Неизвестные программы при каждом запуске [Trojan.Win32.Netfilter.e ]

**Cinbri** · 20.03.2017, 11:37

При каждом запуске компьютера антивирус постоянно находит и удаляет программы как Vofer2 и т.д.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.03.2017, 11:40

Уважаемый(ая) Cinbri, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 21.03.2017, 11:35

Добрый день!

Удалите - SafeWeb [2017/01/06 11:46:24]-->C:\Users\User\AppData\Roaming\SafeWeb\uninstall.e xe

1. Выполните следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\User\AppData\Roaming\Vofer2\updater.py', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\VOF\updater.py', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\VOF\python\pythonw.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\VOF\ml.py', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\SafeWeb\updater.py', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Vofer2\IQmanager\app.py', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\ForceUpdateVOF\updater.py', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\ForceUpdateVOF\ml.py', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Vofer2\ml.py', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Vofer2\IQmanager\ml.py', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\SafeWeb\ml.py', '');
 DeleteFile('C:\Users\User\AppData\Roaming\SafeWeb\ml.py', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Vofer2\IQmanager\ml.py', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Vofer2\ml.py', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\ForceUpdateVOF\ml.py', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\ForceUpdateVOF\updater.py', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Vofer2\IQmanager\app.py', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\SafeWeb\updater.py', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\VOF\ml.py', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\VOF\python\pythonw.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\VOF\updater.py', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\Vofer2\updater.py', '32');
 DeleteFileMask('C:\Users\User\AppData\Roaming\VOF', '*', true);
 DeleteFileMask('C:\Users\User\AppData\Roaming\Vofer2', '*', true);
 DeleteFileMask('C:\Users\User\AppData\Roaming\SafeWeb', '*', true);
 DeleteFileMask('C:\Users\User\AppData\Roaming\ForceUpdateVOF', '*', true);
 DeleteDirectory('C:\Users\User\AppData\Roaming\VOF');
 DeleteDirectory('C:\Users\User\AppData\Roaming\Vofer2');
 DeleteDirectory('C:\Users\User\AppData\Roaming\SafeWeb');
 DeleteDirectory('C:\Users\User\AppData\Roaming\ForceUpdateVOF');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SafeWeb');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'IQmanager');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Vofer2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ForceUpdateVOF', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IQmanager', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Vofer2', 'command');
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "IQmanager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "IQmanager2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VOF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VOF2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "vofer2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Vofer22" /F', 0, 15000, true);
 ClearHostsFile;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Сделайте новый лог AutoLogger'a.

**Cinbri** · 21.03.2017, 16:43

Сделано

**Сомнение** · 22.03.2017, 10:16

Проблема все еще актуальна ?

**Cinbri** · 22.03.2017, 11:57

При последних запусках проблемы не наблюдалось. Спасибо большое за помощь.

**CyberHelper** · 22.03.2017, 12:07

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\users\user\appdata\roaming\vofer2\ml.py - Trojan.Win32.Netfilter.e

Неизвестные программы при каждом запуске [Trojan.Win32.Netfilter.e ] (заявка № 210395)

Опции темы