Помогите!!! [Trojan.Win64.Eroyee.a, not-a-virus:AdWare.Win32.Agent.xxdejx ]

**Dvoeshnik** · 30.01.2017, 19:30

Здравствуйте!!!
Периодически запускается Interne Explorer, хотя по умолчанию стоит другой браузер.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.01.2017, 19:31

Уважаемый(ая) Dvoeshnik, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 31.01.2017, 15:54

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files (x86)\Common Files\SpanDox\uninstall.dat','');
 QuarantineFile('C:\Program Files (x86)\Common Files\SpanDox\uninstall.exe','');
 QuarantineFile('C:\Program Files (x86)\Progesplerherle_\neksp.exe','');
 QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe','');
 QuarantineFile('C:\ProgramData\WindowsMsg\Chrome.exe','');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe','');
 QuarantineFile('C:\ProgramData\vCore\VCore.exe','');
 QuarantineFile('C:\PROGRA~1\6A8C~1\X86\Update.exe','');
 QuarantineFile('C:\Program Files (x86)\Anvusp\prerjght.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\phoenix.engine.v01.212711\of.6.exe','');
 QuarantineFile('C:\Program Files (x86)\Zerhesy Host\local64spl.dll','');
 QuarantineFile('C:\Users\User\AppData\Roaming\WinSnare\WinSnare.dll','');
 QuarantineFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','');
 QuarantineFile('C:\Program Files (x86)\Progesplerherle\PlmCache.dll','');
 QuarantineFile('C:\Program Files (x86)\Gubed\GubedZL.dll','');
 QuarantineFile('C:\Program Files (x86)\WinArcher\Archer.dll','');
 QuarantineFile('C:\ProgramData\Zaamla\Eco-Light.dll','');
 QuarantineFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\kns4134.tmp','');
 QuarantineFileF('C:\Program Files (x86)\Progesplerherle_', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\WindowsMsg', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\wintools', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\vCore', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Zerhesy Host', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\User\AppData\Roaming\WinSnare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\WinSAPSvc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Gubed', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\Zaamla', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\programdata\winsapsvc\winsap.dll','');
 QuarantineFile('c:\program files (x86)\winarcher\archer.dll','');
 QuarantineFile('c:\program files (x86)\progesplerherle\plmcache.dll','');
 QuarantineFile('c:\program files (x86)\gubed\gubedzl.dll','');
 QuarantineFile('C:\Program Files (x86)\amuleC2\ed2k.exe','');
 QuarantineFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\knsF601.tmp','');
 QuarantineFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\knsE37B.tmp','');
 QuarantineFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\knsB04D.tmp','');
 QuarantineFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\knsC59F.tmp','');
 QuarantineFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\kns3AED.tmp','');
 QuarantineFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\knsEF7E.tmp','');
 QuarantineFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\pro9667.tmp','');
 QuarantineFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221485105441\knsC180.tmp','');
 StopService('sedunusi');
 StopService('wudefyzy');
 StopService('qikihofe');
 StopService('qegyhyji');
 StopService('nozepuzi');
 StopService('nogiqike');
 StopService('lypiqice');
 StopService('gemeloki');
 StopService('ed2kidle');
 StopService('cewigybu');
 DeleteFile('c:\program files (x86)\gubed\gubedzl.dll','32');
 DeleteFile('c:\program files (x86)\progesplerherle\plmcache.dll','32');
 DeleteFile('c:\program files (x86)\winarcher\archer.dll','32');
 DeleteFile('c:\programdata\winsapsvc\winsap.dll','32');
 DeleteFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221485105441\knsC180.tmp','32');
 DeleteFile('C:\Program Files (x86)\amuleC2\ed2k.exe','32');
 DeleteFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\pro9667.tmp','32');
 DeleteFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\knsEF7E.tmp','32');
 DeleteFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\kns3AED.tmp','32');
 DeleteFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\knsC59F.tmp','32');
 DeleteFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\knsB04D.tmp','32');
 DeleteFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\knsE37B.tmp','32');
 DeleteFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\knsF601.tmp','32');
 DeleteFile('C:\Program Files (x86)\da088b5b-5e4a-47e6-8236-b4dd5dcfa9221484683330\kns4134.tmp','32');
 DeleteFile('C:\ProgramData\Zaamla\Eco-Light.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Archer\Parameters','ServiceDll');
 DeleteFile('C:\Program Files (x86)\WinArcher\Archer.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\GubedZL\Parameters','ServiceDll');
 DeleteFile('C:\Program Files (x86)\Gubed\GubedZL.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Phughtfejk\Parameters','ServiceDll');
 DeleteFile('C:\Program Files (x86)\Progesplerherle\PlmCache.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSnare\Parameters','ServiceDll');
 DeleteFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','32');
 DeleteFile('C:\Users\User\AppData\Roaming\WinSnare\WinSnare.dll','32');
 DeleteFile('C:\Program Files (x86)\Zerhesy Host\local64spl.dll','32');
 DeleteFile('C:\Users\User\AppData\Roaming\phoenix.engine.v01.212711\of.6.exe','32');
 DeleteFile('C:\Program Files (x86)\Anvusp\prerjght.exe','32');
 DeleteFile('C:\PROGRA~1\6A8C~1\X86\Update.exe','32');
 DeleteFile('C:\ProgramData\vCore\VCore.exe','32');
 DeleteFile('C:\ProgramData\WindowsMsg\Chrome.exe','32');
 DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','32');
 DeleteFile('C:\Program Files (x86)\Progesplerherle_\neksp.exe','32');
 DeleteFileMask('C:\ProgramData\WinSAPSvc', '*', true);
 DeleteDirectory('C:\ProgramData\WinSAPSvc');
 DeleteFileMask('C:\Program Files (x86)\Anvusp', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Anvusp');
 DeleteFileMask('C:\ProgramData\vCore', '*', true);
 DeleteDirectory('C:\ProgramData\vCore');
 DeleteFileMask('C:\ProgramData\wintools', '*', true);
 DeleteDirectory('C:\ProgramData\wintools');
 DeleteFileMask('C:\Program Files (x86)\Progesplerherle_', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Progesplerherle_');
 DeleteFileMask('C:\ProgramData\Zaamla', '*', true);
 DeleteDirectory('C:\ProgramData\Zaamla');
 DeleteFileMask('c:\program files (x86)\gubed', '*', true);
 DeleteDirectory('c:\program files (x86)\gubed');
 DeleteFileMask('c:\program files (x86)\winarcher', '*', true);
 DeleteDirectory('c:\program files (x86)\winarcher');
 DeleteService('wudefyzy');
 DeleteService('sedunusi');
 DeleteService('qikihofe');
 DeleteService('qegyhyji');
 DeleteService('nozepuzi');
 DeleteService('nogiqike');
 DeleteService('lypiqice');
 DeleteService('gemeloki');
 DeleteService('ed2kidle');
 DeleteService('cewigybu');
 ExecuteFile('schtasks.exe', '/delete /TN "Gipareedese Reports" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WinTOOL" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Zerhesy Host" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{780F7947-7E09-7A0A-7811-0C7F7A781108}" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

3. Сделайте и пришлите в ответном сообщении лог AdwCleaner и новый лог AutoLogger'а.

**Dvoeshnik** · 05.02.2017, 23:06

Здравствуйте!!! Готово

**Сомнение** · 06.02.2017, 14:18

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\User\AppData\Roaming\phoenix.engine.v01.212711\of.6.exe','');
 DeleteFile('C:\Program Files (x86)\Zerhesy Host\local64spl.dll','32');
 DeleteFile('C:\Users\User\AppData\Roaming\phoenix.engine.v01.212711\of.6.exe','32');
 DeleteFileMask('C:\Program Files (x86)\Zerhesy Host', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Zerhesy Host');
 ExecuteFile('schtasks.exe', '/delete /TN "phoenix.engine.v01.212711.job" /F', 0, 15000, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер будет перезагружен. После перезагрузки выполните скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Удалите все найденное AdwCleaner'ом.
Потребуется перезагрузка компьютера. Лог сформированный после удаления предоставьте в ответном сообщении.

**Dvoeshnik** · 07.02.2017, 20:35

Здравствуйте!!!
Попытался загрузить "Результат загрузки", пишет "Ошибка загрузки. Данный файл уже был загружен"
Поэтому пришлю в ответе
Спасибо.

**Сомнение** · 07.02.2017, 20:58

Вы прислали не тот лог AdwCleaner. Лог должен называться AdwCleaner[С1].txt.

**Dvoeshnik** · 12.02.2017, 12:46

Здравствуйте!!!

**Сомнение** · 13.02.2017, 10:05

Что с проблемой сейчас ?

**Dvoeshnik** · 15.02.2017, 20:12

Скажите, а больше помощи не будет??? Или надо подождать???

**thyrex** · 15.02.2017, 23:08

Ну так на вопрос в сообщении над Вашим Вы не ответили

**Dvoeshnik** · 16.02.2017, 21:23

Здравствуйте!!! А вчера этого сообщения не было. Вроде все в порядке. Спасибо

**CyberHelper** · 16.02.2017, 21:33

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 25
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\progesplerherle_\crashreport.dll - UDS:DangerousObject.Multi.Generic
2. c:\program files (x86)\zerhesy host\local64spl.dll - Trojan.Win64.Eroyee.a
3. c:\programdata\winsapsvc\winsap.dll - not-a-virus:AdWare.Win32.Agent.xxdejx
4. c:\programdata\wintools\wintool.exe - UDS:DangerousObject.Multi.Generic
5. c:\programdata\wintools\wintoolupri.exe - Trojan-PSW.Win32.Agent.lsug

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Помогите!!! [Trojan.Win64.Eroyee.a, not-a-virus:AdWare.Win32.Agent.xxdejx ] (заявка № 208790)

Опции темы