Проблема с расширением Chrome после установки вредоносного ПО [UDS:DangerousObject.Multi.Generic ]

**Артём 1 115338408** · 25.12.2016, 23:15

Добрый день!

По ошибке установил рекламное вредоносное ПО (Амиго, Мэйл.ру и т.д.). Вроде бы всё почистил. Но осталось расширение для браузера Lowcostbar, которое я не могу даже отключить.

Во вложении - архив согласно инструкции. Думаю, что у меня та же проблема, что в сообщении http://virusinfo.info/showthread.php?t=204410

Буду благодарен за помощь. Может быть, в данной ситуации надёжнее - переустановить систему?

С уважением, Артём

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.12.2016, 23:16

Уважаемый(ая) Артём 1 115338408, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 26.12.2016, 00:32

Здравствуйте !!!

отключите антивирусную программу

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\CIMCO\DNCMax7\Dll\libnodave.dll','');
  QuarantineFile('C:\Users\user\AppData\Roaming\SafeWeb\updater.py','');
  QuarantineFile('C:\ProgramData\vCore\VCore.exe','');
  QuarantineFile('C:\Users\user\AppData\Roaming\360bizhi\360wpsrv.exe','');
  QuarantineFile('C:\Users\user\AppData\Local\MzIzNTM0Mzc=\s_inst.exe','');
  QuarantineFile('C:\Program Files\16TO2F4CZK\16TO2F4CZ.exe','');
  QuarantineFile('C:\Program Files\7RBGABET41\7RBGABET4.exe','');
  QuarantineFile('C:\Users\user\AppData\Local\Temp\Q96SDMV55\Q96SDMV55.exe','');
  QuarantineFile('C:\Program Files\E33LJT5PY3\E33LJT5PY.exe','');
  QuarantineFile('C:\Users\user\AppData\Roaming\SafeWeb\ml.py','');
  QuarantineFile('C:\Users\user\AppData\Roaming\SafeWeb\python\pythonw.exe','');
  QuarantineFile('c:\program files\safiplayer\dtldrvhelp64.sys','');
  QuarantineFile('c:\program files (x86)\cosupy\cugentplkersemapper.dll','');
  DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SafeWeb.lnk');
  DeleteFile('c:\program files\safiplayer\dtldrvhelp64.sys','32');
  DeleteFile('C:\Users\user\AppData\Roaming\SafeWeb\python\pythonw.exe','32');
  DeleteFile('C:\Users\user\AppData\Roaming\SafeWeb\ml.py','32');
  DeleteFile('C:\Program Files\E33LJT5PY3\E33LJT5PY.exe','32');
  DeleteFile('C:\Users\user\AppData\Local\Temp\Q96SDMV55\Q96SDMV55.exe','32');
  DeleteFile('C:\Program Files\7RBGABET41\7RBGABET4.exe','32');
  DeleteFile('C:\Program Files\16TO2F4CZK\16TO2F4CZ.exe','32');
  DeleteFile('C:\WINDOWS\Tasks\MzIzNTM0Mzc=.job','32');
  DeleteFile('C:\Users\user\AppData\Roaming\360bizhi\360wpsrv.exe','32');
  DeleteFile('C:\WINDOWS\system32\Tasks\360wp-srv','64');
  DeleteFile('C:\ProgramData\vCore\VCore.exe','32');
  DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Media Center\VCore','64');
  DeleteFile('C:\WINDOWS\system32\Tasks\MzIzNTM0Mzc=','64');
  DeleteFile('C:\WINDOWS\system32\Tasks\SafeWeb','64');
  DeleteFile('C:\Users\user\AppData\Roaming\SafeWeb\updater.py','32');
  DeleteFile('C:\WINDOWS\system32\Tasks\SafeWeb2','64');
  DeleteFile('C:\Users\user\appdata\local\mzizntm0mzc=\s_inst.exe','32');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1LBX25ABPA');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CZOCKLXN8D');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GKDEMODEVC');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','T9KTUNJFV8');
  DeleteService('dtldrvhelp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

**Артём 1 115338408** · 06.01.2017, 00:46

Добрый день!

Выполнил по инструкции. Высылаю повторный лог.

Дополнительно: установлена программа Malwarebytes, которая периодически фиксирует, как я понимаю, переходы на какие-то сайты
Высылаю примеры отчётов этой программы и скрин, сообщения об обнаружении подобного (всё - после выполнения предложенного скрипта). Периодичность - 5 мин примерно. Я сразу после появления проблем скачал её и Adcleaner и удалил файлы, которые нашли эти программы.

Благодарю за помощь.

- - - - -Добавлено - - - - -

Сделал очистку дополнительно AdwCleaner. Лог после перезагрузки - во вложении.

**mrak74** · 06.01.2017, 02:48

Выполните скрипт в AVZ:

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('c:\program files (x86)\cosupy\cugentplkersemapper.dll','');
  QuarantineFile('c:\cimco\licenseserver\cimcolicensedaemon.exe','');
  DeleteFile('C:\Program Files (x86)\Cosupy\CugentplkerseMapper.dll','32');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Fogack\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

**CyberHelper** · 06.01.2017, 02:58

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения вредоносные программы в карантинах не обнаружены

Проблема с расширением Chrome после установки вредоносного ПО [UDS:DangerousObject.Multi.Generic ] (заявка № 207406)

Опции темы