Вирусы vofer

8 марта, 2017

Открываются постоянно вкладки с рекламой, появились расширения, компьютер стал очень плохо работать. Пробовал удалять с автозагрузки и с диска....безрезультатно.

CollectionLog-2017.03.09-00.30.zip

9 марта, 2017

Здравствуйте,

Удалите через установку и удаления программ в панели управления:

VOF 0.0.1
vofer

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 QuarantineFile('C:\Users\Антон\AppData\LocalLow\SearchGo\searchgo.dll','');
 QuarantineFile('C:\Users\Антон\appdata\local\comdev\comdev.exe','');
 QuarantineFileF('C:\Users\Антон\AppData\Local\ComDev', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Users\Антон\appdata\local\searchgo\searchgo.exe','');
 QuarantineFile('C:\Users\Антон\appdata\locallow\searchgo\searchgo.dll','');
 QuarantineFileF('C:\Users\Антон\AppData\Local\SearchGo', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Users\Антон\AppData\Roaming\CDManager\ml.py','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\CDManager\python\pythonw.exe','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\CDManager\updater.py','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\ForceUpdateVOF\ml.py','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\ForceUpdateVOF\updater.py','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\SearchAY\app.py','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\SearchAY\ml.py','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\SearchAY\python\pythonw.exe','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\VOF\ml.py','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\VOF\python\pythonw.exe','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\Vofer2\IQmanager\ml.py','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\Vofer2\ml.py','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\Vofer2\python\pythonw.exe','');
 DeleteFile('C:\Users\Антон\AppData\LocalLow\SearchGo\searchgo.dll','32');
 DeleteFile('C:\Users\Антон\AppData\Local\ComDev\ComDev.exe','32');
 DeleteFile('C:\Users\Антон\AppData\Local\SearchGo\searchgo.exe','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\CDManager\ml.py','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\CDManager\python\pythonw.exe','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\CDManager\updater.py','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\ForceUpdateVOF\ml.py','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\ForceUpdateVOF\updater.py','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\SearchAY\app.py','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\SearchAY\ml.py','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\SearchAY\python\pythonw.exe','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\VOF\ml.py','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\VOF\python\pythonw.exe','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\Vofer2\IQmanager\app.py','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\Vofer2\IQmanager\ml.py','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\Vofer2\ml.py','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\Vofer2\python\pythonw.exe','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\Vofer2\updater.py','32');
 DeleteFile('C:\Users\Антон\appdata\local\comdev\comdev.exe','32');
 DeleteFile('C:\Users\Антон\appdata\local\searchgo\searchgo.exe','32');
 DeleteFile('C:\Users\Антон\appdata\locallow\searchgo\searchgo.dll','32');
 DeleteFileMask('C:\Users\Антон\appdata\local\searchgo', '*', true, ' ');
 DeleteDirectory('C:\Users\Антон\appdata\local\searchgo');
 DeleteFileMask('C:\Users\Антон\appdata\locallow\searchgo', '*', true, ' ');
 DeleteDirectory('C:\Users\Антон\appdata\locallow\searchgo');
 DeleteFileMask('C:\Users\Антон\appdata\local\comdev', '*', true, ' ');
 DeleteDirectory('C:\Users\Антон\appdata\local\comdev');
 DeleteFileMask('C:\Users\Антон\AppData\Roaming\SearchAY', '*', true, ' ');
 DeleteDirectory('C:\Users\Антон\AppData\Roaming\SearchAY');
 ExecuteFile('schtasks.exe', '/delete /TN "CDManager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "CDManager2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ComDev" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "IQmanager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "IQmanager2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchAY" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchAY2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VOF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Vofer2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Vofer22" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "vnovostyahnethewolsm" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IQmanager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vofer2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sjgjksvlkh');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.

14 марта, 2017

[KLAN-5960469413]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:
searchgo.dll - not-a-virus:AdWare.Win32.Agent.kcwn
searchgo.exe - not-a-virus:AdWare.Win32.Searchgo.a

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

AdwCleanerS0.txt

Изменено 14 марта, 2017 пользователем Владиславъ Кибкало

15 марта, 2017

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

15 марта, 2017

Вроде все удалилось) спасибо большое!)

AdwCleanerC0.txt

Вирусы vofer

Рекомендуемые сообщения

Владиславъ Кибкало

Ссылка на комментарий

Поделиться на другие сайты

SQ

Ссылка на комментарий

Поделиться на другие сайты

Владиславъ Кибкало

Ссылка на комментарий

Поделиться на другие сайты

SQ

Ссылка на комментарий

Поделиться на другие сайты

Владиславъ Кибкало

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum