Вирус

[Влад Проскурин 0]

Здравствуйте, помогите пожалуйста
выскакивает реклама в браузер каждые там 20-25 минут, очень мешает при работе за компьютером
я уже провел проверку через AVZ...

Сообщение от модератора SQ

Тема перенесена из раздела "Задай вопрос Евгению Касперскому!"

CollectionLog-2016.12.30-22.50.zip

[SQ 831]

Здравствуйте,

Удалите Iobit через установку программ в панели управления

HiJackThis (из каталога автологгера) профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10270__161230__yaie
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)
O22 - ScheduledTask: (Ready) bestsalesprofit - {root} - C:\Users\Влад\AppData\Roaming\bestsalesprofit\python\pythonw.exe "C:\Users\Влад\AppData\Roaming\bestsalesprofit\ml.py" --APPNAME="bestsalesprofit" (file missing)
O22 - ScheduledTask: (Ready) bestsalesprofit2 - {root} - C:\Users\Влад\AppData\Roaming\bestsalesprofit\python\pythonw.exe "C:\Users\Влад\AppData\Roaming\bestsalesprofit\updater.py" (file missing)
O22 - ScheduledTask: (Ready) find-mans - {root} - "C:\Program Files\Google\Chrome\Application\chrome.exe" http://find-mans.com/blamesm

Удалите ярлык:

"C:\Users\Влад\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk"

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Google\Chrome\Application\chrome.exe','');
 QuarantineFile('C:\Users\Влад\AppData\Roaming\bestsalesprofit\updater.py','');
 QuarantineFile('C:\Users\Влад\AppData\Roaming\bestsalesprofit\python\pythonw.exe','');
 QuarantineFile('C:\Users\Влад\AppData\Roaming\bestsalesprofit\ml.py','');
 DeleteFile('C:\Users\Влад\AppData\Roaming\bestsalesprofit\ml.py','32');
 DeleteFile('C:\Users\Влад\AppData\Roaming\bestsalesprofit\python\pythonw.exe','32');
 DeleteFile('C:\Users\Влад\AppData\Roaming\bestsalesprofit\updater.py','32');
 ExecuteFile('schtasks.exe', '/delete /TN "bestsalesprofit" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "find-mans" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.