01-23 17:00 - 00000000 ____D C:\Users\Сергей\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
    2016-01-23 17:00 - 2016-01-23 17:00 - 00000000 ____D C:\uninst
    016-01-23 16:42 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\34323030-1453567379-4438-4246-4242FFFFFFFF
    2016-01-23 16:11 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\34323030-1453565498-4438-4246-4242FFFFFFFF
    2016-01-23 16:10 - 2016-01-25 00:29 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\ASPackage
    2016-01-23 16:10 - 2016-01-25 00:29 - 00000000 ____D C:\Program Files (x86)\34323030-1453554631-4438-4246-4242FFFFFFFF
    2016-01-20 20:11 - 2016-01-20 20:11 - 00000000 ____D C:\Users\Все пользователи\RRhnHwEi
    2016-01-20 20:11 - 2016-01-20 20:11 - 00000000 ____D C:\Users\Все пользователи\igeWZO
    2016-01-19 18:38 - 2016-01-19 18:36 - 00060136 _____ (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys
    2016-01-19 18:36 - 2016-01-23 16:09 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-01-19 18:27 - 2016-01-20 22:47 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\yoursearching
    2016-01-19 18:11 - 2016-01-19 18:11 - 00000000 ____D C:\ProgramData\YynLPFPf
    2016-01-19 18:02 - 2016-01-20 22:50 - 00000000 ____D C:\Program Files\Sound+
    2016-01-19 17:53 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\34323030-1453226018-4438-4246-4242FFFFFFFF
    2016-01-19 17:52 - 2016-01-25 01:03 - 00000000 ____D C:\Program Files (x86)\34323030-1453215130-4438-4246-4242FFFFFFFF
    2016-01-19 17:52 - 2016-01-19 17:51 - 00001017 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
    2016-01-19 17:51 - 2016-01-19 17:51 - 00000000 ____D C:\Users\Сергей\AppData\Local\SystemMonitor2016
    2016-01-11 20:44 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\Hzdioacsj
    2016-01-11 20:44 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\cFMjnfFQ
    2016-01-11 20:44 - 2016-01-11 23:01 - 00000000 ____D C:\ProgramData\hStlaUHpdnlNXZC
    2016-01-11 14:54 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\xUbZqSLJ
    2016-01-11 14:54 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\QDQVQmSlPk
    2016-01-11 14:54 - 2016-01-23 22:26 - 00000000 ____D C:\Users\Все пользователи\fUuRmGb
    2016-01-08 22:11 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\oDLYbAZ
    2016-01-08 22:11 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\kBoOsa
    2016-01-08 22:11 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\DefIrSb
    2016-01-05 10:21 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\mRPkRHoAU
    2016-01-05 10:21 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\kEdNnQYyJhz
    2016-01-05 10:21 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\FbaZSKC
    2016-01-04 18:37 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\pybjJKFnwHTda
    2016-01-04 18:37 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\PpfIDM
    2016-01-04 18:37 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\CgWpYYDpddhclN
    2016-01-02 17:51 - 2016-01-02 17:51 - 00000000 ____D C:\Users\Public\Documents\GenieSoft
    2016-01-02 17:50 - 2016-01-11 22:17 - 00000000 ____D C:\Users\Сергей\Documents\Mobogenie
    2016-01-02 17:50 - 2016-01-02 17:50 - 00000000 ____D C:\Users\Сергей\AppData\Local\Hostinstaller
    2016-01-02 17:48 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\lmtiee
    2016-01-02 17:48 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\zqWMkt
    2016-01-02 17:48 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\iebmbGJoCuSRKyn
    2016-01-02 17:47 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\gOtSyvMowCqctGz
    FirewallRules: [{3E48E6F7-DEFA-4069-B4E0-0CC3339D8053}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
    FirewallRules: [{3D5DA134-0ECA-4057-80DD-EEF3DBBA99F5}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL
    C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
    C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
    C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器 (2).lnk
    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupApproved\Run\amigo"" /f
    CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}" /f /reg:32
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    WBR,
    Vadim

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) shlango071, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 05.04.2016, 23:15
    2. Ответов: 7
      Последнее сообщение: 30.11.2015, 20:46
    3. Ответов: 9
      Последнее сообщение: 14.08.2015, 15:18
    4. Ответов: 10
      Последнее сообщение: 06.08.2015, 16:05
    5. Ответов: 8
      Последнее сообщение: 10.06.2015, 16:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01522 seconds with 17 queries