Прицепился вирус рекламный

8 марта, 2016

В амиго на каждой странице выскакивает реклама тем самым закрывая страницу если не выскакивает то при нажатии ЛКМ выскакивает и открывается новая страница с рекламой(файл с AutoLogger прилогаеться)помогите написать скрипт с тем что удалить надо)

CollectionLog-2016.03.09-08.55.zip

8 марта, 2016

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\searchprotectservice.exe','');
 QuarantineFile('C:\Windows\syswow64\searchprotectservice.exe','');
 QuarantineFile('C:\Users\70A4~1\AppData\Local\Temp\R.vbs','');
 QuarantineFile('C:\Users\ыдшл\AppData\Local\SystemDir\nethost.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Roaming\WindowsUpdater\Updater.exe','');
 QuarantineFile('C:\Program Files (x86)\DriverFinder\DriverFinder.exe','');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Roaming\newSI_1017\s_inst.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Roaming\newSI_1007\s_inst.exe','');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 QuarantineFile('C:\ProgramData\Airtostrong\Trustlax.dll','');
 QuarantineFile('C:\Users\ыдшл\AppData\Local\SearchModule\dblaunch.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Local\profitsaver\config.json','');
 QuarantineFile('C:\Users\ыдшл\AppData\Local\profitsaver\rft_sb.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Roaming\MyDesktop\linkme0120.exe','');
 SetServiceStart('netfilter2', 4);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('TS888x64', 4);
 SetServiceStart('UCGuard', 4);
 DeleteService('sdfhgdf');
 DeleteService('TSSKX64');
 DeleteService('UCGuard');
 DeleteService('TS888x64');
 DeleteService('TFsFlt');
 DeleteService('TAOKernelDriver');
 DeleteService('QMUdisk');
 DeleteService('netfilter2');
 DeleteService('proauctprouudateprod');
 DeleteService('UCBrowserSvc');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UCService.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Local\Lotcorporation.exe','');
 DeleteService('HSystem');
 QuarantineFile('C:\Program Files (x86)\Sersoft\vE9KIQ.exe','');
 QuarantineFile('C:\Program Files (x86)\GameXPService\gamexpsvc.exe','');
 DeleteService('Airtostrong');
 DeleteService('ApplicationHosting');
 DeleteService('caMyciloP');
 QuarantineFile('C:\ProgramData\caMyciloP\caMyciloP.exe','');
 QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
 QuarantineFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe','');
 QuarantineFile('C:\ProgramData\Airtostrong\Airtostrong.exe','');
 SetServiceStart('SPS', 4);
 SetServiceStart('TDataSvr', 4);
 DeleteService('TDataSvr');
 DeleteService('SPS');
 QuarantineFile('C:\Windows\system32\DRIVERS\ucguard.sys','');
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys','');
 TerminateProcessByName('c:\users\ыдшл\appdata\roaming\texteditor\daemon\texteditor.exe');
 QuarantineFile('c:\users\ыдшл\appdata\roaming\texteditor\daemon\texteditor.exe','');
 TerminateProcessByName('c:\program files (x86)\tdata\tdata.exe');
 QuarantineFile('c:\program files (x86)\tdata\tdata.exe','');
 TerminateProcessByName('c:\users\ыдшл\appdata\roaming\daemon2.exe');
 QuarantineFile('c:\users\ыдшл\appdata\roaming\daemon2.exe','');
 TerminateProcessByName('c:\windows\syswow64\searchprotectservice.exe');
 QuarantineFile('c:\windows\syswow64\searchprotectservice.exe','');
 TerminateProcessByName('c:\users\ыдшл\appdata\local\amigo\application\45.0.2454.112\amigo_cr.exe');
 TerminateProcessByName('c:\users\ыдшл\appdata\local\amigo\application\amigo.exe');
 DeleteFile('c:\users\ыдшл\appdata\local\amigo\application\amigo.exe','32');
 DeleteFile('c:\users\ыдшл\appdata\local\amigo\application\45.0.2454.112\amigo_cr.exe','32');
 DeleteFile('c:\windows\syswow64\searchprotectservice.exe','32');
 DeleteFile('c:\users\ыдшл\appdata\roaming\daemon2.exe','32');
 DeleteFile('c:\program files (x86)\tdata\tdata.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\oDayProtect.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\plugins\qmiemalrtpplugin\qmiemalrtpplugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMRtpCheck.dll','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.1.16923.222\qmsysrepprov.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QQPCFIXATDLL.DLL','32');
 DeleteFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\Amigo\Application\45.0.2454.112\chrome_child.dll','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\Amigo\Application\45.0.2454.112\chrome_elf.dll','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\Amigo\Application\45.0.2454.112\libegl.dll','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\Amigo\Application\45.0.2454.112\libglesv2.dll','32');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMUdisk64.sys','32');
 DeleteFile('C:\Windows\GJFix\SRepairDrv','32');
 DeleteFile('C:\Windows\System32\Drivers\TAOKernel64.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\TFsFltX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TS888x64.sys','32');
 DeleteFile('C:\ProgramData\Airtostrong\Airtostrong.exe','32');
 DeleteFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe','32');
 DeleteFile('C:\ProgramData\caMyciloP\caMyciloP.exe','32');
 DeleteFile('C:\Program Files (x86)\Sersoft\vE9KIQ.exe','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\Lotcorporation.exe','32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UCService.exe','32');
 DeleteFile('C:\Program Files (x86)\ppt\Uninst.exe','32');
 DeleteFile('C:\Program Files (x86)\ppt\ppt.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pcmgr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
 DeleteFile('C:\Users\ыдшл\AppData\Roaming\MyDesktop\linkme0120.exe','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\profitsaver\rft_sb.exe','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\SearchModule\dblaunch.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SearchModule');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','profitsaver');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TextEditor');
 DeleteFile('C:\ProgramData\Airtostrong\Trustlax.dll','32');
 DeleteFile('C:\Users\ыдшл\AppData\Roaming\newSI_1007\s_inst.exe','32');
 DeleteFile('C:\Users\ыдшл\AppData\Roaming\newSI_1017\s_inst.exe','32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe','32');
 DeleteFile('C:\Windows\Tasks\UCBrowserUpdater.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_1017.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_1007.job','32');
 DeleteFile('C:\Windows\system32\Tasks\DNSVINCENTOWN','64');
 DeleteFile('C:\Windows\system32\Tasks\IBUpd2','64');
 DeleteFile('C:\Users\ыдшл\AppData\Roaming\WindowsUpdater\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\WindowsUpdater','64');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
 DeleteFile('C:\Users\ыдшл\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1007','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1017','64');
 DeleteFile('C:\Users\70A4~1\AppData\Local\Temp\R.vbs','32');
 DeleteFile('C:\Windows\system32\Tasks\RestoreSearch','64');
 DeleteFile('C:\Windows\system32\Tasks\RSPro','64');
 DeleteFile('C:\Windows\system32\Tasks\UCBrowserUpdater','64');
 DeleteFile('C:\Windows\system32\Tasks\uodvye','64');
 DeleteFile('C:\Windows\system32\Tasks\{F6DB6806-E638-41ED-AC12-369840AC8187}','64');
 DeleteFile('C:\Windows\syswow64\searchprotectservice.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Прицепился вирус рекламный

Рекомендуемые сообщения

tanlink

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum