Показано с 1 по 12 из 12.

SB [not-a-virus:AdWare.JS.Agent.et, not-a-virus:WebToolbar.Win32.Searchbar.k ] (заявка № 203441)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2016
    Сообщений
    5
    Вес репутации
    6

    SB [not-a-virus:AdWare.JS.Agent.et, not-a-virus:WebToolbar.Win32.Searchbar.k ]

    Здравствуйте!

    Я что-то скачала. Оно начало создавать ярлычки на рабочем столе, менять мне настройки в браузере - вообщем, типичный маил.ру.
    Ну я поудаляла ярлычки, все с мест расположения, удалила программы все, что поставились той датой, удалила все в автозагрузке, планировщике заданий, очистила браузер, запустила все, что можно в ccleaner. И наивно надеялась, что все будет хорошо....
    Не тут-то было: каждый раз при старте системы у меня запускается в диспетчере какая-то программа SB с ярлыком - розовый шестиугольник и 2 буквы SB по центру. Она создает еще процессы названные рандомно. Ярлыки на рабочем столе. Я не могу ее нигде найти. Но она есть... что могла - я даже из реестра поудаляла.... но маилюру все равно со мной. Если не сниму с диспетчера задач сразу после запуска компа процессы эти SB и буквенно-циферно названные - опять начинается беспредел. Плюсом меня мучать стал черный экран. Сижу за компом сижу и раз - секунд на 5-10 все гаснет - черный экран как у выключенного компа, потом все опять норм.
    Помогите, пожалуйста, я уже задолбалась в диспетчер сразу лезть, как включаю комп....
    Все, что я об это программе знаю в скрине-приложении

    ЗЫ - систему переставлять не хочу, тк на ноуте у меня официальная 8-ка...а я бесплатно на 10 обновилась...Новый точечный рисунок.jpg

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Ненавижу, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,690
    Вес репутации
    3028
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    25.08.2016
    Сообщений
    5
    Вес репутации
    6

    SB

    Здравствуйте!

    Я что-то скачала. Оно начало создавать ярлычки на рабочем столе, менять мне настройки в браузере - вообщем, типичный маил.ру.
    Ну я поудаляла ярлычки, все с мест расположения, удалила программы все, что поставились той датой, удалила все в автозагрузке, планировщике заданий, очистила браузер, запустила все, что можно в ccleaner. И наивно надеялась, что все будет хорошо....
    Не тут-то было: каждый раз при старте системы у меня запускается в диспетчере какая-то программа SB с ярлыком - розовый шестиугольник и 2 буквы SB по центру. Она создает еще процессы названные рандомно. Ярлыки на рабочем столе. Я не могу ее нигде найти. Но она есть... что могла - я даже из реестра поудаляла.... но маилюру все равно со мной. Если не сниму с диспетчера задач сразу после запуска компа процессы эти SB и буквенно-циферно названные - опять начинается беспредел. Плюсом меня мучать стал черный экран. Сижу за компом сижу и раз - секунд на 5-10 все гаснет - черный экран как у выключенного компа, потом все опять норм.
    Помогите, пожалуйста, я уже задолбалась в диспетчер сразу лезть, как включаю комп....
    Все, что я об это программе знаю в скрине-вложении
    Изображения Изображения
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,198
    Вес репутации
    848
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\users\0e3b~1\appdata\local\temp\nsp629f.tmp\57c7a091-3822-098b-15d0-cbab76e8bf49.exe');
     QuarantineFile('c:\users\0e3b~1\appdata\local\temp\nsp629f.tmp\57c7a091-3822-098b-15d0-cbab76e8bf49.exe', '');
     QuarantineFile('C:\Users\Юлия\AppData\Local\Adobe\PPAPI\153C7AD1-8038-47D4-B4E5-AA562E13E4DA\B1539FC4-E423-42AF-9C25-D1AA7C35B383.exe', '');
     QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
     QuarantineFile('C:\Users\Юлия\AppData\Local\Microsoft\668F1D1955B571EDF271CB54330C9E96\E7A09840BA48ED4209CED3EA2A6D7052.exe', '');
     QuarantineFile('C:\Program Files (x86)\IObit\Advanced', '');
     QuarantineFile('C:\Users\Юлия\AppData\Local\Kometa\StartButton\kometastartvx64.exe', '');
     QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
     QuarantineFile('C:\ProgramData\InstallChecker\InstallChecker.exe', '');
     QuarantineFile('C:\Users\Юлия\appdata\locallow\searchgo\searchgo.dll', '');
     DeleteFile('c:\users\0e3b~1\appdata\local\temp\nsp629f.tmp\57c7a091-3822-098b-15d0-cbab76e8bf49.exe', '32');
     DeleteFile('C:\Users\Юлия\AppData\Local\Adobe\PPAPI\153C7AD1-8038-47D4-B4E5-AA562E13E4DA\B1539FC4-E423-42AF-9C25-D1AA7C35B383.exe', '32');
     DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
     DeleteFile('C:\Users\Юлия\AppData\Local\Microsoft\668F1D1955B571EDF271CB54330C9E96\E7A09840BA48ED4209CED3EA2A6D7052.exe', '32');
     DeleteFile('C:\Program Files (x86)\IObit\Advanced', '32');
     DeleteFile('C:\Users\Юлия\AppData\Local\Kometa\StartButton\kometastartvx64.exe', '32');
     DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
     DeleteFile('C:\ProgramData\InstallChecker\InstallChecker.exe', '32');
     DeleteFile('C:\Users\Юлия\appdata\locallow\searchgo\searchgo.dll', '32');
     DeleteFileMask('c:\users\юлия\appdata\local\adobe\ppapi', '*', true);
     DeleteFileMask('c:\programdata\krb updater utility', '*', true);
     DeleteFileMask('c:\users\юлия\appdata\local\microsoft\668f1d1955b571edf271cb54330c9e96', '*', true);
     DeleteFileMask('c:\program files (x86)\iobit', '*', true);
     DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
     DeleteFileMask('c:\programdata\installchecker', '*', true);
     DeleteFileMask('c:\users\юлия\appdata\locallow\searchgo', '*', true);
     DeleteDirectory('c:\users\юлия\appdata\local\adobe\ppapi');
     DeleteDirectory('c:\programdata\krb updater utility');
     DeleteDirectory('c:\users\юлия\appdata\local\microsoft\668f1d1955b571edf271cb54330c9e96');
     DeleteDirectory('c:\program files (x86)\iobit');
     DeleteDirectory('c:\program files (x86)\kinoroom browser');
     DeleteDirectory('c:\programdata\installchecker');
     DeleteDirectory('c:\users\юлия\appdata\locallow\searchgo');
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\6D7052A2AE3DEC9024DE84AB04E7A098" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\6D7052A2AE3DEC9024DE84AB04E7A098SB" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\6D7052A2AE3DEC9024DE84AB04E7A098" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\6D7052A2AE3DEC9024DE84AB04E7A098SB" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A153C7AD1-8038-47D4-B4E5-AA562E13E4DA" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Apps\UpService" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '153C7AD1-8038-47D4-B4E5-AA562E13E4DA');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'KRB Updater Utility');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '6D7052A2AE3DEC9024DE84AB04E7A098SB');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath', '');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    25.08.2016
    Сообщений
    5
    Вес репутации
    6
    1) При загрузке quarantine на сайт
    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен

    2) сделано

    3) сделано

    Комментарий: При запуске системы в диспетчере создавалось два типа процессов: 1 тип процессов с розовым шестиугольником, как на скрине в 1 сообщении, 2 тип - просто с иконкой ехе файла и с наименованием из случайных цифр и букв. После 2тип файлов больше при запуске не создается.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,198
    Вес репутации
    848
    Отключите временно защитник Windows/

    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('C:\Users\Юлия\AppData\Local\Microsoft\668F1D1955B571EDF271CB54330C9E96\E7A09840BA48ED4209CED3EA2A6D7052.exe', '');
     QuarantineFile('C:\Users\Юлия\appdata\locallow\searchgo\searchgo.dll', '');
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\6D7052A2AE3DEC9024DE84AB04E7A098RunOnce" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\6D7052A2AE3DEC9024DE84AB04E7A098RunOnce" /F', 0, 15000, true);
     DeleteFile('C:\Users\Юлия\AppData\Local\Kometa\StartButton\kometastartvx64.exe', '32');
     DeleteFile('C:\Users\Юлия\AppData\Local\Microsoft\668F1D1955B571EDF271CB54330C9E96\E7A09840BA48ED4209CED3EA2A6D7052.exe', '32');
     DeleteFile('C:\Users\Юлия\appdata\locallow\searchgo\searchgo.dll', '32');
     DeleteFileMask('c:\users\юлия\appdata\local\microsoft\668f1d1955b571edf271cb54330c9e96', '*', true);
     DeleteFileMask('c:\users\юлия\appdata\locallow\searchgo', '*', true);
     DeleteDirectory('c:\users\юлия\appdata\local\microsoft\668f1d1955b571edf271cb54330c9e96');
     DeleteDirectory('c:\users\юлия\appdata\locallow\searchgo');
    ExecuteSysClean;
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    После перезагрузки отправьте файл quarantine.zip по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Кроме уже установленных, отметьте галочками также "90 Days Files".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    25.08.2016
    Сообщений
    5
    Вес репутации
    6
    Загрузила.

    Комментарий: Больше ничего в диспетчере не появляется, я счастливая.....Вроде даже не становится темным экран))) Нужно еще что-то сделать?
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,198
    Вес репутации
    848
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    CHR Extension: (ExtensionMego) - C:\Users\Юлия\AppData\Local\Google\Chrome\User Data\Default\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-08-25]
    CHR Extension: (Chrome Media Router) - C:\Users\Юлия\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-27]
    OPR Extension: (Новости) - C:\Users\Юлия\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-08-09]
    OPR Extension: (No Name) - C:\Users\Юлия\AppData\Roaming\Opera Software\Opera Stable\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-08-25]
    OPR Extension: (Новости) - C:\Users\Юлия\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-07-28]
    OPR Extension: (No Name) - C:\Users\Юлия\AppData\Roaming\Opera Software\Opera Stable\Extensions\hcmdpeobfoppdkhcneogcflfmfceenlf [2016-08-25]
    OPR Extension: (Smart Browser™) - C:\Users\Юлия\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-08-05]
    OPR Extension: (Smart Browser™) - C:\Users\Юлия\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-07-29]
    OPR Extension: (Новости) - C:\Users\Юлия\AppData\Roaming\Opera Software\Opera Stable\Extensions\jolakggdcbngpflcjfaencffnenhlddl [2016-08-25]
    OPR Extension: (Smart Browser™) - C:\Users\Юлия\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-08-25]
    OPR Extension: (Smart Browser™) - C:\Users\Юлия\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-08-19]
    2016-07-27 00:51 - 2016-07-27 00:51 - 00000000 ____D C:\Users\Юлия\AppData\Local\Вoйти в Интeрнет
    2016-07-27 00:47 - 2016-07-27 00:56 - 00000000 ____D C:\Users\Юлия\AppData\Roaming\Awesomium
    2016-07-27 00:46 - 2016-07-27 00:46 - 00000000 ____D C:\Users\Юлия\AppData\Local\Поиcк в Интeрнете
    2016-07-27 01:30 - 2016-07-27 01:30 - 0000124 ___SH () C:\Program Files (x86)\Common Files\SBEXTS
    Task: {04283B84-F4A3-4471-8984-EE67A94AA869} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
    Task: {0A8786F3-A517-4CBF-ACBE-40E2695D28CE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
    Task: {35DA85E9-F657-4374-86BD-5DDC22576504} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
    Task: {412BA12D-7896-4B72-A213-06F97CD6C8D6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
    Task: {4D0707F0-471D-4483-90A1-470998286163} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
    Task: {70B3736E-6A47-43D8-BCAE-7F8234E078CA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
    Task: {73E02C3D-78EE-4FC4-ACB0-20017317D7C8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
    Task: {81E28313-6F5F-42A2-9310-EA19DF6F530F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
    Task: {A4CEBF0E-384F-450A-B422-B5525E9B9175} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
    Task: {CC560698-5C9E-4767-947A-DD3DFC5A18A4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
    Task: {D3B50650-EC8B-4E72-BE95-ECA17DF1A316} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
    Task: {E74C66D6-4336-4F44-8D79-50148FFE920B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Удалите Java(TM) 8 Update 40, это устаревшая версия со множеством критических уязвимостей.
    Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 101.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    25.08.2016
    Сообщений
    5
    Вес репутации
    6
    Сделано
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,198
    Вес репутации
    848
    Всё на этом.
    Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\юлия\appdata\locallow\searchgo\searchgo.d ll - not-a-virus:WebToolbar.Win32.Searchbar.k ( BitDefender: Trojan.GenericKD.3158757, AVAST4: Win32:Malware-gen )
      2. c:\users\юлия\appdata\local\microsoft\668f1d1955b5 71edf271cb54330c9e96\e7a09840ba48ed4209ced3ea2a6d7 052.exe - not-a-virus:AdWare.JS.Agent.et


  • Уважаемый(ая) Ненавижу, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01062 seconds with 16 queries