рекламные баннеры, троян

[iron]

Утилита касперского нашла  около 75 объектов был заражен файл hosts Домашняя страница подменяется ссылкой на рекламный сайт. при подключении в интернету мелькает окно cmd  и затем сообщение о том что ярлык "Хром"  неверный

 

CollectionLog-2017.02.05-12.29.zip

Изменено 5 февраля, 2017 пользователем iron

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[iron]

Извините, если что-то  сделал не так. Файл я прикрепил, коротко описал свою проблему.

Что не так?

[Sandor]

Здравствуйте!

 

Что не так?

Выходные

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

amuleC

trotux - Uninstall

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\евросеть\appdata\roaming\event monitor\em.exe');
 StopService('serverss');
 QuarantineFile('C:\Users\евросеть\appdata\roaming\gplyra\gplyra.exe','');
 QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe','');
 QuarantineFile('C:\ProgramData\SearchModule\smhe.js','');
 QuarantineFile('C:\Users\евросеть\AppData\Roaming\phoenix.engine.v01.212711\of.18.exe','');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe','');
 QuarantineFile('C:\Users\евросеть\AppData\Roaming\FreeVPN\FreeVPN.exe','');
 QuarantineFile('C:\Program Files (x86)\Serlingplsuing\varise.exe','');
 QuarantineFile('C:\Program Files (x86)\WinArcher\Archer.dll','');
 QuarantineFile('C:\Program Files\Common Files\Noobzo\GNUpdate\smw.sys','');
 QuarantineFile('c:\users\евросеть\appdata\roaming\event monitor\em.exe','');
 QuarantineFile('C:\WINDOWS\Temp\5C31.tmp', '');
 QuarantineFile('C:\ProgramData\smp2.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Hfodompherzuward Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "phoenix.engine.v01.212711" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RunAtStartup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SMW_UpdateTask_Time_323135373533343338362d325b573423416c45555a2a6c" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WinTOOL" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SMW_P" /F', 0, 15000, true);
 DeleteFile('c:\users\евросеть\appdata\roaming\event monitor\em.exe','32');
 DeleteFile('C:\Program Files\Common Files\Noobzo\GNUpdate\smw.sys','32');
 DeleteFile('C:\Program Files (x86)\WinArcher\Archer.dll','32');
 DeleteFile('C:\Program Files (x86)\Serlingplsuing\varise.exe','32');
 DeleteFile('C:\Users\евросеть\AppData\Roaming\FreeVPN\FreeVPN.exe','32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe','32');
 DeleteFile('C:\Users\евросеть\AppData\Roaming\phoenix.engine.v01.212711\of.18.exe','32');
 DeleteFile('C:\ProgramData\SearchModule\smhe.js','32');
 DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','32');
 DeleteFile('C:\Users\евросеть\appdata\roaming\gplyra\gplyra.exe','32');
 DeleteFile('C:\WINDOWS\Temp\5C31.tmp', '32');
 DeleteFile('C:\ProgramData\smp2.exe', '32');
 DeleteService('SMUpdd');
 DeleteService('serverss');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.