Браузер. Вирус [Trojan-Downloader.Win32.Adload.qryr, UDS:DangerousObject.Multi.Generic ]

[laudaxx]

Доброго времени суток! В очередной раз компьютер заражен, после неосторожного обращения со скачанным exe-шным файлом с ФО. Рабочий браузер(Google Chrome) тормозит, открываются новые окна и лезут баннеры рекламные. Пожалуйста, помогите в лечении. Файлы необходимые прилагаю. С уважением, пострадавший.

[Info_bot]

Уважаемый(ая) laudaxx, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Sandor]

Здравствуйте!

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\sancho\AppData\Local\Temp\1F7AD694FE.sys', '');
 QuarantineFile('C:\Users\sancho\AppData\Local\Temp\2FF0C749.sys', '');
 QuarantineFile('C:\Users\sancho\AppData\Local\yc\Application\yc.exe', '');
 QuarantineFile('C:\Users\sancho\AppData\Roaming\Microsoft\SearchIndexer.exe', '');
 QuarantineFile('C:\Windows\microsoft\svchost.exe', '');
 QuarantineFile('C:\Windows\microsoft\svchost.exe.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\system32\winhost.exe', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 DeleteFile('C:\Users\sancho\AppData\Local\yc\Application\yc.exe', '32');
 DeleteFile('C:\Users\sancho\AppData\Roaming\Microsoft\SearchIndexer.exe', '32');
 DeleteFile('C:\Windows\microsoft\svchost.exe', '32');
 DeleteFile('C:\Windows\microsoft\svchost.exe.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\system32\winhost.exe', '32');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eksbrvdwce', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Search Indexer', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wfhroitylx', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ycAutoLaunch_A6AACB2E101C1F98CA9BA78B7A21BB0E', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.




Сделайте повторные логи по правилам. (CollectionLog)

[laudaxx]

На этом всё?

- - - - -Добавлено - - - - -

Реклама продолжает активно вылезать на ютубе, в контакте....везде короче в виде видеоконтента

[Sandor]

Сделайте повторные логи по правилам. (CollectionLog)

Ждем.

В каком браузере реклама? Проверьте в Internet Explorer и сообщите.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 22
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\sancho\appdata\local\yc\application\yc.ex e - Trojan-Downloader.Win32.Adload.qryr
  2. c:\windows\microsoft\svchost.exe - Trojan.Win32.SelfDel.gdeu
  3. c:\windows\system32\winhost.exe - UDS:DangerousObject.Multi.Generic