Поймал сразу несколько вирусов.

**Pavel1411** · 12.07.2017, 03:23

Здравствуйте. Хотел скачать файл торрентом, но что бы скачать сам .torrent пришлось качать какой то архив(могу предоставить для анализа), который распакует(скачает) файл .torrent. Не знаю как попался на это, но думал обойдется.
Итак, после всей этой фигни полезла всякая дрянь: ярлыки на раб. столе, автозапуск браузера, какие то трояны.
Раньше сам все чистил в программе SpyHunter4 и сейчас использовал, но после удаления они снова появляются, такого раньше не было. Как будто есть файл, который их создает по новой. Так же в установленных программах появляется какой то youtube addblocker(не настоящий).
При запуске браузера с рекламой, он какой то не такой. На нем другие расширения и другие вкладки, т.е. маскировка под Chrome.
После удаления троянов встроенным антивирусом, они опять через 1 минуту появляются(на скрине видно, как 2 вируса чередуются)

http://rgho.st/7NwJ6ymJq - вирусный архив

P.S. при сканировании вашей программой, заметил, что он активатор за вред. ПО посчитал. KSMkey вроде называется.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.07.2017, 03:24

Уважаемый(ая) Pavel1411, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 13.07.2017, 07:38

Video and Audio Plugin UBar
Кнопка "Яндекс" на панели задач

удалите через Установку программ

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('D:\temp\AppData\Roaming\setupsk\ml.py','');
 QuarantineFile('C:\Users\Pavel\AppData\Local\ScriptWriter\ScriptWriter.exe','');
 QuarantineFile('D:\temp\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('D:\temp\AppData\Roaming\curl\curl_7_54.exe','');
 QuarantineFile('D:\temp\AppData\Roaming\curl\curl.exe','');
 QuarantineFile('D:\temp\mlxrxucQ3FOn.exe','');
 QuarantineFile('D:\temp\eOTWur9DFnzi.exe','');
 QuarantineFile('C:\Users\Pavel\AppData\Local\yc\Application\yc.exe','');
 DeleteService('EsgScanner');
 SetServiceStart('UbarPolicyProvider', 4);
 DeleteService('UbarPolicyProvider');
 DeleteService('SvcHost Service Host');
 SetServiceStart('icacl', 4);
 DeleteService('icacl');
 TerminateProcessByName('C:\Program Files\UBar\UbarService.exe');
 QuarantineFile('C:\Program Files\UBar\UbarService.exe','');
 TerminateProcessByName('C:\Program Files\UBar\ubar.exe');
 QuarantineFile('C:\Program Files\UBar\ubar.exe','');
 TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
 QuarantineFile('c:\programdata\setrup\setrup.exe','');
 TerminateProcessByName('C:\ProgramData\setrup\MicirsoftL64\micirsoftL64.exe');
 QuarantineFile('C:\ProgramData\setrup\MicirsoftL64\micirsoftL64.exe','');
 TerminateProcessByName('C:\Windows\System32\icacl.exe');
 QuarantineFile('C:\Windows\System32\icacl.exe','');
 DeleteFile('C:\Windows\System32\icacl.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
 DeleteFile('C:\Program Files\UBar\ubar.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\EsgScanner.sys','32');
 DeleteFile('C:\Users\Pavel\AppData\Local\yc\Application\yc.exe','32');
 DeleteFile('D:\temp\eOTWur9DFnzi.exe','32');
 DeleteFile('D:\temp\mlxrxucQ3FOn.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','acqbrjavmn');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','dmugzbzlak');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vwdhzqvxpg');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_6CB6DB5ACB821A8144AE6E08AA4C6F2F');
 DeleteFile('C:\Windows\system32\Tasks\curl','64');
 DeleteFile('D:\temp\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('D:\temp\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\curls','64');
 DeleteFile('D:\temp\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\Users\Pavel\AppData\Local\ScriptWriter\ScriptWriter.exe','32');
 DeleteFile('D:\temp\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('D:\temp\AppData\Roaming\setupsk\python\pythonw.exe','32');
 DeleteFile('D:\temp\AppData\Roaming\setupsk_upd\ml.py','32');
 DeleteFile('C:\Windows\system32\Tasks\MSI','64');
 DeleteFile('C:\Windows\system32\Tasks\ScriptWriter','64');
 DeleteFile('C:\Windows\system32\Tasks\setupsk','64');
 DeleteFile('C:\Windows\system32\Tasks\setupsk_upd','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Поймал сразу несколько вирусов. (заявка № 213786)

Опции темы