Скачал и запустил файл из ИНЕТА! [Trojan.Win64.Wdfload.adc, Trojan.Win64.Wdfload.agm ]

**ZFV** · 29.03.2017, 15:05

Доброго времени суток. На компе винда-10. Стороннего антивируса нет. Скачал из инета выполняемый файл и запустил (согласен-я лох). Результат - куча рекламных плагинов и линков (которые постарался удалить). Но, происходит произвольный запуск IExplorer с рекламой. Помогите вычистить комп. И посоветуйте какой лучше антивирус поставить?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.03.2017, 15:09

Уважаемый(ая) ZFV, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**ZFV** · 29.03.2017, 15:21

Архив добавил

**Vvvyg** · 30.03.2017, 22:01

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Windows\Temp\gFAA1.tmp.exe');
 QuarantineFileF('c:\users\fedor\appdata\local\filesystemoptions', '*.exe', true, '', 0 , 0);
 QuarantineFileF('c:\users\fedor\appdata\local\testmenu', '*.exe', true, '', 0 , 0);
 QuarantineFileF('c:\users\fedor\appdata\local\immediatehelp', '*.exe', true, '', 0 , 0);
 QuarantineFileF('c:\users\fedor\appdata\local\lastnews', '*.exe', true, '', 0 , 0);
 QuarantineFileF('c:\users\fedor\appdata\local\validatelife', '*.exe', true, '', 0 , 0);
 QuarantineFile('C:\Windows\Temp\gFAA1.tmp.exe', '');
 QuarantineFile('C:\Windows\TEMP\gFA9F.tmp', '');
 QuarantineFile('C:\Users\Fedor\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\Fedor\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\Fedor\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\Fedor\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\Fedor\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\Fedor\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFile('C:\Users\Fedor\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\Fedor\AppData\Local\rightchose\regCheck.vbs', '');
 QuarantineFile('C:\ProgramData\228z719z9P647\228z719z9P647.dll', '');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '');
 QuarantineFile('C:\Users\Fedor\AppData\Local\FilterStart\FilterStart.exe', '');
 DeleteFile('C:\Windows\Temp\gFAA1.tmp.exe', '32');
 DeleteFile('C:\Windows\TEMP\gFA9F.tmp', '32');
 DeleteFile('C:\Users\Fedor\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\Fedor\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\Fedor\AppData\Local\TestMenu\regCheck.vbs', '32');
 DeleteFile('C:\Users\Fedor\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\Fedor\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\Fedor\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\Fedor\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\Fedor\AppData\Local\rightchose\regCheck.vbs', '32');
 DeleteFile('C:\ProgramData\228z719z9P647\228z719z9P647.dll', '32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '32');
 DeleteFile('C:\Users\Fedor\AppData\Local\FilterStart\FilterStart.exe', '32');
 DeleteFileMask('c:\users\fedor\appdata\local\filesystemoptions', '*', true);
 DeleteFileMask('c:\users\fedor\appdata\local\testmenu', '*', true);
 DeleteFileMask('c:\users\fedor\appdata\local\immediatehelp', '*', true);
 DeleteFileMask('c:\users\fedor\appdata\local\lastnews', '*', true);
 DeleteFileMask('c:\users\fedor\appdata\local\validatelife', '*', true);
 DeleteFileMask('c:\users\fedor\appdata\local\dateoption', '*', true);
 DeleteFileMask('c:\users\fedor\appdata\local\rightchose', '*', true);
 DeleteFileMask('c:\programdata\228z719z9p647', '*', false);
 DeleteFileMask('c:\program files (x86)\screenup', '*', true);
 DeleteFileMask('c:\users\fedor\appdata\local\filterstart', '*', true);
 DeleteDirectory('c:\users\fedor\appdata\local\filesystemoptions');
 DeleteDirectory('c:\users\fedor\appdata\local\testmenu');
 DeleteDirectory('c:\users\fedor\appdata\local\immediatehelp');
 DeleteDirectory('c:\users\fedor\appdata\local\lastnews');
 DeleteDirectory('c:\users\fedor\appdata\local\validatelife');
 DeleteDirectory('c:\users\fedor\appdata\local\dateoption');
 DeleteDirectory('c:\users\fedor\appdata\local\rightchose');
 DeleteDirectory('c:\programdata\228z719z9p647');
 DeleteDirectory('c:\program files (x86)\screenup');
 DeleteDirectory('c:\users\fedor\appdata\local\filterstart');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "228z719z9P647" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "228z719z9P647-dll" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "urlopener" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Request Account Helper" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Manifest Base Mgr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Solution Language Mgr" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FilterOptions');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ImmediateHelp');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ValidateLife');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DateOption');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'ELSID001');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.
Сделайте лог Malwarebytes AdwCleaner.

**ZFV** · 30.03.2017, 22:40

Выполнил скрипт, сделал новый AutoLogger. Оба архива загрузил на форум.
Также сделал лог Malwarebytes AdwCleaner , но как его загрузить?
Еще вопрос повторю - какой лучше антивирус посоветуете поставить?

Спасибо.

- - - - -Добавлено - - - - -

лог Malwarebytes AdwCleaner

**Vvvyg** · 31.03.2017, 07:05

Внимание

Не надо забивать карантин логами

Логи все запрошенные прикрепляйте у сообщению.

Запустите HijackThis, расположенный в папке Autologger и пофиксите в HijackThis (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O22 - Task (Running): 228z719z9P647 - C:\Windows\system32\rundll32.exe "C:\ProgramData\228z719z9P647\228z719z9P647.dll",zPyCJCouYtAw

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

По поводу антивируса сразу скажу, что ни один не защитит полностью, если "скачивать и запускать файлы из инета". Советовать не буду, самому хватает встроенного защитника, а сюда приходят лечиться с самыми разными защитными продуктами.

**CyberHelper** · 31.03.2017, 07:15

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 12
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\228z719z9p647\228z719z9p647.dll - Trojan.Win64.Wdfload.adc
2. c:\windows\temp\gfaa1.tmp.exe - Trojan.Win64.Wdfload.agm

Скачал и запустил файл из ИНЕТА! [Trojan.Win64.Wdfload.adc, Trojan.Win64.Wdfload.agm ] (заявка № 210694)

Опции темы