Реклама в ВК и программы от майл. ру

@hop_hop · Регистрация: 24.10.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте, столкнулся с проблемой, после загрузки одного сомнительного ПО установилась много мейловской гадости (Амиго, спутник и т.д.), поиск в интернете и войти в интернет. Но к этому всему добавился вирус который добавляет рекламу в вк (под левым столбцом, в лс, в фотографиях всплывает снизу и справа и т.д.), которая сильно грузит систему.Антивирусники ничего не находят, браузер гугл хром. Что делать подскажите?

magirus · 24.10.2016, 21:15

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@hop_hop · 24.10.2016, 21:40 **[ТС]**

Сделано

@thyrex · 25.10.2016, 00:03

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Admin\AppData\Local\FilterStart\FilterStart.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Identities\ISSCH\issch.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\fupdate\fupdate.exe','');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Account Standart Manager','64');
 DeleteFile('C:\Windows\system32\Tasks\fupdate','64');
 DeleteFile('C:\Users\Admin\AppData\Local\fupdate\fupdate.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Identities\ISSCH\issch.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\InstallShield Update Service','64');
 DeleteFile('C:\Windows\system32\Tasks\Render Account Manager','64');
 DeleteFile('C:\Windows\system32\Tasks\Standart PC Manager','64');
 DeleteFile('C:\Users\Admin\AppData\Local\FilterStart\FilterStart.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

@hop_hop · 27.10.2016, 10:56 **[ТС]**

Готово

@thyrex · 27.10.2016, 19:31

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@hop_hop · 28.10.2016, 11:41 **[ТС]**

вот

@thyrex · 29.10.2016, 01:27

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
Task: {1C834EC8-08B8-4DD9-9C8E-6C895D9B1FD5} - \Account Standart Manager -> No File <==== ATTENTION
Task: {3305ABED-22BC-407E-800F-A212C0C5C900} - \Render Account Manager -> No File <==== ATTENTION
Task: {607EA095-6877-42A9-BEF0-277E0D0172AF} - \Standart PC Manager -> No File <==== ATTENTION
Task: {AEF37D4E-B426-4C9A-B856-1F075EE92B4C} - \InstallShield Update Service -> No File <==== ATTENTION
Task: {F9B1B04F-C64A-4C49-8CE0-D908AA203B02} - \fupdate -> No File <==== ATTENTION
HKLM\...\Run: [DateOption] => C:\Users\Admin\AppData\Local\DateOption\regCheck.vbs www.syschecksync.com/?rnd=141 0 0
HKLM\...\Policies\Explorer\Run: [TestMenu] => C:\Users\Admin\AppData\Local\TestMenu\regCheck.vbs www.testmenu.xyz
HKLM\...\Policies\Explorer\Run: [ImmediateHelp] => C:\Users\Admin\AppData\Local\ImmediateHelp\regCheck.vbs www.2road.xyz
HKU\S-1-5-21-3872502490-3609556252-3981559996-1000\...\Policies\Explorer\Run: [LastNews] => C:\Users\Admin\AppData\Local\LastNews\regCheck.vbs www.snowyear.xyz
HKU\S-1-5-21-3872502490-3609556252-3981559996-1000\...\Policies\Explorer\Run: [ValidateLife] => C:\Users\Admin\AppData\Local\ValidateLife\regCheck.vbs www.hitopup.xyz
CHR StartupUrls: Default -> "","hxxp://mail.ru/cnt/7993/","hxxp://www.google.com/","hxxp://mail.ru/cnt/10445?gp=blackbear12","hxxp://www.istartsurf.com/?type=hp&ts=1437518107&z=7dfb159aae00ac9ba353ef4g2z7c7m6w0gcbaeamfz&from=face&uid=WDCXWD10EZEX-00ZF5A0_WD-WMC1S352973129731","hxxp://www.istartsurf.com/?type=hppp&ts=1437518209&z=f34f7aa9ebae90e067e80e9gdz5cfm6wcg3bdg1m3q&from=face&uid=WDCXWD10EZEX-00ZF5A0_WD-WMC1S352973129731","hxxp://mail.ru/cnt/10445?gp=anvir5","hxxp://mail.ru/cnt/10445?gp=820475","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://mail.ru/cnt/10445?gp=818408"
CHR Extension: (VK Downloader) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbjdlpaffkkdggnabfdbhbfbncmcckio [2016-10-27]
2016-10-26 17:39 - 2016-10-26 17:39 - 00000000 ____D C:\Users\Admin\AppData\Local\ValidateLife
2016-10-26 17:39 - 2016-10-26 17:39 - 00000000 ____D C:\Users\Admin\AppData\Local\TestMenu
2016-10-26 17:39 - 2016-10-26 17:39 - 00000000 ____D C:\Users\Admin\AppData\Local\rightchose
2016-10-26 17:39 - 2016-10-26 17:39 - 00000000 ____D C:\Users\Admin\AppData\Local\LastNews
2016-10-26 17:39 - 2016-10-26 17:39 - 00000000 ____D C:\Users\Admin\AppData\Local\ImmediateHelp
2016-10-26 17:39 - 2016-10-26 17:39 - 00000000 ____D C:\Users\Admin\AppData\Local\FilterOptions
2016-10-26 17:39 - 2016-10-26 17:39 - 00000000 ____D C:\Users\Admin\AppData\Local\FileSystemOptions
2016-10-26 17:39 - 2016-10-26 17:39 - 00000000 ____D C:\Users\Admin\AppData\Local\DateOption
2016-10-23 17:30 - 2016-07-20 20:14 - 00025768 _____ C:\Windows\SysWOW64\sh4native.exe
2016-10-23 17:29 - 2016-10-23 18:25 - 00542910 _____ C:\spyhunter.fix
2016-10-23 17:24 - 2016-10-23 17:24 - 00013312 _____ ( ) C:\Users\Admin\AppData\Local\Standart PC Manager.exe
2016-10-23 17:24 - 2016-10-23 17:24 - 00000326 _____ C:\Users\Admin\AppData\Local\expand.ini
2016-10-23 17:24 - 2016-10-23 17:24 - 00000000 ____D C:\Users\Admin\AppData\Local\Вoйти в Интeрнет
2016-10-23 17:24 - 2016-10-23 17:24 - 00000000 ____D C:\Program Files (x86)\ScreenUp
2016-10-23 17:23 - 2016-10-23 18:46 - 00000000 ____D C:\Users\Admin\AppData\Local\fupdate
2016-10-23 17:22 - 2016-10-24 01:17 - 00000000 ____D C:\Users\Admin\AppData\LocalLow\SearchGo
2016-10-23 17:20 - 2016-10-23 17:20 - 00000000 ____D C:\Users\Admin\AppData\Local\Поиcк в Интeрнете
2016-10-23 17:14 - 2016-10-23 18:46 - 00000000 ____D C:\Program Files (x86)\Enigma Software Group
2016-10-23 16:46 - 2016-10-23 16:46 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
C:\Users\Admin\AppData\Local\Temp\coi1634.exe
C:\Users\Admin\AppData\Local\Temp\Hva8W4ySuWbM.exe
C:\Users\Admin\AppData\Local\Temp\NA9bCurHAlI3.exe
C:\Users\Admin\AppData\Local\Temp\qr3TZ7V2TeHH.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

@hop_hop · 29.10.2016, 11:09 **[ТС]**

Сделал

@thyrex · 29.10.2016, 22:32

Проблема решена?

@hop_hop · 30.10.2016, 15:20 **[ТС]**

Да, благодарю!

@thyrex · 30.10.2016, 19:44

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@hop_hop · 31.10.2016, 21:56 **[ТС]**

выложил

@thyrex · 01.11.2016, 23:58

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18314 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41865 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
---------------------------- [ UnwantedApps ] -----------------------------
Auslogics Disk Defrag v.7.0.0.0 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Исправляйте указанное + Рекомендации после удаления вредоносного ПО

@hop_hop 0 / 0 / 0 Регистрация: 24.10.2016 Сообщений: 39
		1
	Реклама в ВК и программы от майл. ру 24.10.2016, 21:13. Показов 801. Ответов 13 Метки нет (Все метки) Здравствуйте, столкнулся с проблемой, после загрузки одного сомнительного ПО установилась много мейловской гадости (Амиго, спутник и т.д.), поиск в интернете и войти в интернет. Но к этому всему добавился вирус который добавляет рекламу в вк (под левым столбцом, в лс, в фотографиях всплывает снизу и справа и т.д.), которая сильно грузит систему.Антивирусники ничего не находят, браузер гугл хром. Что делать подскажите? 0

magirus Почетный модератор 28045 / 15778 / 982 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	24.10.2016, 21:15	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	27.10.2016, 19:31	6
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	29.10.2016, 22:32	10
	Проблема решена? 0

@hop_hop 0 / 0 / 0 Регистрация: 24.10.2016 Сообщений: 39
	30.10.2016, 15:20 [ТС]	11
	Да, благодарю! 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	30.10.2016, 19:44	12
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	01.11.2016, 23:58	14
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.18314 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41865 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. ---------------------------- [ UnwantedApps ] ----------------------------- Auslogics Disk Defrag v.7.0.0.0 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Исправляйте указанное + Рекомендации после удаления вредоносного ПО 0