Обнаружен вызов интерпретатора командной строки в автозапуске и реклама в браузере [not-a-virus:AdWare.Win32.ConvertAd.bjk, not-a-virus:AdWare.Win32.ConvertAd.biy ]

[Olesia111]

Добрый день !Были скачаны драйвера ,а с ними и сюрприз,помогите пожалуйста.
Результат проверки карантина http://virusinfo.info/virusdetector/...14D83393A9FCE9

[Info_bot]

Уважаемый(ая) Olesia111, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\Hostinstaller\414920787_installcube.exe','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\OBILl0n7Ow6VSC8.exe','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\Logo Video\{81C8A149-117C-F6AF-12F6-67B0DE8FBC2E}\bryxjy.dll','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\Logo Video\{81C8A149-117C-F6AF-12F6-67B0DE8FBC2E}\LogoVideo.dll','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\gmsd_re_005010129\upgmsd_re_005010129.exe','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\gmsd_re_005010126\upgmsd_re_005010126.exe','');
 SetServiceStart('rizyqibe', 4);
 SetServiceStart('woforemu', 4);
 SetServiceStart('zizusyju', 4);
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\26ED1100-1451163970-8146-24C4-20CF301DB4F0\qnsu424.tmp','');
 DeleteService('zigipyro');
 DeleteService('zizusyju');
 DeleteService('woforemu');
 DeleteService('rizyqibe');
 QuarantineFile('C:\Program Files\26ED1100-1450892000-8146-24C4-20CF301DB4F0\hnsf124.tmp','');
 QuarantineFile('c:\program files\qualitychecker\qc.exe','');
 TerminateProcessByName('c:\program files\26ed1100-1450892000-8146-24c4-20cf301db4f0\hnsf124.tmp');
 TerminateProcessByName('c:\program files\26ed1100-1450892000-8146-24c4-20cf301db4f0\jnsv121.tmp');
 TerminateProcessByName('c:\documents and settings\user\local settings\application data\26ed1100-1450899348-8146-24c4-20cf301db4f0\snso164.tmp');
 QuarantineFile('c:\documents and settings\user\local settings\application data\26ed1100-1450899348-8146-24c4-20cf301db4f0\snso164.tmp','');
 QuarantineFile('c:\program files\26ed1100-1450892000-8146-24c4-20cf301db4f0\jnsv121.tmp','');
 QuarantineFile('c:\program files\26ed1100-1450892000-8146-24c4-20cf301db4f0\hnsf124.tmp','');
 DeleteFile('c:\program files\26ed1100-1450892000-8146-24c4-20cf301db4f0\hnsf124.tmp','32');
 DeleteFile('c:\program files\26ed1100-1450892000-8146-24c4-20cf301db4f0\jnsv121.tmp','32');
 DeleteFile('c:\documents and settings\user\local settings\application data\26ed1100-1450899348-8146-24c4-20cf301db4f0\snso164.tmp','32');
 DeleteFile('C:\Program Files\26ED1100-1450892000-8146-24C4-20CF301DB4F0\hnsf124.tmp','32');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\26ED1100-1451163970-8146-24C4-20CF301DB4F0\qnsu424.tmp','32');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\gmsd_re_005010126\upgmsd_re_005010126.exe','32');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\gmsd_re_005010129\upgmsd_re_005010129.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_re_005010129.exe','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_re_005010126.exe','command');
 DeleteFile('C:\Program Files\baidu\ppt.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\Logo Video\{81C8A149-117C-F6AF-12F6-67B0DE8FBC2E}\LogoVideo.dll','32');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\Logo Video\{81C8A149-117C-F6AF-12F6-67B0DE8FBC2E}\bryxjy.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\Logo Video2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Logo Video.job','32');
 DeleteFile('C:\Documents and Settings\user\Application Data\OBILl0n7Ow6VSC8.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\OBILl0n7Ow6VSC8.job','32');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\Hostinstaller\414920787_installcube.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\Soft installer.job','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте лог CheckBrowsers' Lnk

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Olesia111]

Я с первым карантином ошиблась,правильный второй.
С Рождеством Вас!

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке



3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Сделайте лог полного сканирования МВАМ

[Olesia111]

Cделала,в Malwarebytes после сканирования запросило "удалять обнаруженные угрозы?"я не удалила ,как было написано.

[thyrex]

Удалите в МВАМ все найденное

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 50
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\user\local settings\application data\hostinstaller\414920787_installcube.exe - not-a-virus:AdWare.MSIL.Agent.bjl ( DrWEB: Program.Unwanted.1025 )
  2. c:\documents and settings\user\local settings\application data\logo video\{81c8a149-117c-f6af-12f6-67b0de8fbc2e}\bryxjy.dll - not-a-virus:WebToolbar.Win32.CrossRider.apso
  3. c:\documents and settings\user\local settings\application data\logo video\{81c8a149-117c-f6af-12f6-67b0de8fbc2e}\logovideo.dll - not-a-virus:WebToolbar.Win32.CrossRider.apsa
  4. c:\documents and settings\user\local settings\application data\logo video\{81c8a149-117c-f6af-12f6-67b0de8fbc2e}\{92d845cb-4927-6bb5-4215-515130b0d0e2}.dat - not-a-virus:AdWare.MSIL.Agent.aari
  5. c:\documents and settings\user\local settings\application data\26ed1100-1450899348-8146-24c4-20cf301db4f0\snso164.tmp - not-a-virus:AdWare.Win32.ConvertAd.bjk ( DrWEB: Adware.ClickMeIn.4723, AVAST4: Win32:Rootkit-gen [Rtk] )
  6. c:\program files\26ed1100-1450892000-8146-24c4-20cf301db4f0\hnsf124.tmp - not-a-virus:AdWare.Win32.ConvertAd.bji ( DrWEB: Adware.ConvertAd.60, AVAST4: Win32:Rootkit-gen [Rtk] )
  7. c:\program files\26ed1100-1450892000-8146-24c4-20cf301db4f0\jnsv121.tmp - not-a-virus:AdWare.Win32.ConvertAd.biy ( DrWEB: Adware.ClickMeIn.4822, AVAST4: Win32:Adware-gen [Adw] )