Рекламный вирус

smitssv · 22.07.2015, 09:31

Вирус рекламный высвечиватся отдельно в браузере
пример: _____
uVS
AVZ

safety · 22.07.2015, 09:45

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\SVI9TOI\APPDATA\LOCAL\9988\UPDATER.EXE
addsgn 1B84028A5583FF0B0DD447EF5ECD12EC5C75FDF660CE5069852AEAD351D698A60E02C3BEFB249349C210979246FF721479DF01C4B6DAB0C59C0BB52F2E0AF378 8 Win32/Amonetize

delall D:\USERS\SVI9TOI\DOWNLOADS\03.12.14\YET_ANOTHER_CLEANER_SK_6641841 (1).EXE
delref HTTP://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGIJVKXLYIP4NYE17AVLWVTTZE-84TVUG6-OU0A2PRNFJLRXJ5WKICIHJUK4OZ4NNAGRT_GBPV1K4-EXLRJ83LJG_UWVCEINDQBR-UJS_LDYH7SYE7-_4520BSP0_YAOQFVLJWGX5LVLNENK3J6OYF9OEG9P7Q_MG_U80DXITWWAPFW,,
delref HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGIJVKXLYIP4NYE17AVLWVTTZE-84TVUG6-OU0A2PRNFJLRXJ5WKICIHJUK4OZ4NNAGRT_GBPV1K4-EXLRJ83LJG_UWVCEINDQBYRVHL5OBVZYBRRZWIWKNPHAABW88DFHMGCBWK05S1UWOAN1PL3_6AVKENBJIZHZUT1BJZRDOIGAG,
delref %SystemDrive%\PROGRAMDATA\TOOLGETS\FF.HP
delref %SystemDrive%\PROGRAMDATA\TOOLGETS\FF.NT
delref %SystemDrive%\USERS\SVI9TOI\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GIGHMMPIOBKLFEPJOCNAMGKKBIGLIDOM\2.36.2_0\ADBLOCK
delref %SystemDrive%\USERS\SVI9TOI\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AONEDLCHKBICMHEPIMIAHFALHEEDJGBH\3.7.18_0\SUPERMEGABEST.COM
delref %SystemDrive%\USERS\SVI9TOI\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FBPPGMOLKJAGIPKPDCIDLDPHOIEGFAPE\1.2.4_0\XYZ ON DOTA2LOUNGE
delref %SystemDrive%\USERS\SVI9TOI\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FDCGDNKIDJAADAFNICHFPABHFOMCEBME\5.2.0_0\ZENMATE SECURITY, PRIVACY & UNBLOCK VPN
delref %SystemDrive%\USERS\SVI9TOI\DESKTOP\РЌРЅРІР°СЏ РЇР°РЇРЄР°
;------------------------autoscript---------------------------

chklst
delvir

; AVS Media Player 4.2.3.106
exec  d:\Program Files (x86)\AVS4YOU\AVSMediaPlayer\unins000.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U

deltmp
delnfr

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

smitssv · 22.07.2015, 10:29

Malwarebytes Anti-Malware
Щас скрипт выполню

---------- Добавлено в 09:06 ---------- Предыдущее сообщение было написано в 08:47 ----------

Реклама не пропала
Malwarebytes Anti-Malware

---------- Добавлено в 09:16 ---------- Предыдущее сообщение было написано в 09:06 ----------

Удалил все с Malwarebytes Anti-Malware вирус пропал

---------- Добавлено в 09:29 ---------- Предыдущее сообщение было написано в 09:16 ----------

АдвКлинер
сделаk проверку в FRST
FRST

Addition

safety · 22.07.2015, 10:38

а вот это что за процессы?

Цитата:

() C:\ProgramData\ToolGet\ToolGet.exe
() C:\ProgramData\ToolGet\p2qo5aja.exe

safety · 22.07.2015, 10:42

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

() C:\ProgramData\ToolGet\ToolGet.exe
() C:\ProgramData\ToolGet\p2qo5aja.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [goalojoobcfkhddpbjcmhdceeegmaphh] - http://clients2.google.com/service/update2/crx
R2 ToolGet; C:\ProgramData\ToolGet\ToolGet [X]
EmptyTemp:
Reboot:

smitssv · 22.07.2015, 10:53

Лог

Код:

() C:\ProgramData\ToolGet\ToolGet.exe
() C:\ProgramData\ToolGet\p2qo5aja.exe

незнаю что за процессы

safety · 22.07.2015, 11:06

добавьте новый образ автозапуска, посмотрю что там осталось

smitssv · 22.07.2015, 23:47

Вот - образ автозапуска

RP55.RP55 · 23.07.2015, 01:01

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код:

     


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?P=MKO_AWFZXIPYRYEQQAO2TXTGPTBOXPBNF1_PLM2SHTAVS5W8Z3VUESJYWJCRB5XNZW0NEIZI8IWT5RSTXN3QH2PSSFM2KR6SU4XNCUJ_7Z-RIH6YWW6EMDJNJQ4PKGM8H2IBMRFDWACBLBXNLG1ZT7W0JKCOGCJD3B9ZRRW7DDFZQEJRC4IBL8I7FQFT
delref HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRYEQQAO2TXTGPTBOXPBNF1_PLM2SHTAVS5W8Z3VUESJYWJCRB5XNZW0NEIZI8IWT5RSTXN3QH2PSSFM2KR6SU4XNCUJ_7Z-RIHIJBFEFW8JNXRMNQZCCCUA8TVFPBYYFHCVZX0ZRLV1ZNZQFQPBYQJDKSYA8OC-KLU_CJL7KUUNFZKIG&Q=
bl 7DA82D4E738CA16A562559E89CB9756D 7946624
delref \\?\C:\USERS\SVI9TOI\APPDATA\LOCAL\UMMYVIDEODOWNLOADER\UMMYVIDEODOWNLOADER.EXE
del \\?\C:\USERS\SVI9TOI\APPDATA\LOCAL\UMMYVIDEODOWNLOADER\UMMYVIDEODOWNLOADER.EXE

delref HTTP://JAVA.COM/HELP
;-------------------------------------------------------------

delref %SystemDrive%\PROGRAMDATA\TEGLOOTS\FF.HP
delref %SystemDrive%\PROGRAMDATA\TEGLOOTS\FF.NT
delref %SystemDrive%\USERS\SVI9TOI\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AKJBFNCBADCMNKOPCKEGNMJGIHAGPONF\1.10_0\HD FOR YOUTUBE™
delref %SystemDrive%\USERS\SVI9TOI\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CFHDOJBKJHNKLBPKDAIBDCCDDILIFDDB\1.9.1_0\ADBLOCK PLUS
delref %SystemDrive%\USERS\SVI9TOI\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GOALOJOOBCFKHDDPBJCMHDCEEEGMAPHH\2.1.8.0_0\СОВЕТНИК ТЕСЛЫ
delref STPRO.EXE
deldirex %SystemDrive%\PROGRAMDATA\TEGLOOT
bl 1888563C1AF0969D5717694E46CC48A0 376832
delall %SystemDrive%\PROGRAM FILES\COMPLIANT HOST CONTROLLER\COMC.EXE
deltmp
delnfr
restart

пишем, что и как.

safety · 23.07.2015, 06:26

+
добавьте все логи выполнения скриптов uVS
это файлы дата_времяlog.txt в каталоге uVS

22.07.2015, 09:31	#1 (ссылка)
smitssv Новичок Регистрация: 25.02.2013 Сообщений: 92 Репутация: 0	Рекламный вирус Вирус рекламный высвечиватся отдельно в браузере пример: _____ uVS AVZ

22.07.2015, 10:42	#5 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Код: () C:\ProgramData\ToolGet\ToolGet.exe () C:\ProgramData\ToolGet\p2qo5aja.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKLM-x32\...\Chrome\Extension: [goalojoobcfkhddpbjcmhdceeegmaphh] - http://clients2.google.com/service/update2/crx R2 ToolGet; C:\ProgramData\ToolGet\ToolGet [X] EmptyTemp: Reboot:

22.07.2015, 10:53	#6 (ссылка)
smitssv Новичок Регистрация: 25.02.2013 Сообщений: 92 Репутация: 0	Лог Код: () C:\ProgramData\ToolGet\ToolGet.exe () C:\ProgramData\ToolGet\p2qo5aja.exe незнаю что за процессы

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Рекламный вирус в браузер	Asakyra	Безопасность	12	22.11.2014 14:39
Рекламный вирус в браузерах.	andriano	Безопасность	7	26.10.2014 01:37
Рекламный вирус.	Friglight	Безопасность	17	01.10.2014 19:55
Подозрение на рекламный вирус.	virtus_pro	Безопасность	5	01.09.2014 14:58
Рекламный вирус в браузерах.	Asakyra	Безопасность	22	18.11.2013 23:11

22.07.2015, 10:29	#3 (ссылка)
smitssv Новичок Регистрация: 25.02.2013 Сообщений: 92 Репутация: 0	Malwarebytes Anti-Malware Щас скрипт выполню ---------- Добавлено в 09:06 ---------- Предыдущее сообщение было написано в 08:47 ---------- Реклама не пропала Malwarebytes Anti-Malware ---------- Добавлено в 09:16 ---------- Предыдущее сообщение было написано в 09:06 ---------- Удалил все с Malwarebytes Anti-Malware вирус пропал ---------- Добавлено в 09:29 ---------- Предыдущее сообщение было написано в 09:16 ---------- АдвКлинер сделаk проверку в FRST FRST Addition

22.07.2015, 11:06	#7 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	добавьте новый образ автозапуска, посмотрю что там осталось

22.07.2015, 23:47	#8 (ссылка)
smitssv Новичок Регистрация: 25.02.2013 Сообщений: 92 Репутация: 0	Вот - образ автозапуска

23.07.2015, 06:26	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	+ добавьте все логи выполнения скриптов uVS это файлы дата_времяlog.txt в каталоге uVS

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads