Появился автозапуск игровых и порносайтов, непонятные инсталляции в процессе работы [not-a-virus:AdWare.Win32.Eorezo.brqa, not-a-virus:RiskTool.Win32.Agent.acba ]

[DrWlad]

Появился автозапуск игровых и порносайтов, непонятные инсталляции в процессе работы, CureIt выявил 16 опасных объектов, которые удалил, но после перезапуска ряд из них снова восстановился.
Файла virusinfo_syscure.zip нет: тестировал 3 раза.

[Info_bot]

Уважаемый(ая) DrWlad, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Александр\appdata\local\smartweb\__u.exe','');
 QuarantineFile('C:\ProgramData\iZeSkSfV\soGEpjie5.bat','');
 QuarantineFile('C:\ProgramData\ietQIczSFydXpQ\SSlQNIJpfxutyK0.bat','');
 QuarantineFile('C:\Windows\system32\drivers\contentdefenderdrv.sys','');
 SetServiceStart('contentdefenderdrv', 4);
 DeleteService('contentdefenderdrv');
 SetServiceStart('ContentDefender', 4);
 SetServiceStart('jihulony', 4);
 SetServiceStart('SSFK', 4);
 SetServiceStart('WdsManPro', 4);
 DeleteService('WdsManPro');
 DeleteService('SSFK');
 DeleteService('ContentDefender');
 DeleteService('jihulony');
 QuarantineFile('C:\Users\Александр\AppData\Local\Diner Download\zBin\DinerDownload.dll','');
 QuarantineFile('C:\Users\Александр\AppData\Local\Diner Download\zBin\djeask.dll','');
 QuarantineFile('C:\Users\Александр\AppData\Local\SmartWeb\swhk.dll','');
 TerminateProcessByName('c:\programdata\gwminiprog\wminipro.exe');
 QuarantineFile('c:\programdata\gwminiprog\wminipro.exe','');
 TerminateProcessByName('c:\users\Александр\appdata\local\gmsd_ru_005010157\upgmsd_ru_005010157.exe');
 QuarantineFile('c:\users\Александр\appdata\local\gmsd_ru_005010157\upgmsd_ru_005010157.exe','');
 TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
 QuarantineFile('c:\program files (x86)\sfk\ssfk.exe','');
 TerminateProcessByName('c:\program files (x86)\spacesondpro_v53.9733\spacesondpro_service.exe');
 QuarantineFile('c:\program files (x86)\spacesondpro_v53.9733\spacesondpro_service.exe','');
 TerminateProcessByName('c:\users\Александр\appdata\local\smartweb\smartwebhelper.exe');
 QuarantineFile('c:\users\Александр\appdata\local\smartweb\smartwebhelper.exe','');
 TerminateProcessByName('c:\users\Александр\appdata\local\smartweb\smartwebapp.exe');
 QuarantineFile('c:\users\Александр\appdata\local\smartweb\smartwebapp.exe','');
 TerminateProcessByName('c:\program files (x86)\rec_en_77\rec_en_77.exe');
 QuarantineFile('c:\program files (x86)\rec_en_77\rec_en_77.exe','');
 TerminateProcessByName('c:\users\8523~1\appdata\local\temp\nsc11d3.tmp');
 TerminateProcessByName('c:\users\Александр\appdata\local\a198e607-1448494437-3137-05d7-7824af219e16\qnsu4b32.tmp');
 QuarantineFile('c:\users\Александр\appdata\local\a198e607-1448494437-3137-05d7-7824af219e16\qnsu4b32.tmp','');
 QuarantineFile('c:\users\8523~1\appdata\local\temp\nsc11d3.tmp','');
 QuarantineFile('c:\program files (x86)\feed notifier\notifier.exe','');
 TerminateProcessByName('c:\program files (x86)\a198e607-1448350194-3137-05d7-7824af219e16\knsl40b5.tmp');
 QuarantineFile('c:\program files (x86)\a198e607-1448350194-3137-05d7-7824af219e16\knsl40b5.tmp','');
 TerminateProcessByName('c:\program files (x86)\spacesondpro_v53.9733\ioproduct.exe');
 QuarantineFile('c:\program files (x86)\spacesondpro_v53.9733\ioproduct.exe','');
 TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010157\gmsd_ru_005010157.exe');
 QuarantineFile('c:\program files (x86)\gmsd_ru_005010157\gmsd_ru_005010157.exe','');
 TerminateProcessByName('C:\Program Files\Content Defender\ContentDefender.exe');
 QuarantineFile('C:\Program Files\Content Defender\ContentDefender.exe','');
 DeleteFile('C:\Program Files\Content Defender\ContentDefender.exe','32');
 DeleteFile('c:\program files (x86)\gmsd_ru_005010157\gmsd_ru_005010157.exe','32');
 DeleteFile('c:\program files (x86)\spacesondpro_v53.9733\ioproduct.exe','32');
 DeleteFile('c:\program files (x86)\a198e607-1448350194-3137-05d7-7824af219e16\knsl40b5.tmp','32');
 DeleteFile('c:\users\8523~1\appdata\local\temp\nsc11d3.tmp','32');
 DeleteFile('c:\users\Александр\appdata\local\a198e607-1448494437-3137-05d7-7824af219e16\qnsu4b32.tmp','32');
 DeleteFile('c:\program files (x86)\rec_en_77\rec_en_77.exe','32');
 DeleteFile('c:\users\Александр\appdata\local\smartweb\smartwebapp.exe','32');
 DeleteFile('c:\users\Александр\appdata\local\smartweb\smartwebhelper.exe','32');
 DeleteFile('c:\program files (x86)\spacesondpro_v53.9733\spacesondpro_service.exe','32');
 DeleteFile('c:\program files (x86)\sfk\ssfk.exe','32');
 DeleteFile('c:\users\Александр\appdata\local\gmsd_ru_005010157\upgmsd_ru_005010157.exe','32');
 DeleteFile('c:\programdata\gwminiprog\wminipro.exe','32');
 DeleteFile('C:\Users\Александр\AppData\Local\SmartWeb\swhk.dll','32');
 DeleteFile('C:\Users\Александр\AppData\Local\Diner Download\zBin\djeask.dll','32');
 DeleteFile('C:\Users\Александр\AppData\Local\Diner Download\zBin\DinerDownload.dll','32');
 DeleteFile('C:\Windows\system32\drivers\contentdefenderdrv.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010157');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_en_77');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010157.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IOPROTECT');
 DeleteFile('C:\ProgramData\ietQIczSFydXpQ\SSlQNIJpfxutyK0.bat','32');
 DeleteFile('C:\ProgramData\iZeSkSfV\soGEpjie5.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\Diner Download','64');
 DeleteFile('C:\Users\Александр\appdata\local\smartweb\__u.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте лог CheckBrowsers' Lnk

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[DrWlad]

Карантин выслал.
Логи. Опять нет второго архива в AVZ

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке



3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

+ Сделайте лог полного сканирования МВАМ

[DrWlad]

Файлы во вложении

[thyrex]

Удалите в МВАМ все найденное

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\gmsd_ru_005010157\gmsd_ru_005010157.exe - not-a-virus:AdWare.Win32.Eorezo.brqa
  2. c:\program files (x86)\sfk\ssfk.exe - not-a-virus:AdWare.Win32.ELEX.gm
  3. c:\program files (x86)\spacesondpro_v53.9733\ioproduct.exe - not-a-virus:RiskTool.Win32.Agent.acba