# Форум на русском языке  > Помогите!  >  adsubscription trojan

## sergeby

высылаю троян с рекламой секс шопа, автоматическое сканирование удаляет его , но .dll файл не удаляется,
буду признателен за помощь

Серж

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Rene-gad

Закройте/выгрузите все программы кроме AVPTool и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт в разделе Ручное лечение


```
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\User\APPLIC~1\Aldea\Aldea.dll','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\AdSubscribe\AdSubscribe.dll','');
 DeleteFile('C:\Documents and Settings\User\Application Data\AdSubscribe\AdSubscribe.dll');
 DeleteFile('C:\DOCUME~1\User\APPLIC~1\Aldea\Aldea.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
```

После перезагрузки:

- Выполните скрипт в разделе Ручное лечение


```
begin
CreateQurantineArchive('C:\quarantine.zip');
end.
```

- Удалите Bonjour
-  Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным *только Internet Explorer*. Если он не запущен - запустите!!!
- Сделайте повторный лог
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте C:\quarantine.zip по ссылке *Прислать запрошенный карантин* вверху темы (Приложение 3 правил).
- Прикрепите лог к новому сообщению.

----------


## sergeby

Уважаемый модератор, все выполнено, надеюсь все очищено, новый лог посылаю в аттаче, безмерно благодарен за помощь, да оценет ваш труд всевышний!
С уважением
Серж

----------


## Rene-gad

- Выполните скрипт в разделе Ручное лечение


```
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{B8F88615-A49E-4443-A26F-E97379BE1B1A}');
 DeleteFile('C:\DOCUME~1\User\APPLIC~1\Aldea\Aldea.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
```

После перезагрузки:
- Удалите Bonjour - в статье есть скрипт, его и выполните
-  Очистите темп-папки, кэш проводников и корзину.
- Сделайте повторный лог

----------


## CyberHelper

Статистика проведенного лечения:
Получено карантинов: *1*Обработано файлов: *6*В ходе лечения обнаружены вредоносные программы:
 c:\documents and settings\user\application data\adsubscribe\adsubscribe.dll - *Trojan-Downloader.Win32.Agent.cgrs* ( DrWEB: BackDoor.BlackHole.3426 ) c:\docume~1\user\applic~1\aldea\aldea.dll - *Trojan-Downloader.Win32.Adload.glx* ( DrWEB: Trojan.AdSubscribe.origin, BitDefender: MemScan:Trojan.Downloader.ADLoad.NDJ )

----------

