Самопроизвольная установка рекламного вирусного ПО

@maxevo · Регистрация: 26.04.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте! Уже второй день не могу удалить вот это вирус - "extsetup.exe". Касперский не видит. Adwcleaner его удаляет, но после перезагрузки эта программа устанавливается заново! Путь к вирусу: -Appdata/Local/Microsoft/Extensions. В общем всё тоже самое, что и в этой теме - "https://www.cyberforum.ru/viruses/thread1578031.html". Помогите пожалуйста избавиться от этой заразы.

@maxevo · 26.04.2016, 22:19 **[ТС]**

вот логи

@Sandor · 27.04.2016, 11:53

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя maxevo. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\максим\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\microsoft\adobe\flash player\4346d34b-4b7c-4309-b710-a39cdaed33c9', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Максим\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\4346D34B-4B7C-4309-B710-A39CDAED33C9\42D55DB7-266F-4F07-94DC-6B221FBF4E60.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeBrowser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "A4346D34B-4B7C-4309-B710-A39CDAED33C9" /F', 0, 15000, true);
 DeleteFile('C:\Users\Максим\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\4346D34B-4B7C-4309-B710-A39CDAED33C9\42D55DB7-266F-4F07-94DC-6B221FBF4E60.exe', '32');
 DeleteFileMask('c:\users\максим\appdata\local\microsoft\extensions', '*', true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\services\Tcpip\Parameters', 'DataBasePath', 'REG_EXPAND_SZ', '%SystemRoot%\SysWOW64\drivers\etc');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте и прикрепите лог сканирования AdwCleaner.

@maxevo · 27.04.2016, 14:21 **[ТС]**

quarantine.zip отправлен
Лог сканирования AdwCleaner

@Sandor · 27.04.2016, 14:24

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@maxevo · 27.04.2016, 14:42 **[ТС]**

Отчёт: AdwCleaner
Отчеты: FRST.txt, Addition.txt, Shortcut.txt

@Sandor · 27.04.2016, 14:50

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
OPR Extension: (Новости) - C:\Users\Максим\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-04-26]
OPR Extension: (Smart Browser™) - C:\Users\Максим\AppData\Roaming\Opera Software\Opera Stable\Extensions\aeajehgeohhgjbhhbicilpenjfcbfnpg [2016-04-26]
OPR Extension: (StrongRead) - C:\Users\Максим\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-04-26]
OPR Extension: (Новости) - C:\Users\Максим\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-04-26]
OPR Extension: (News Tab) - C:\Users\Максим\AppData\Roaming\Opera Software\Opera Stable\Extensions\kjacjjdnoddnpbbcjilcajfhhbdhkpgk [2016-04-26]
OPR Extension: (Smart Browser™) - C:\Users\Максим\AppData\Roaming\Opera Software\Opera Stable\Extensions\mefhakmgclhhfbdadeojlkbllmecialg [2016-04-26]
2016-04-23 19:35 - 2016-04-23 19:35 - 00000000 ____D C:\Users\Максим\AppData\Roaming\Awesomium
2016-04-23 19:35 - 2016-04-23 19:35 - 00000000 ____D C:\Users\Максим\AppData\Local\Поиcк в Интeрнете
2016-04-23 19:33 - 2016-04-23 19:35 - 00000000 ____D C:\Users\Максим\AppData\LocalLow\Unity
2016-04-23 19:33 - 2016-04-23 19:35 - 00000000 ____D C:\Users\Максим\AppData\Local\Unity
Task: {B629D78B-1297-403E-B33F-12A0E7304807} - \syslog -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Файл

C:\Users\Максим\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦

удалите вручную.

Сообщите что с проблемой.

@maxevo · 27.04.2016, 15:11 **[ТС]**

Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 - удалил
Проблема вроде решена, AdBlock не блокируется, реклама самопроизвольно после перезагрузки ПК не устанавливается

@Sandor · 27.04.2016, 15:18

Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@maxevo · 27.04.2016, 15:26 **[ТС]**

Огромное Вам спасибо!!! Прикрепляю

@Sandor · 27.04.2016, 15:33

--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.11 (64-разрядная) v.4.11.0 Внимание! Скачать обновления
Picasa 3 v.3.9.140.239 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.6.42094 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
---------------------------- [ UnwantedApps ] -----------------------------
Skype Click to Call v.8.0.0.9103 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@maxevo · 27.04.2016, 15:36 **[ТС]**

При удалении µTorrent v.3.4.6.42094 (Клиент сети P2P) - сработал касперский, всё что он нашёл - я удалил

@Sandor · 27.04.2016, 15:38

Удалять было не обязательно, это только предупреждение))
(Могло быть и ложное срабатывание)

@maxevo · 27.04.2016, 15:42 **[ТС]**

Всё понятно)) Ещё раз выражаю огромную благодарность

Спасибо за помощь!

@Sandor · 27.04.2016, 15:49

Удачи!

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,066
	27.04.2016, 15:38	13
	Удалять было не обязательно, это только предупреждение)) (Могло быть и ложное срабатывание) 1

@maxevo 0 / 0 / 0 Регистрация: 26.04.2016 Сообщений: 8
		1
	Самопроизвольная установка рекламного вирусного ПО 26.04.2016, 22:03. Показов 1229. Ответов 14 Метки нет (Все метки) Здравствуйте! Уже второй день не могу удалить вот это вирус - "extsetup.exe". Касперский не видит. Adwcleaner его удаляет, но после перезагрузки эта программа устанавливается заново! Путь к вирусу: -Appdata/Local/Microsoft/Extensions. В общем всё тоже самое, что и в этой теме - "https://www.cyberforum.ru/viruses/thread1578031.html". Помогите пожалуйста избавиться от этой заразы. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,066
	27.04.2016, 14:24	5
	1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,066
	27.04.2016, 15:18	9
	Завершаем: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,066
	27.04.2016, 15:33	11
	--------------------------- [ OtherUtilities ] ---------------------------- WinRAR 4.11 (64-разрядная) v.4.11.0 Внимание! Скачать обновления Picasa 3 v.3.9.140.239 Данная программа больше не поддерживается разработчиком. --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.6.42094 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. ---------------------------- [ UnwantedApps ] ----------------------------- Skype Click to Call v.8.0.0.9103 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. Прочтите и выполните Рекомендации после удаления вредоносного ПО 1

@maxevo 0 / 0 / 0 Регистрация: 26.04.2016 Сообщений: 8
	27.04.2016, 15:36 [ТС]	12
	При удалении µTorrent v.3.4.6.42094 (Клиент сети P2P) - сработал касперский, всё что он нашёл - я удалил 0

@maxevo 0 / 0 / 0 Регистрация: 26.04.2016 Сообщений: 8
	27.04.2016, 15:42 [ТС]	14
	Всё понятно)) Ещё раз выражаю огромную благодарность Спасибо за помощь! 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,066
	27.04.2016, 15:49	15
	Удачи! 1