Нужно удалить рекламные вирусы

**The** · 02.04.2017, 01:50

Здравствуйте! Знакомые принесли ноутбук и попросили почистить от вирусов. При включении ноута экран был усыпан баннерами, вылазил браузер UC весь в иероглифах и рекламе, выскакивали окошки, что какая-то там программа python*** не отвечает и т.д. Удалил все подозротельные программы, автозагрузгу почистил, просканировал систему Cureit, всякими антирекламщиками и в простом режиме, и в безопасном. В итоге, с рабочего стола баннеры исчезли, UC браузер похоронен, и, казалось бы, дело сделано, но это только часть беды. Повторно просканировав систему, заметил, что снова появились файлы, которые были удалены (к примеру, vof***, forceupdatevof***), и в планировщике задач появились непонятные задачи, в том числе и vof'ы. Несколько раз сканировал и удалял - без толку. При этом в браузерах много рекламы и поисковые запросы перенаправляются через какие-то левые сайты.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.04.2017, 01:53

Уважаемый(ая) The, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**lex0819** · 06.04.2017, 22:09

Сами устанавливали?

Код:

C:\Program Files (x86)\RocketDock\RocketDock,1.exe

Вам знакома программа?

Код:

C:\Program Files (x86)\Common Files\Duoity\*

Пофиксите в HiJackThis.

Код:

O4 - User Startup: CDManager.lnk    ->    C:\Users\ЕВА\AppData\Roaming\CDManager\python\pythonw.exe "C:\Users\ЕВА\AppData\Roaming\CDManager\ml.py" --APPNAME="CDManager"
O4 - User Startup: ForceUpdateVOF.lnk    ->    C:\Users\ЕВА\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe "C:\Users\ЕВА\AppData\Roaming\ForceUpdateVOF\ml.py" --APPNAME="ForceUpdateVOF"
O22 - Task (Disabled): Standart Line Mgr - C:\Users\ЕВА\AppData\Local\Standart Line Mgr.exe S (file missing)
O22 - Task (Ready): Account Line Manager - C:\Program Files (x86)\ScreenUp\future_helper.exe (file missing)
O22 - Task (Ready): Render Custom Mgr - C:\Users\ЕВА\AppData\Local\FilterStart\FilterStart.exe (file missing)
O22 - Task (Ready): Uninstaller_SkipUac_ЕВА - C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe /UninstallExplorer (file missing)

Выполните скрипт AVZ.

Код:

begin
 QuarantineFile('C:\Users\ЕВА\appdata\roaming\mozilla\googleupd.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Duoity\uninstall.dat','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Duoity\uninstall.exe','');
 QuarantineFile('C:\Users\ЕВА\AppData\Roaming\VOF\updater.py','');
 QuarantineFile('C:\Users\ЕВА\AppData\Local\Standart Line Mgr.exe','');
 QuarantineFile('C:\Users\ЕВА\AppData\Roaming\SearchAY\ml.py','');
 QuarantineFile('C:\Users\ЕВА\AppData\Local\FilterStart\FilterStart.exe','');
 QuarantineFile('C:\ProgramData\Zaamla\Damhotit.reg','');
 QuarantineFile('C:\ProgramData\Zaamla\Med-Light.reg','');
 QuarantineFile('C:\ProgramData\Zaamla\Physkeydex.reg','');
 QuarantineFile('C:\ProgramData\Zaamla\Kan-Bam.reg','');
 QuarantineFile('C:\ProgramData\Zaamla\Danlam.reg','');
 QuarantineFile('C:\ProgramData\Zaamla\Cancom.reg','');
 QuarantineFile('C:\Program Files (x86)\Ferory\nehied.exe','');
 QuarantineFile('C:\Users\ЕВА\AppData\Roaming\CDManager\updater.py','');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
 QuarantineFile('C:\Users\ЕВА\AppData\Roaming\ForceUpdateVOF\ml.py','');
 QuarantineFile('C:\Users\ЕВА\AppData\Roaming\CDManager\ml.py','');
 QuarantineFile('C:\Windows\system32\drivers\6D1769C9C.sys','');
 DeleteFileMask('C:\Users\ЕВА\AppData\Roaming\CDManager','*',true);
 DeleteDirectory('C:\Users\ЕВА\AppData\Roaming\CDManager');
 DeleteFileMask('C:\Users\ЕВА\AppData\Roaming\ForceUpdateVOF','*',true);
 DeleteDirectory('C:\Users\ЕВА\AppData\Roaming\ForceUpdateVOF');
 ExecuteFile('schtasks.exe', '/delete /TN "Account Line Manager" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "CDManager2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Plocersp Log" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Ferory\nehied.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Flexit" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\Zaamla','*',true);
 DeleteDirectory('C:\ProgramData\Zaamla');
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Inch-Job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "psv_K-Plus" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Kantex" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Yeartrax" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Zaamair" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Render Custom Mgr" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\ЕВА\AppData\Local\FilterStart','*',true);
 DeleteDirectory('C:\Users\ЕВА\AppData\Local\FilterStart');
 ExecuteFile('schtasks.exe', '/delete /TN "SearchAY" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\ЕВА\AppData\Roaming\SearchAY','*',true);
 DeleteDirectory('C:\Users\ЕВА\AppData\Roaming\SearchAY');
 ExecuteFile('schtasks.exe', '/delete /TN "Standart Line Mgr" /F', 0, 15000, true);
 DeleteFile('C:\Users\ЕВА\AppData\Local\Standart Line Mgr.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_ЕВА" /F', 0, 15000, true);
 DeleteFileMask('C:\Program Files (x86)\IObit','*',true);
 DeleteDirectory('C:\Program Files (x86)\IObit');
 ExecuteFile('schtasks.exe', '/delete /TN "VOF2" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\ЕВА\AppData\Roaming\VOF','*',true);
 DeleteDirectory('C:\Users\ЕВА\AppData\Roaming\VOF');
 ExecuteFile('schtasks.exe', '/delete /TN "BB9F21B6-E577-40DE-865A-2A12706624B1" /F', 0, 15000, true);
 DeleteFile('C:\Users\ЕВА\appdata\roaming\mozilla\googleupd.exe','32');
 DeleteFile('C:\Users\ЕВА\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CDManager.lnk','32');
 DeleteFile('C:\Users\ЕВА\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ForceUpdateVOF.lnk','32');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

Пришлите архив карантина из папки AVZ.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

Сделайте лог утилитой AdwCleaner и пришлите его.

Сделайте новые логи программой Autologger и пришлите их.

Нужно удалить рекламные вирусы (заявка № 210795)

Опции темы