Прицепился вирус рекламный

8 марта, 2016

В амиго на каждой странице выскакивает реклама тем самым закрывая страницу если не выскакивает то при нажатии ЛКМ выскакивает и открывается новая страница с рекламой(файл с AutoLogger прилогаеться)помогите написать скрипт с тем что удалить надо)

CollectionLog-2016.03.09-08.55.zip

8 марта, 2016

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\searchprotectservice.exe','');
 QuarantineFile('C:\Windows\syswow64\searchprotectservice.exe','');
 QuarantineFile('C:\Users\70A4~1\AppData\Local\Temp\R.vbs','');
 QuarantineFile('C:\Users\ыдшл\AppData\Local\SystemDir\nethost.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Roaming\WindowsUpdater\Updater.exe','');
 QuarantineFile('C:\Program Files (x86)\DriverFinder\DriverFinder.exe','');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Roaming\newSI_1017\s_inst.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Roaming\newSI_1007\s_inst.exe','');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 QuarantineFile('C:\ProgramData\Airtostrong\Trustlax.dll','');
 QuarantineFile('C:\Users\ыдшл\AppData\Local\SearchModule\dblaunch.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Local\profitsaver\config.json','');
 QuarantineFile('C:\Users\ыдшл\AppData\Local\profitsaver\rft_sb.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Roaming\MyDesktop\linkme0120.exe','');
 SetServiceStart('netfilter2', 4);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('TS888x64', 4);
 SetServiceStart('UCGuard', 4);
 DeleteService('sdfhgdf');
 DeleteService('TSSKX64');
 DeleteService('UCGuard');
 DeleteService('TS888x64');
 DeleteService('TFsFlt');
 DeleteService('TAOKernelDriver');
 DeleteService('QMUdisk');
 DeleteService('netfilter2');
 DeleteService('proauctprouudateprod');
 DeleteService('UCBrowserSvc');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UCService.exe','');
 QuarantineFile('C:\Users\ыдшл\AppData\Local\Lotcorporation.exe','');
 DeleteService('HSystem');
 QuarantineFile('C:\Program Files (x86)\Sersoft\vE9KIQ.exe','');
 QuarantineFile('C:\Program Files (x86)\GameXPService\gamexpsvc.exe','');
 DeleteService('Airtostrong');
 DeleteService('ApplicationHosting');
 DeleteService('caMyciloP');
 QuarantineFile('C:\ProgramData\caMyciloP\caMyciloP.exe','');
 QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
 QuarantineFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe','');
 QuarantineFile('C:\ProgramData\Airtostrong\Airtostrong.exe','');
 SetServiceStart('SPS', 4);
 SetServiceStart('TDataSvr', 4);
 DeleteService('TDataSvr');
 DeleteService('SPS');
 QuarantineFile('C:\Windows\system32\DRIVERS\ucguard.sys','');
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys','');
 TerminateProcessByName('c:\users\ыдшл\appdata\roaming\texteditor\daemon\texteditor.exe');
 QuarantineFile('c:\users\ыдшл\appdata\roaming\texteditor\daemon\texteditor.exe','');
 TerminateProcessByName('c:\program files (x86)\tdata\tdata.exe');
 QuarantineFile('c:\program files (x86)\tdata\tdata.exe','');
 TerminateProcessByName('c:\users\ыдшл\appdata\roaming\daemon2.exe');
 QuarantineFile('c:\users\ыдшл\appdata\roaming\daemon2.exe','');
 TerminateProcessByName('c:\windows\syswow64\searchprotectservice.exe');
 QuarantineFile('c:\windows\syswow64\searchprotectservice.exe','');
 TerminateProcessByName('c:\users\ыдшл\appdata\local\amigo\application\45.0.2454.112\amigo_cr.exe');
 TerminateProcessByName('c:\users\ыдшл\appdata\local\amigo\application\amigo.exe');
 DeleteFile('c:\users\ыдшл\appdata\local\amigo\application\amigo.exe','32');
 DeleteFile('c:\users\ыдшл\appdata\local\amigo\application\45.0.2454.112\amigo_cr.exe','32');
 DeleteFile('c:\windows\syswow64\searchprotectservice.exe','32');
 DeleteFile('c:\users\ыдшл\appdata\roaming\daemon2.exe','32');
 DeleteFile('c:\program files (x86)\tdata\tdata.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\oDayProtect.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\plugins\qmiemalrtpplugin\qmiemalrtpplugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMRtpCheck.dll','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.1.16923.222\qmsysrepprov.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QQPCFIXATDLL.DLL','32');
 DeleteFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\Amigo\Application\45.0.2454.112\chrome_child.dll','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\Amigo\Application\45.0.2454.112\chrome_elf.dll','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\Amigo\Application\45.0.2454.112\libegl.dll','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\Amigo\Application\45.0.2454.112\libglesv2.dll','32');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMUdisk64.sys','32');
 DeleteFile('C:\Windows\GJFix\SRepairDrv','32');
 DeleteFile('C:\Windows\System32\Drivers\TAOKernel64.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\TFsFltX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TS888x64.sys','32');
 DeleteFile('C:\ProgramData\Airtostrong\Airtostrong.exe','32');
 DeleteFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe','32');
 DeleteFile('C:\ProgramData\caMyciloP\caMyciloP.exe','32');
 DeleteFile('C:\Program Files (x86)\Sersoft\vE9KIQ.exe','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\Lotcorporation.exe','32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UCService.exe','32');
 DeleteFile('C:\Program Files (x86)\ppt\Uninst.exe','32');
 DeleteFile('C:\Program Files (x86)\ppt\ppt.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pcmgr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
 DeleteFile('C:\Users\ыдшл\AppData\Roaming\MyDesktop\linkme0120.exe','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\profitsaver\rft_sb.exe','32');
 DeleteFile('C:\Users\ыдшл\AppData\Local\SearchModule\dblaunch.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SearchModule');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','profitsaver');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TextEditor');
 DeleteFile('C:\ProgramData\Airtostrong\Trustlax.dll','32');
 DeleteFile('C:\Users\ыдшл\AppData\Roaming\newSI_1007\s_inst.exe','32');
 DeleteFile('C:\Users\ыдшл\AppData\Roaming\newSI_1017\s_inst.exe','32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe','32');
 DeleteFile('C:\Windows\Tasks\UCBrowserUpdater.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_1017.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_1007.job','32');
 DeleteFile('C:\Windows\system32\Tasks\DNSVINCENTOWN','64');
 DeleteFile('C:\Windows\system32\Tasks\IBUpd2','64');
 DeleteFile('C:\Users\ыдшл\AppData\Roaming\WindowsUpdater\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\WindowsUpdater','64');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
 DeleteFile('C:\Users\ыдшл\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1007','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1017','64');
 DeleteFile('C:\Users\70A4~1\AppData\Local\Temp\R.vbs','32');
 DeleteFile('C:\Windows\system32\Tasks\RestoreSearch','64');
 DeleteFile('C:\Windows\system32\Tasks\RSPro','64');
 DeleteFile('C:\Windows\system32\Tasks\UCBrowserUpdater','64');
 DeleteFile('C:\Windows\system32\Tasks\uodvye','64');
 DeleteFile('C:\Windows\system32\Tasks\{F6DB6806-E638-41ED-AC12-369840AC8187}','64');
 DeleteFile('C:\Windows\syswow64\searchprotectservice.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Прицепился вирус рекламный

Рекомендуемые сообщения

tanlink

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum