Перейти к содержанию

Борюсь с разновидностью рекламного вируса


Рекомендуемые сообщения

Здравствуйте.

С 4 декабря борюсь с рекламными вирусами: изначально с Mail.ru, после установки Касперского много чего было найдено и удалено, но какая то гадость сегодня днём всё ещё оставалась: после запуска системы и периодически после запуска Chrome или IE, антивирус начинал ругаться на одни и те же файлы (WinSAP.dll; iThemes.dll; Archer.dll), начинал их лечить, потом удалял и это повторялось по кругу. На данный момент эти процессы прекратились, но у меня произвольно отключилась служба Темы (все темы Windows 7 Aero не активны) и больше не запускается (ошибка 1075). Полагаю антивирус предложил удалить один из нужных файлов.

Прошу посмотреть мой лог AVZ.

CollectionLog-2016.12.10-23.01.zip

Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте µTorrent.

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 DeleteService('p1481366230am');
 DeleteService('p1481364718am');
 DeleteService('p1481300240am');
 StopService('ServiceMgr');
 DeleteService('ServiceMgr');
 StopService('BitTorrent');
 DeleteService('BitTorrent');
 TerminateProcessByName('c:\program files\bittorrent\bittorrent.exe');
 DeleteFile('c:\program files\bittorrent\bittorrent.exe','32');
 DeleteFile('C:\Windows\ServiceMgr.sys','32');
 DeleteFile('C:\Users\VARIOM~1\AppData\Local\Temp\bk6921.tmp\p1481300240am.sys','32');
 DeleteFile('C:\Users\VARIOM~1\AppData\Local\Temp\bkA969.tmp\p1481364718am.sys','32');
 DeleteFile('C:\Users\VARIOM~1\AppData\Local\Temp\bk2108.tmp\p1481366230am.sys','32');
 DeleteFile('C:\Program Files\Thergeleprodack\Qvcmodule.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Chonawardserlusy\Parameters','ServiceDll');
 DeleteFile('C:\Program Files\Youtube AdBlock\local32spl.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\ccd7fc297e6a849a0c859b2fdd7166a6','32');
 DeleteFile('C:\Windows\system32\Tasks\e78e5493b255502ef1226c92dd864f73','32');
 DeleteFile('C:\Windows\system32\Tasks\Kiterghtfuqat Cache','32');
 DeleteFile('C:\Program Files\Dreguthermermuch\tbisp.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\VCore','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\MailruSetup','32');
 DeleteFile('C:\Windows\system32\Tasks\Riaghtanacs Nodifier','32');
 DeleteFile('C:\Windows\system32\Tasks\Wiwishepuent Configuration','32');
 DeleteFile('C:\Program Files\Gauseraeied\rifesh.exe','32');
 DeleteFile('C:\Program Files\Thergeleprodack\atvoght.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{BD837D3B-595E-42A5-A9D2-CBE1925C0D12}','32');
 DeleteFile('C:\Program Files\Common Files\Latam\uninstall.dat','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером.

Ссылка на сообщение
Поделиться на другие сайты
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C7].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    HKLM\...\Providers\7xqa78yk: C:\Program Files\Youtube AdBlock\local32spl.dll
    IFEO\MRT.exe: [Debugger] C:\Program Files\{EBCCFFAB-6380-4E4A-8BCD-114CA748D0A8}\_ALLOWDEL_10ece\Gubed.exe -Yrrehs
    ShellExecuteHooks:  - {23AE72B8-AB34-11E6-BA78-64006A5CFC23} - C:\Users\variomatik\AppData\Roaming\Atoriied\Cufertiontesuther.dll No File [ ]
    ShellExecuteHooks:  - {E1CBAE52-AB39-11E6-9881-64006A5CFC23} - C:\Users\variomatik\AppData\Roaming\Qapuiedghalerty\Anonaphduright.dll No File [ ]
    ShellExecuteHooks:  - {97218D4C-AA21-11E6-A68B-64006A5CFC23} - C:\Users\variomatik\AppData\Roaming\Qerfeent\Lerfoyhiluy.dll No File [ ]
    ShellExecuteHooks:  - {175E1646-AB41-11E6-92A6-64006A5CFC23} - C:\Users\variomatik\AppData\Roaming\Ckajersethersp\Anerneryzojgh.dll No File [ ]
    Startup: C:\Users\variomatik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SafeWeb.lnk [2016-12-02]
    ShortcutTarget: SafeWeb.lnk -> C:\Users\variomatik\AppData\Roaming\SafeWeb\python\pythonw.exe (No File)
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicy\User: Restriction - Chrome <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION
    CHR HKU\S-1-5-21-721523252-2591102749-720819468-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll => No File
    Toolbar: HKU\S-1-5-21-721523252-2591102749-720819468-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    FF user.js: detected! => C:\Users\variomatik\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2016-12-02]
    FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Ronzaps\ff.NT
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=812273
    FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BB3DD4273-9D6E-4B17-85CA-3DB50701A95D%7D&gp=812274
    FF Extension: (No Name) - C:\Users\variomatik\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\c7d1-a0d9-71bf-9177 [2016-12-05]
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\variomatik\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-12-05]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\variomatik\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-12-05]
    FF Extension: (Спутник @Mail.Ru) - C:\Users\variomatik\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2013-11-16] [not signed]
    FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\variomatik\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-04]
    FF SearchPlugin: C:\Users\variomatik\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\findit.xml [2016-12-04]
    FF SearchPlugin: C:\Users\variomatik\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2016-12-05]
    CHR HomePage: ChromeDefaultData -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWv3XjGGZrhGQbtfFqTbsrsWIRSHlwl7uBJ1Yqp6AhQXP1t7ThAaKADk2N2u2frLaUc1z0CnpDCjTG_EaeotJLYKzcVRjLvQ_guycor3_asI1wY9WgRJFd6bd3MYRey1s7eGNf687f6rXyiBy0EwlUsXTypQFqwQsezHG7KySm
    CHR StartupUrls: ChromeDefaultData -> "hxxps://www.yandex.ru/","hxxp://www.amisites.com/?type=hp&ts=1481366316&z=c211df9641311af0ad2be30g7z2b0g4c9q7qccag1w&from=archer1028&uid=HitachiXHTS542525K9SA00_080717BB6F00WDEXG2NFX"
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.amisites.com/search/?type=ds&ts=1481366316&z=c211df9641311af0ad2be30g7z2b0g4c9q7qccag1w&from=archer1028&uid=HitachiXHTS542525K9SA00_080717BB6F00WDEXG2NFX&q={searchTerms}
    CHR DefaultSearchKeyword: ChromeDefaultData -> amisites
    CHR Profile: C:\Users\variomatik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-11] <==== ATTENTION
    S2 Chonawardserlusy; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
    R1 {55dce8ba-9dec-4013-937e-adbf9317d990}w; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w.sys [52880 2014-08-06] (StdLib)
    S1 DritekPortIO; \??\C:\Program Files\Launch Manager\DPortIO.sys [X]
    2016-12-07 20:12 - 2016-12-07 20:12 - 00000000 ____D C:\Windows\system32\Drivers\30995c5709d646292f845c8c56b8b2c4.sys
    2016-12-07 20:12 - 2016-12-07 20:12 - 00000000 ____D C:\Windows\2d03d1a5d122555483528085a952037a.exe
    2016-12-07 16:19 - 2016-12-11 17:00 - 00000000 ____D C:\Program Files\Dreguthermermuch
    2016-12-07 16:19 - 2016-12-07 19:43 - 00000000 ____D C:\Users\variomatik\AppData\Roaming\Ckajersethersp
    2016-12-07 16:19 - 2016-12-07 19:27 - 00000000 ____D C:\Users\variomatik\AppData\Local\Rkuanbuly
    2016-12-07 16:10 - 2016-12-07 19:43 - 00000000 ____D C:\Users\variomatik\AppData\Roaming\Qerfeent
    2016-12-07 16:10 - 2016-12-07 16:19 - 00000000 ____D C:\Users\variomatik\AppData\Local\Sgiiedanuket
    2016-12-07 16:09 - 2016-12-11 17:01 - 00000000 ____D C:\Program Files\Thergeleprodack
    2016-12-07 15:22 - 2016-12-07 16:12 - 00000000 ____D C:\Program Files\xrgk5z69
    2016-12-05 23:13 - 2016-12-11 17:00 - 00000000 ____D C:\Program Files\Gauseraeied
    2016-12-05 23:13 - 2016-12-06 17:09 - 00000000 ____D C:\Users\variomatik\AppData\Roaming\Qapuiedghalerty
    2016-12-05 23:13 - 2016-12-06 16:55 - 00000000 ____D C:\Users\variomatik\AppData\Local\Hcasenivepy
    2016-12-04 21:39 - 2016-12-11 17:01 - 00000000 ____D C:\Program Files\BitTorrent
    2016-12-04 21:20 - 2016-12-07 20:07 - 00000000 ____D C:\Users\Все пользователи\hdtask
    2016-12-04 21:20 - 2016-12-07 20:07 - 00000000 ____D C:\ProgramData\hdtask
    2016-12-04 14:17 - 2016-12-08 11:43 - 00000000 ____D C:\Users\variomatik\AppData\Local\MzIzNTM0Mzc=
    2016-12-04 14:17 - 2016-12-08 11:41 - 00000000 ____D C:\Users\variomatik\AppData\Roaming\UrlControl_
    2016-12-04 14:17 - 2016-12-07 20:16 - 00000000 ____D C:\Users\variomatik\AppData\Roaming\MyDesktop
    2016-12-04 14:17 - 2016-12-07 16:12 - 00000000 ____D C:\Program Files\Serzat
    2016-12-04 14:17 - 2016-12-07 16:12 - 00000000 ____D C:\Program Files\Arerbecultverres
    2016-12-04 14:17 - 2016-12-05 23:53 - 00000000 ____D C:\Users\variomatik\AppData\Local\Gizetcoberent
    2016-12-04 14:17 - 2016-12-04 21:34 - 00140288 _____ C:\Users\variomatik\AppData\Roaming\Installer.dat
    2016-12-04 14:17 - 2016-12-04 21:34 - 00019104 _____ C:\Users\variomatik\AppData\Roaming\InstallationConfiguration.xml
    2016-12-04 14:17 - 2016-12-04 16:42 - 00000000 ____D C:\Users\variomatik\AppData\Roaming\Atoriied
    2016-12-04 14:16 - 2016-12-08 11:56 - 00000000 ____D C:\Program Files\8O1LZSMXAY
    2016-12-02 20:45 - 2016-12-02 20:45 - 00000000 ____D C:\Users\variomatik\AppData\Roaming\ProductData
    2016-12-02 20:16 - 2016-12-02 20:16 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
    2016-12-02 20:16 - 2016-12-02 20:16 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    2016-12-02 20:16 - 2016-12-02 20:16 - 00000000 ____D C:\Users\variomatik\AppData\Local\FilterStart
    2016-12-02 20:16 - 2016-12-02 20:16 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    2016-12-02 20:16 - 2016-12-02 20:16 - 00000000 ____D C:\Program Files\Common Files\IObit
    2016-12-02 20:15 - 2016-12-02 20:48 - 00000000 ____D C:\Users\Все пользователи\ProductData
    2016-12-02 20:15 - 2016-12-02 20:48 - 00000000 ____D C:\ProgramData\ProductData
    2016-12-02 20:14 - 2016-12-02 20:45 - 00000000 ____D C:\Users\Все пользователи\IObit
    2016-12-02 20:14 - 2016-12-02 20:45 - 00000000 ____D C:\ProgramData\IObit
    2016-12-02 20:14 - 2016-12-02 20:14 - 00023840 _____ (REALiX(tm)) C:\Windows\system32\Drivers\HWiNFO32.SYS
    2016-12-02 20:14 - 2016-12-02 20:14 - 00000000 ____D C:\Windows\IObit
    2016-12-02 20:13 - 2016-12-07 16:12 - 00000000 ____D C:\Program Files\IObit
    2016-12-02 20:13 - 2016-12-02 20:48 - 00000000 ____D C:\Users\variomatik\AppData\Roaming\IObit
    2016-12-02 20:12 - 2016-12-07 16:54 - 00000560 __RSH C:\Users\variomatik\ntuser.pol
    2016-12-02 20:12 - 2016-12-07 16:53 - 00002912 __RSH C:\Users\Все пользователи\ntuser.pol
    2016-12-02 20:12 - 2016-12-07 16:53 - 00002912 __RSH C:\ProgramData\ntuser.pol
    2016-12-02 20:12 - 2016-12-05 23:13 - 00000000 ____D C:\Users\Все пользователи\vCore
    2016-12-02 20:12 - 2016-12-05 23:13 - 00000000 ____D C:\ProgramData\vCore
    2016-12-02 20:12 - 2016-12-02 20:46 - 00000000 ____D C:\Users\variomatik\AppData\Roaming\PBot
    Task: {0DE6E1A6-FF94-48A4-9A8B-AA688FAC172B} - \ccd7fc297e6a849a0c859b2fdd7166a6 -> No File <==== ATTENTION
    Task: {128E29DC-A08A-4FDF-B35F-F344CD2A671F} - \e78e5493b255502ef1226c92dd864f73 -> No File <==== ATTENTION
    Task: {3CB93E33-0280-4CD9-803F-B5CEA0B441F7} - \Microsoft\Windows\Multimedia\MailruSetup -> No File <==== ATTENTION
    Task: {56318CDB-CBDC-4757-AFFD-00446D8945AF} - \Wiwishepuent Configuration -> No File <==== ATTENTION
    Task: {7300B442-8275-4938-ABDE-535DC0A762EB} - \{BD837D3B-595E-42A5-A9D2-CBE1925C0D12} -> No File <==== ATTENTION
    Task: {76D27B65-157C-41FF-A57A-97E0E26F3CDD} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
    Task: {85F7758A-8E0D-4C32-9EBF-21E204C2BBCC} - \Microsoft\Windows\Media Center\VCore -> No File <==== ATTENTION
    Task: {F6032A82-9D18-42CC-A1E1-A5763F721C5E} - \Riaghtanacs Nodifier -> No File <==== ATTENTION
    Task: {F73947BD-8CC3-493A-B5F6-EBFD5C926391} - \Kiterghtfuqat Cache -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
    AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [149]
    hosts:
    MSCONFIG\startupreg: Badoo Desktop => C:\ProgramData\Badoo\Badoo Desktop\1.6.58.1220\Badoo.Desktop.exe
    FirewallRules: [TCP Query User{840DA91F-7824-4F70-944E-3E8DC1167F00}C:\users\variomatik\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe] => C:\users\variomatik\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe
    FirewallRules: [UDP Query User{9A426E6D-BA14-4D9F-9B59-87DA4CD3C0F4}C:\users\variomatik\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe] => C:\users\variomatik\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe
    FirewallRules: [{08ADA37D-EBD6-447A-B3FA-6636BAB0A4C0}] => C:\Program Files\UBar\ubar.exe
    EmptyTemp:
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Программа произвела некоторые первые действия и встала на: Fixing is in progress pleace wait... После 3 часов простоя я выключил ноутбук, перезагрузки в ходе работы утилиты не было. Но файл в папке проги появился:

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

На данный момент 2 часа работает утилита в безопасном режиме и также ничего не происходит. Как долго обычно должен проходить данный процесс?

Ссылка на сообщение
Поделиться на другие сайты

Не более 5-10 минут должно быть. Поправил немного скрипт, попробуйте выполнить его. Перед выполнением скрипта закройте все программы.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...