Непонятный вирус.

**mallas28** · 09.03.2017, 20:40

Здравствуйте,
Не могу нормально пользоваться Интернетом и компьютером. Всплывают рекламные баннеры и спам реклама(даже Youtube и Вконтакте). Испробовала все методы, антивирусы не помогают.
Как это можно исправить?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.03.2017, 20:42

Уважаемый(ая) mallas28, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 10.03.2017, 14:33

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\1\AppData\Roaming\vofer\app.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\VOF\updater.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\setupsk\app.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\setupsk\python\pythonw.exe', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\setupsk\ml.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\SearchAY\app.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\ForceUpdateVOF\updater.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\aswast\python\pythonw.exe', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\aswast\app.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\VOF\python\pythonw.exe', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\VOF\ml.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\vofer\ml.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\aswast\ml.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\ForceUpdateVOF\ml.py', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\SearchAY\ml.py', '');
 DeleteFile('C:\Users\1\AppData\Roaming\SearchAY\ml.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\ForceUpdateVOF\ml.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\aswast\ml.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\vofer\ml.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\VOF\ml.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\VOF\python\pythonw.exe', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\aswast\app.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\aswast\python\pythonw.exe', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\ForceUpdateVOF\updater.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\SearchAY\app.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\setupsk\ml.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\setupsk\python\pythonw.exe', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\setupsk\app.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\VOF\updater.py', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\vofer\app.py', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'snrlrewszq');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SearchAY');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ForceUpdateVOF');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'aswast');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vofer');
 ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchAY" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchAY2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VOF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VOF2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "vofer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "vofer2" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

3. Сделайте и пришлите в ответном сообщении лог AdwCleaner и новый лог AutoLogger'a.

4. Выполните скрипт в AVZ:

Код:

var PathAutoLogger, CMDLine : string;

begin
   clearlog;
   PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
   AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
    SaveLog(PathAutoLogger+'report3.log');
        if FolderIsEmpty(PathAutoLogger+'CrashDumps')
                then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
                else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
          if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
                else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
    AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.7z из папки с AutoLogger пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут.

**mallas28** · 14.03.2017, 17:50

Сделала!

**Сомнение** · 15.03.2017, 13:11

Знакомый Вам файл?

Код:

O22 - Ready: DrWeb - C:\soft\DrWebSplash.exe

Выполните следующий скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Users\1\Favorites\Links\Интернет.url','32');
end.

Удалите, если не пользуетесь.

Код:

Unity Web Player [2017/02/20 15:56:51]-->C:\Users\1\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser

**mallas28** · 19.03.2017, 17:41

Я все сделала, но реклама так и осталась. Может я чем то ошиблась?

**Сомнение** · 20.03.2017, 10:36

Вы не ответили на вопрос.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**mallas28** · 03.04.2017, 21:40

Сделала

**Сомнение** · 04.04.2017, 11:14

Вы ответите на заданный вопрос ?

**CyberHelper** · 04.04.2017, 11:24

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\users\1\appdata\roaming\aswast\app.py - not-a-virus:AdWare.Python.PBot.r

Непонятный вирус. (заявка № 210125)

Опции темы