Самопроизвольная установка браузеров. [not-a-virus:RiskTool.Win64.BitCoinMiner.bti, not-a-virus:AdWare.Win32.ELEX.bhd ]

**Odaving** · 12.04.2017, 15:55

Здравствуйте. Такая проблема, мною может месяц назад были удалены два браузера : Google и Mozilla. Всё бы ничего, да вот через некоторое время они опять устанавливаются, лезут на рабочий стол, в панель задач. Нужна помощь с решением этой проблемы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.04.2017, 15:56

Уважаемый(ая) Odaving, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 15.04.2017, 17:58

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Aser)\appdata\roaming\gplyra\gplyra.exe','');
 QuarantineFile('C:\Update\psgo\psgo.ps1','');
 QuarantineFile('C:\Users\Aser)\AppData\Local\Hostinstaller\538234603_installspro.exe','');
 QuarantineFile('C:\Program Files (x86)\Prerqiwarddacertain\danudle.exe','');
 QuarantineFile('C:\Program Files (x86)\Khagetheputain Renew\local64spl.dll','');
 QuarantineFile('C:\Users\Aser)\AppData\Local\SNARER\Snarer.dll','');
 QuarantineFile('C:\Users\Aser)\AppData\Roaming\WinSAPSvc\WinSAP.dll','');
 DeleteService('iSafeKrnl');
 DeleteService('iSafeKrnlBoot');
 DeleteService('iSafeKrnlKit');
 DeleteService('iSafeKrnlMon');
 DeleteService('iSafeKrnlR3');
 DeleteService('Kyubey');
 DeleteService('HipmySU');
 QuarantineFile('C:\Users\Aser)\AppData\Local\Temp\3\Bfinstall.exe','');
 QuarantineFile('C:\Users\Aser)\AppData\Roaming\Kyubey\Kyubey.exe','');
 DeleteService('FootperSU');
 DeleteService('FirefoxU');
 QuarantineFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe','');
 QuarantineFile('C:\Windows\TEMP\nsiC80C.tmp\ttff.exe','');
 QuarantineFile('C:\Users\Aser)\AppData\Local\Temp\4\Bfinstall.exe','');
 QuarantineFile('C:\Windows\TEMP\nsiD4D5.tmp\ttff.exe','');
 QuarantineFile('C:\Users\Aser)\AppData\Roaming\clean\kyubey.exe','');
 DeleteService('clean');
 DeleteService('CansuckSU');
 DeleteService('BallduckSU');
 SetServiceStart('ed2kidle', 4);
 DeleteService('ed2kidle');
 TerminateProcessByName('c:\program files (x86)\eyeleo\eyeleo.exe');
 QuarantineFile('c:\program files (x86)\eyeleo\eyeleo.exe','');
 TerminateProcessByName('c:\program files (x86)\amulell\ed2k.exe');
 QuarantineFile('c:\program files (x86)\amulell\ed2k.exe','');
 TerminateProcessByName('c:\program files (x86)\bikaqrss\bikaq.exe');
 QuarantineFile('c:\program files (x86)\bikaqrss\bikaq.exe','');
 DeleteFile('c:\program files (x86)\bikaqrss\bikaq.exe','32');
 DeleteFile('c:\program files (x86)\amulell\ed2k.exe','32');
 DeleteFile('C:\Users\Aser)\AppData\Roaming\clean\kyubey.exe','32');
 DeleteFile('C:\Windows\TEMP\nsiD4D5.tmp\ttff.exe','32');
 DeleteFile('C:\Users\Aser)\AppData\Local\Temp\4\Bfinstall.exe','32');
 DeleteFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe','32');
 DeleteFile('C:\Windows\TEMP\nsiC80C.tmp\ttff.exe','32');
 DeleteFile('C:\Users\Aser)\AppData\Roaming\Kyubey\Kyubey.exe','32');
 DeleteFile('C:\Users\Aser)\AppData\Local\Temp\3\Bfinstall.exe','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\iSafeKrnlBoot.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys','32');
 DeleteFile('C:\Users\Aser)\AppData\Roaming\WinSAPSvc\WinSAP.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
 DeleteFile('C:\Users\Aser)\AppData\Local\SNARER\Snarer.dll','32');
 DeleteFile('C:\Program Files (x86)\Khagetheputain Renew\local64spl.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel','64');
 DeleteFile('C:\Program Files (x86)\Prerqiwarddacertain\danudle.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Khagetheputain Renew','64');
 DeleteFile('C:\Windows\system32\Tasks\Milimili','64');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\Aser)\AppData\Local\Hostinstaller\538234603_installspro.exe','32');
 DeleteFile('C:\Update\psgo\psgo.ps1','32');
 DeleteFile('C:\Windows\system32\Tasks\Windows-PG','64');
 DeleteFile('C:\Users\Aser)\appdata\roaming\gplyra\gplyra.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9); 
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**Odaving** · 19.04.2017, 21:00

При попытке запустить скрипт ноутбук перезагружается. Файл "Check_Browsers_LNK.log" в папке AutoLogger не появляется.

- - - - -Добавлено - - - - -

Сделал вроде.

**CyberHelper** · 19.04.2017, 21:10

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\amulell\ed2k.exe - UDS:DangerousObject.Multi.Generic
2. c:\program files (x86)\firefox\bin\firefoxupdate.exe - not-a-virus:AdWare.Win32.ELEX.bjb
3. c:\program files (x86)\khagetheputain renew\local64spl.dll - Trojan.Win64.Eroyee.kl
4. c:\users\aser)\appdata\roaming\gplyra\gplyra.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.bti
5. c:\users\aser)\appdata\roaming\winsapsvc\winsap.dl l - not-a-virus:AdWare.Win32.ELEX.bhd

Самопроизвольная установка браузеров. [not-a-virus:RiskTool.Win64.BitCoinMiner.bti, not-a-virus:AdWare.Win32.ELEX.bhd ] (заявка № 211116)

Опции темы