Здравствуйте. Очередной раз обращаюсь на ваш форум с просьбой о помощи и опять по той же причине - Adware. С сегодняшнего дня добавилась куча рекламы на сайтах, при просмотре роликов на YouTube и открываются разные вкладки с рекламой. Заранее спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) BestDock, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Уже прошла неделя, а ответа всё нету
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Roman\appdata\local\wupdate\wupdate.exe',''); QuarantineFile('C:\Program Files (x86)\JIdcnntTvnKU2\AoOzlSNUSxGTK.dll',''); QuarantineFile('C:\Program Files (x86)\kqEuPYMaU\ozSUxT.dll',''); DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}'); QuarantineFile('C:\Program Files (x86)\ZfJRwqLPhIE\krtu1nr.dll',''); TerminateProcessByName('c:\users\roman\appdata\local\temp\viqckrde5fqr.exe'); QuarantineFile('c:\users\roman\appdata\local\temp\viqckrde5fqr.exe',''); TerminateProcessByName('c:\users\roman\appdata\local\temp\is-0ha8r.tmp\setup.tmp'); QuarantineFile('c:\users\roman\appdata\local\temp\is-0ha8r.tmp\setup.tmp',''); TerminateProcessByName('c:\program files (x86)\zfjrwqlphie\qmexqrbdew.exe'); QuarantineFile('c:\program files (x86)\zfjrwqlphie\qmexqrbdew.exe',''); TerminateProcessByName('c:\users\roman\appdata\local\temp\mvdlt7mbrwkw.exe'); QuarantineFile('c:\users\roman\appdata\local\temp\mvdlt7mbrwkw.exe',''); TerminateProcessByName('c:\users\roman\appdata\local\temp\kzrqqyfmvvuu.exe'); QuarantineFile('c:\users\roman\appdata\local\temp\kzrqqyfmvvuu.exe',''); TerminateProcessByName('c:\users\roman\appdata\local\temp\jmg4ixyseu3b.exe'); QuarantineFile('c:\users\roman\appdata\local\temp\jmg4ixyseu3b.exe',''); TerminateProcessByName('c:\users\roman\appdata\local\temp\bscvu4f0ynsl.exe'); QuarantineFile('c:\users\roman\appdata\local\temp\bscvu4f0ynsl.exe',''); DeleteFile('c:\users\roman\appdata\local\temp\bscvu4f0ynsl.exe','32'); DeleteFile('c:\users\roman\appdata\local\temp\jmg4ixyseu3b.exe','32'); DeleteFile('c:\users\roman\appdata\local\temp\kzrqqyfmvvuu.exe','32'); DeleteFile('c:\users\roman\appdata\local\temp\mvdlt7mbrwkw.exe','32'); DeleteFile('c:\program files (x86)\zfjrwqlphie\qmexqrbdew.exe','32'); DeleteFile('c:\users\roman\appdata\local\temp\is-0ha8r.tmp\setup.tmp','32'); DeleteFile('c:\users\roman\appdata\local\temp\viqckrde5fqr.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zljkvwszcq'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','lnbhtkudoj'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','speeddialmaker_delete_self'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','csyrxhrxxw'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','sqnqeelasd'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','dbxdnsxiqy'); DeleteFile('C:\Program Files (x86)\ZfJRwqLPhIE\krtu1nr.dll','32'); DeleteFile('C:\Program Files (x86)\kqEuPYMaU\ozSUxT.dll','32'); DeleteFile('C:\Windows\Tasks\PjDfytumxbayONn.job','32'); DeleteFile('C:\Program Files (x86)\JIdcnntTvnKU2\AoOzlSNUSxGTK.dll','32'); DeleteFile('C:\Windows\system32\Tasks\zjwPaeaadZaNwF','64'); DeleteFile('C:\Windows\system32\Tasks\PjDfytumxbayONn2','64'); DeleteFile('C:\Windows\system32\Tasks\PjDfytumxbayONn','64'); DeleteFile('C:\Users\Roman\appdata\local\wupdate\wupdate.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Проблемы ещё наблюдаются
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот
YoutubeAdBlock удалите через Установку программ.
Удалите расширения для Хрома во всех его профилях
Блокировщик Рекламы Для Ютуба™
VK Downloader
Ultimate Discounter
Adblocker for Youtube™
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: Tcpip\..\Interfaces\{8D1FD380-AF76-4A62-8905-D2E3E9C550CC}: [NameServer] 35.177.46.238,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54,192.168.0.1 GroupPolicy: Restriction - Chrome <==== ATTENTION BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\ZfJRwqLPhIE\tPllhnPh.dll [2017-10-20] () BHO-x32: No Name -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> No File BHO-x32: No Name -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> No File CHR StartupUrls: Default -> "hxxp://ebsivok.ru/?utm_source=startpage03&utm_content=dd6eb44c0d03062aaf9c5128bb33678e&utm_term=91E6CBA72ECF296BEE4B2024712233B5&utm_d=20170607" OPR Extension: (Wee версия truetest) - C:\Users\Roman\AppData\Roaming\Opera Software\Opera Stable\Extensions\eklmeldobbgaccpckodpcjfckbacbahb [2017-04-12] OPR Extension: (SearchWay) - C:\Users\Roman\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgldnknlljnfcfgchdijbjmmkdkmnabn [2017-08-18] OPR Extension: (0) - C:\Users\Roman\AppData\Roaming\Opera Software\Opera Stable\Extensions\llkfnldljepopholdohmfjjlofppajii [2017-10-20] OPR Extension: (Teddy Protection) - C:\Users\Roman\AppData\Roaming\Opera Software\Opera Stable\Extensions\mofelbkemhligelpmjmohgphhmogbkni [2016-12-10] 2017-10-20 17:52 - 2017-10-29 10:50 - 000000000 ____D C:\Users\Roman\AppData\LocalLow\CelGrfgXIrZdI 2017-10-20 17:32 - 2017-10-29 10:53 - 000000000 ____D C:\Users\Roman\AppData\Local\wupdate 2017-10-20 17:32 - 2017-10-20 17:32 - 000000000 ____D C:\Users\Roman\AppData\Local\Вoйти в Интeрнет 2017-10-20 17:29 - 2017-10-29 10:53 - 000000000 ____D C:\Program Files (x86)\JIdcnntTvnKU2 2017-10-20 17:29 - 2017-10-20 17:29 - 000000000 ____D C:\Users\Roman\AppData\Local\Поиcк в Интeрнете 2017-10-20 17:29 - 2017-10-20 17:29 - 000000000 ____D C:\Program Files (x86)\zTWnHlzwjSUn 2017-10-20 17:29 - 2017-10-20 17:29 - 000000000 ____D C:\Program Files (x86)\ZfJRwqLPhIE 2017-10-20 17:28 - 2017-10-29 10:53 - 000000000 ____D C:\Program Files (x86)\kqEuPYMaU 2017-10-20 17:28 - 2017-10-20 17:28 - 002491228 ____N () C:\Users\Roman\AppData\Local\Temp\9RnxSBToAiG1.exe 2017-10-20 17:41 - 2017-10-20 17:41 - 064938720 ____N () C:\Users\Roman\AppData\Local\Temp\TcHG6rokAL1J.exe AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData:NT2 [432] AlternateDataStreams: C:\Users\All Users:NT [40] AlternateDataStreams: C:\Users\All Users:NT2 [432] AlternateDataStreams: C:\Users\Все пользователи:NT [40] AlternateDataStreams: C:\Users\Все пользователи:NT2 [432] AlternateDataStreams: C:\ProgramData\Application Data:NT [40] AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432] AlternateDataStreams: C:\Users\Roman\Application Data:NT [40] AlternateDataStreams: C:\Users\Roman\Application Data:NT2 [432] AlternateDataStreams: C:\Users\Roman\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\Roman\AppData\Roaming:NT2 [432] AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40] AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432] AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432] Task: {0B7412AB-80CB-4C8E-BDBF-A4C4FB4C4354} - \PjDfytumxbayONn2 -> No File <==== ATTENTION Task: {637140EF-3571-46D6-9B5B-75ABC4B99285} - \zjwPaeaadZaNwF -> No File <==== ATTENTION Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание, что будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Проблемы по прежнему наблюдаются...
upp
thyrex, вы там не вымерли, случайно?
Отключите ВСЕ установленные расширения для браузеров и проверьте проблему
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ДА, проблема была в одном из расширений. Большое спасибо за помощь, потому что эта реклама почти убила мои нервы. ЛУЧШИЙ ФОРУМ!!!!!
Название не запомнили случайно?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ZenMate VPN. Хотя раньше работал без проблем, не знаю что там случилось, может заразился или ещё что-то...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\kqeupymau\ozsuxt.dll - not-a-virus:HEUR:AdWare.Win32.Generic
- c:\program files (x86)\zfjrwqlphie\krtu1nr.dll - not-a-virus:AdWare.Win32.Neoreklami.kya ( BitDefender: Gen:Heur.Kelios.1 )
- c:\program files (x86)\zfjrwqlphie\qmexqrbdew.exe - not-a-virus:HEUR:AdWare.Win32.Generic ( BitDefender: Gen:Trojan.Heur.JP.TuW@aqtLJCki )
- c:\users\roman\appdata\local\wupdate\wupdate.exe - Trojan.Win32.Agentb.bwnc
Уважаемый(ая) BestDock, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
