Вирус. Устанавливаются программы, ярлыки, всплытие рекламы [not-a-virus:Downloader.Win32.IObit.d, not-a-virus:AdWare.Win32.Vopak.ast ]

Printable View

09.07.2015, 22:58
Ivan Kurasov

Вложений: 2

Вирус. Устанавливаются программы, ярлыки, всплытие рекламы [not-a-virus:Downloader.Win32.IObit.d, not-a-virus:AdWare.Win32.Vopak.ast ]

Здравствуйте, скачал программу для запуска игры, а с ней попался вирус. Система запускается медленно, устанавливает кучу программ, ярлыков. Также подмена стартовой страницы в браузере, всплытие рекламы
09.07.2015, 22:59
Info_bot

Уважаемый(ая) [B]Ivan Kurasov[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.07.2015, 00:51
Никита Соловьев

[URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Подготовьте отчёт ADWCleaner[/URL] в дополнение.
10.07.2015, 07:52
Ivan Kurasov

Вложений: 1

Готово
10.07.2015, 21:42
Никита Соловьев

Удалите всё, что обнаружила программа [URL="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]согласно инструкции[/URL]. Сделайте новый virusinfo_syscheck.
10.07.2015, 22:01
Ivan Kurasov

Вложений: 2

Готово
10.07.2015, 22:07
Никита Соловьев

[URL="http://virusinfo.info/showthread.php?t=7239"][COLOR="#ff0033"][SIZE=3][FONT=Century Gothic]Выполните скрипт в AVZ:[/FONT][/SIZE][/COLOR][/URL]

[CODE]
BEGIN
ClearQuarantine;
TerminateProcessByName('c:\program files (x86)\gamexpservice\gamexpsvc.exe');
TerminateProcessByName('c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996\hnst42f2.tmp');
TerminateProcessByName('c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996\knsc12f7.tmp');
TerminateProcessByName('c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996\knsk34fd.tmp');
TerminateProcessByName('c:\users\ikur\appdata\local\host installer\2191871387_installcube.exe');
QuarantineFile('c:\program files (x86)\gamexpservice\gamexpsvc.exe','');
QuarantineFile('c:\users\ikur\appdata\local\host installer\2191871387_installcube.exe','');
QuarantineFile('c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996\hnst42f2.tmp','');
QuarantineFile('c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996\knsc12f7.tmp','');
QuarantineFile('c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996\knsk34fd.tmp','');
DeleteService('wevowoxo');
DeleteService('vicoqudu');
DeleteService('rodyjipy');
DeleteService('gamexpsvc');
DeleteFile('c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996\knsk34fd.tmp','32');
DeleteFile('c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996\knsc12f7.tmp','32');
DeleteFile('c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996\hnst42f2.tmp','32');
DeleteFile('c:\users\ikur\appdata\local\host installer\2191871387_installcube.exe','32');
DeleteFile('c:\program files (x86)\gamexpservice\gamexpsvc.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
DeleteFileMask('c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996','*',true);
DeleteDirectory('c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996');
DeleteFileMask('c:\program files (x86)\gamexpservice','*',true);
DeleteDirectory('c:\program files (x86)\gamexpservice');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
END.
[/CODE]

Компьютер будет перезагружен.

Используйте ссылку "[B]Прислать запрошенный карантин[/B]", которая находится над первым сообщением этой темы, чтобы прислать [B]quarantine.zip[/B].

Повторите действия, указанные в правилах и подготовьте новый отчет AVZ.
10.07.2015, 22:28
Ivan Kurasov

Вложений: 1

Готово
10.07.2015, 22:42
Никита Соловьев

[URL="http://virusinfo.info/showthread.php?t=7239"][COLOR="#ff0033"][SIZE=3][FONT=Century Gothic]Выполните скрипт в AVZ:[/FONT][/SIZE][/COLOR][/URL]

[CODE]
BEGIN
ClearQuarantine;
DeleteService('wsasvc_1.10.0.19');
DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Service\wsasvc.exe','32');
DeleteFileMask('C:\Program Files (x86)\WordSurfer_1.10.0.19','*',true);
DeleteDirectory('C:\Program Files (x86)\WordSurfer_1.10.0.19');
ExecuteSysClean;
RebootWindows(true);
END.
[/CODE]

Компьютер будет перезагружен.

Используйте ссылку "[B]Прислать запрошенный карантин[/B]", которая находится над первым сообщением этой темы, чтобы прислать [B]quarantine.zip[/B].

Проблема решена?
10.07.2015, 22:55
Ivan Kurasov

Реклама на страницах, ссылки, ярлыки и программы пропали и больше не устанавливаются. Лишь при открытии браузера сразу открывается рекламная ссылка. В остальном все работает как раньше.
10.07.2015, 23:00
Никита Соловьев

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]Check Browsers LNK.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы в папке [b]Log[/b] будет сохранен отчет [b]Check_Browsers_LNK.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
10.07.2015, 23:21
Ivan Kurasov

Вложений: 1

Готово
10.07.2015, 23:29
Никита Соловьев

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
[list][*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
10.07.2015, 23:38
Ivan Kurasov

Вложений: 1

Готово
10.07.2015, 23:39
Никита Соловьев

Теперь всё в порядке?
10.07.2015, 23:40
Ivan Kurasov

Да, спасибо большое!
10.07.2015, 23:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\ikur\appdata\local\host installer\2191871387_installcube.exe - [B]not-a-virus:Downloader.Win32.IObit.d[/B][*] c:\users\ikur\appdata\roaming\44e46e1d-1436463294-a796-163e-40167e00d996\hnst42f2.tmp - [B]not-a-virus:AdWare.Win32.Vopak.ast[/B][/LIST][/LIST]