Рекламные страницы в Chrome AdWare.Win32.WProtManager.s

[Artem_mm]

При запуске браузера Chrome открываются несколько вкладок с рекламой. Антивирус "ругается" на AdWare.Win32.WProtManager.s, но сделать с ним ни чего не может.

CollectionLog-2015.01.31-21.54.zip

[thyrex]

VuuPC удалите через Установку программ

 

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\CA81~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\CA81~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\CA81~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
DelBHO('{EF7BD87A-8024-11E2-F316-F3E56188709B}');
DelBHO('{4B6ACEA2-308A-4876-AD36-57CEC5B4FCC7}');
QuarantineFile('C:\Program Files (x86)\DealPly\DealPlyIE.dll','');
SetServiceStart('{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64', 4);
DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
QuarantineFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys','');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3694710705-1173236643-551292513-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del3750888');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3694710705-1173236643-551292513-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del1287679');
DeleteFile('C:\Users\Артем\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Артем\AppData\Local\Amigo\Application\ok.exe','32');
DeleteFile('C:\Users\Артем\AppData\Local\Amigo\Application\vk.exe','32');
DeleteFile('C:\Program Files (x86)\DealPly\DealPlyIE.dll','32');
DeleteFile('C:\Users\CA81~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Windows\Tasks\DSite.job','64');
DeleteFile('C:\Users\CA81~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\CA81~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Funmoods.job','64');
DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
DeleteFile('C:\Windows\system32\Tasks\VuuPCUpdate','64');
DeleteFile('C:\Windows\system32\Tasks\VuuPCUpdateLogin','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  
• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
   
  
   
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Сделайте новые логи

[Artem_mm]

VuuPC  не отображается в списке программ для установки/удаления - как поступить в таком случае?

[mike 1]

Выполняйте остальные рекомендации.

[Artem_mm]

KLAN-2498412317

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

protectwindowsmanager.exe - not-a-virus:AdWare.Win32.WProtManager.s

Это файл от рекламной системы. Детектирование файла будет добавлено в   следующее обновление расширенного набора баз.

[mike 1]

Делайте новые логи. 

[Artem_mm]

Новые логи

CollectionLog-2015.02.08-22.46.zip

[mike 1]

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Запустите ClearLnk и скопируйте в окно программы следующий текст:

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net\Battle.net.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warcraft\World of Warcraft.lnk
C:\Users\Миша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7a5afdf4c340002b\World of Warcraft.lnk
C:\Users\Миша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Battle.net.lnk
C:\Users\Миша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\World of Warcraft.lnk
C:\Users\Миша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk
C:\Users\Миша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk

 

• Нажмите на кнопку "Лечить" и дождитесь окончания работы программы.

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Artem_mm]

Отчеты в приложенных файлах.

ClearLNK-10.02.2015_21-34.log

AdwCleanerR1.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Artem_mm]

Удалил все папки и пр. в AdWare логи прилагаются

AdwCleanerS3.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  

• Нажмите кнопку Scan.
  

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Artem_mm]

Отчеты FRST - FRST.txt и  Addition.txt в приложении.

FRST.txt

Addition.txt

[mike 1]

 

• Cохраните файл fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

 

 

fixlist.txt

[Artem_mm]

Лог-файл от  Farbar Recovery Scan Tool и протокол от AVZ  в приложенных файлах.

Export.txt

Fixlog.txt