Рекламный террор. [not-a-virus:AdWare.Win32.Agent.kbtm, not-a-virus:AdWare.Win32.Misskaz.a]

**offshore** · 22.08.2016, 19:15

Амиго, Мейл.сру и множество всякой произвольно устанавливающейся ненужной ерунды, а также открытие десятков вкладок с рекламой в браузере во время игрового процесса. Все что мог, удалил через "Установку и удаление программ".
Буду благодарен за помощь, Уважаемые Хелперы!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.08.2016, 19:16

Уважаемый(ая) offshore, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 23.08.2016, 11:00

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\svchost.exe');
 QuarantineFile('C:\Program Files\caster\wizzcaster.exe', '');
 QuarantineFile('C:\Windows\csrss.exe', '');
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFileF('C:\Program Files (x86)\Sterjotioncajucult\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\spacesoundpro\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFileF('C:\Program Files\caster\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe', '');
 QuarantineFile('C:\Users\M41\AppData\Roaming\Adobe\Manager.exe', '');
 QuarantineFileF('C:\Users\M41\AppData\Roaming\Adobe\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Windows\csrss.exe', '32');
 DeleteFile('C:\Program Files\caster\wizzcaster.exe', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe', '32');
 DeleteFile('C:\Users\M41\AppData\Roaming\Adobe\Manager.exe');
 DeleteService('Windows');
 DeleteFileMask('C:\Program Files (x86)\Sterjotioncajucult\', '*', true);
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Sterjotioncajucult\');
 DeleteDirectory('c:\program files\spacesoundpro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

**offshore** · 23.08.2016, 11:41

Здравствуйте, сделано.
http://virusinfo.info/showthread.php?t=203341
virusinfo_auto_PGC51017.zip
MD5 карантина: 1489F2A32868D26DBFE6B3321FE434B9
Размер в байтах: 1944847
Карантин отослал через форму.
Логи с AdwCleaner и повторные с AVZ прикрепил.
↓

**regist** · 23.08.2016, 12:39

Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Tools ->Options (Инструменты ->Настройки) отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

- сделайте лог Check Browsers' LNK by Dragokas & regist.

сделайте лог HiJackThis 2.0.6 Alpha 3.0

**offshore** · 23.08.2016, 13:08

Готово.

**regist** · 23.08.2016, 14:01

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\M41\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\807c089b1b28a782\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\M41\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\M41\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\OOLEHR~1.LNK', '');
 QuarantineFile('C:\Users\M41\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\OOLEHR~2.LNK', '');
 QuarantineFile('C:\Users\M41\Desktop\Programm\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\M41\Desktop\Программы\Programm\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Default\Desktop\Programm\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\M41\Desktop\Программы\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\M41\Desktop\Программы\Панель запуска приложений Chrome.lnk', '');
 QuarantineFile('C:\Users\M41\Desktop\Игровой центр Mail.Ru.lnk', '');
 QuarantineFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\OOLEHR~1.LNK', '');
 QuarantineFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\OZILLA~1.LNK', '');
 QuarantineFile('C:\Users\M41\Desktop\µTorrent.lnk', '');
 QuarantineFile('C:\Users\M41\Desktop\Илья\Lego Indiana Jones 2.The Adventure Continues.lnk', '');
 QuarantineFile('C:\Users\M41\Desktop\Программы\GeForce Experience.lnk', '');
 QuarantineFile('C:\Users\M41\Desktop\Программы\HAL.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk', '');
 QuarantineFile('C:\ProgramData\Ｇooｇle Ｃhroｍe.lnk.bat', '');
 QuarantineFile('C:\ProgramData\Ｍozilla Ｆireｆox.lnk.bat', '');
 DeleteFile('C:\ProgramData\Ｇooｇle Ｃhroｍe.lnk.bat', '');
 DeleteFile('C:\ProgramData\Ｍozilla Ｆireｆox.lnk.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis

Код:

O22 - ScheduledTask: (Running) MailruSetup - \Microsoft\Windows\Multimedia - C:\Users\M41\AppData\Local\MailruSetup\MailruSetup.exe 789286

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

C:\Users\M41\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\807c089b1b28a782\Google Chrome.lnk
C:\Users\M41\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\M41\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\OOLEHR~1.LNK
C:\Users\M41\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ｇooｇle Ｃhroｍe (2).lnk
C:\Users\M41\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\OOLEHR~2.LNK
C:\Users\M41\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ｇooｇle Ｃhroｍe.lnk
C:\Users\M41\Desktop\Programm\Google Chrome.lnk
C:\Users\M41\Desktop\Программы\Programm\Google Chrome.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Default\Desktop\Programm\Google Chrome.lnk
C:\Users\M41\Desktop\Программы\Google Chrome.lnk
C:\Users\M41\Desktop\Программы\Панель запуска приложений Chrome.lnk
C:\Users\M41\Desktop\Игровой центр Mail.Ru.lnk
C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\OOLEHR~1.LNK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ｇooｇle Ｃhroｍe.lnk
C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\OZILLA~1.LNK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ｍozilla Ｆireｆox.lnk
C:\Users\M41\Desktop\µTorrent.lnk
C:\Users\M41\Desktop\Илья\Lego Indiana Jones 2.The Adventure Continues.lnk
C:\Users\M41\Desktop\Программы\GeForce Experience.lnk
C:\Users\M41\Desktop\Программы\HAL.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk

Сделайте свежий лог AdwCleaner-а.

**offshore** · 23.08.2016, 16:29

Карантин отправил.
В HiJackThis пофиксил.
Отчеты ClearLNK и AdwCleaner прикрепил.

**regist** · 23.08.2016, 17:43

Повторите очистку в AdwCleaner, лог прикрепите.

Что с проблемой?

**offshore** · 23.08.2016, 20:49

Повторил сканирование, лог вложил.
Ничто больше не беспокоит.
Благодарю за помощь!

**regist** · 23.08.2016, 21:57

Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Tools ->Options (Инструменты ->Настройки) отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

**CyberHelper** · 23.08.2016, 22:07

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 26
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\caster\wizzcaster.exe - not-a-virus:AdWare.Win32.Misskaz.a
2. c:\windows\csrss.exe - Trojan.Win32.CoinMiner.phj

Рекламный террор. [not-a-virus:AdWare.Win32.Agent.kbtm, not-a-virus:AdWare.Win32.Misskaz.a] (заявка № 203319)

Опции темы