Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус не дает установить программы и спамят рекламы

wexsila

Автор wexsila
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

wexsila

wexsila

Опубликовано
Опубликовано (изменено)

Вирус не дает установить программы и спамят рекламы выходит баннер не дает установит ни один антивир

CollectionLog-2017.08.04-14.31.zip

Изменено пользователем wexsila
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\microsoft\svchost.exe.exe','');
 QuarantineFile('C:\WINDOWS\microsoft\svchost.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\wupdate\wupdate.exe','');
 QuarantineFile('C:\Program Files (x86)\Secure Driver Updater\SDU.exe','');
 QuarantineFile('C:\Program Files\OcDecryptow\OcDecryptow.dll','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\indexer\indexer.exe','');
 QuarantineFile('C:\Program Files (x86)\YubeAlckU\khCII5K.dll','');
 DelBHO('{E3605470-291B-44EB-8648-745EE356599A}');
 QuarantineFile('C:\Program Files (x86)\YubeAlckIE\krzDx5uq.dll','');
 QuarantineFile('C:\Users\1\AppData\Roaming\gplyra\gplyra\start.cmd','');
 QuarantineFile('C:\Users\1\AppData\Local\yc\Application\yc.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\setupsk\ml.py','');
 QuarantineFile('C:\Users\1\AppData\Roaming\setupsk\python\pythonw.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\SETUPS~1\ml.py','');
 SetServiceStart('015b6612f929207040848e82404bce97', 4);
 DeleteService('015b6612f929207040848e82404bce97');
 SetServiceStart('UbarPolicyProvider', 4);
 DeleteService('UbarPolicyProvider');
 DeleteService('ab20b32356144c981855f97d5430649c');
 DeleteService('icacl');
 DeleteService('SvcHost Service Host');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\icacl.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\015b6612f929207040848e82404bce97.sys','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Event Monitor\isxdl.dll','');
 TerminateProcessByName('C:\Users\1\AppData\Roaming\8246f023f5b045e3a26715ff4cd194ee\U8uCCTIE7a.exe');
 TerminateProcessByName('C:\Program Files\UBar\ubar.exe');
 TerminateProcessByName('C:\Program Files\UBar\UbarService.exe');
 TerminateProcessByName('c:\users\1\appdata\local\temp\v5w61mtnptsi.exe');
 TerminateProcessByName('C:\Users\1\AppData\Roaming\13fd3ff19a04432fb3b8413f397181ad\Y2WhQlVxlb.exe');
 QuarantineFile('C:\Users\1\AppData\Roaming\13fd3ff19a04432fb3b8413f397181ad\Y2WhQlVxlb.exe','');
 QuarantineFile('c:\users\1\appdata\local\temp\v5w61mtnptsi.exe','');
 QuarantineFile('C:\Program Files\UBar\UbarService.exe','');
 QuarantineFile('C:\Program Files\UBar\ubar.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\8246f023f5b045e3a26715ff4cd194ee\U8uCCTIE7a.exe','');
 TerminateProcessByName('c:\program files (x86)\smart application controller\smappscontroller.exe');
 TerminateProcessByName('c:\users\1\appdata\roaming\event monitor\em.exe');
 TerminateProcessByName('C:\ProgramData\5e8938e755f141539a64b662ab54bd35\f7rdASgcABa.exe');
 TerminateProcessByName('c:\users\1\appdata\roaming\mediaplayerapplication\mediaplayerapplication.exe');
 QuarantineFile('c:\users\1\appdata\roaming\mediaplayerapplication\mediaplayerapplication.exe','');
 QuarantineFile('C:\ProgramData\5e8938e755f141539a64b662ab54bd35\f7rdASgcABa.exe','');
 QuarantineFile('c:\users\1\appdata\roaming\event monitor\em.exe','');
 TerminateProcessByName('C:\ProgramData\4af34453659a469287e4d40b0dc49601\5Lkb7YqZD0Ua.exe');
 TerminateProcessByName('C:\Users\1\AppData\Local\Temp\543602f971a0484db6009610de642acf\9JEn8CFbSje.exe');
 TerminateProcessByName('C:\ProgramData\f81b323c3a44493ab324723adaca4a20\Ac028RpdipCUq.exe');
 QuarantineFile('C:\ProgramData\f81b323c3a44493ab324723adaca4a20\Ac028RpdipCUq.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\543602f971a0484db6009610de642acf\9JEn8CFbSje.exe','');
 QuarantineFile('C:\ProgramData\4af34453659a469287e4d40b0dc49601\5Lkb7YqZD0Ua.exe','');
 DeleteFile('C:\ProgramData\4af34453659a469287e4d40b0dc49601\5Lkb7YqZD0Ua.exe','32');
 DeleteFile('C:\Users\1\AppData\Local\Temp\543602f971a0484db6009610de642acf\9JEn8CFbSje.exe','32');
 DeleteFile('C:\ProgramData\f81b323c3a44493ab324723adaca4a20\Ac028RpdipCUq.exe','32');
 DeleteFile('c:\users\1\appdata\roaming\event monitor\em.exe','32');
 DeleteFile('C:\ProgramData\5e8938e755f141539a64b662ab54bd35\f7rdASgcABa.exe','32');
 DeleteFile('c:\users\1\appdata\roaming\mediaplayerapplication\mediaplayerapplication.exe','32');
 DeleteFile('c:\program files (x86)\smart application controller\smappscontroller.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\8246f023f5b045e3a26715ff4cd194ee\U8uCCTIE7a.exe','32');
 DeleteFile('C:\Program Files\UBar\ubar.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
 DeleteFile('c:\users\1\appdata\local\temp\v5w61mtnptsi.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\13fd3ff19a04432fb3b8413f397181ad\Y2WhQlVxlb.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\015b6612f929207040848e82404bce97.sys','32');
 DeleteFile('C:\WINDOWS\system32\icacl.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaPlayerApplication');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','f7rdASgcABa.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Y2WhQlVxlb.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ac028RpdipCUq.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','U8uCCTIE7a.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
 DeleteFile('C:\Users\1\AppData\Roaming\SETUPS~1\ml.py','32');
 DeleteFile('C:\Users\1\AppData\Roaming\setupsk\python\pythonw.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\Users\1\AppData\Local\yc\Application\yc.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uoqqewmaoa');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_1CC43526C9D533E0CD117B25D98AA3A6');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5Lkb7YqZD0Ua.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','9JEn8CFbSje.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','WqqSHk7.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','JNvrNblGALtfo.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','vbqyerevlq');
 DeleteFile('C:\Users\1\AppData\Roaming\gplyra\gplyra\start.cmd','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gplyra');
 DeleteFile('C:\Program Files (x86)\YubeAlckIE\krzDx5uq.dll','32');
 DeleteFile('C:\Program Files (x86)\YubeAlckU\khCII5K.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\E3605470-291B-44EB-8648-745EE356599A.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Online Application V2G1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Online Application V2G2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Online Application V2G3.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Updater_Online_Application.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\ab20b32356144c981855f97d5430649c','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\CheckControllerUpdatesUA','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\E3605470-291B-44EB-8648-745EE356599A','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\E3605470-291B-44EB-8648-745EE356599A2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\indexer','64');
 DeleteFile('C:\Users\1\AppData\Local\indexer\indexer.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Online Application V2G1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Online Application V2G2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Online Application V2G3','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\RunAtStartup','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Updater_Online_Application','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\wupdate','64');
 DeleteFile('C:\Users\1\AppData\Local\wupdate\wupdate.exe','32');
 DeleteFile('C:\WINDOWS\microsoft\svchost.exe','32');
 DeleteFile('C:\WINDOWS\microsoft\svchost.exe.exe','32');
 DeleteFile('C:\Users\1\appdata\roaming\event monitor\isxdl.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Couita
      Реклама
      Автор Couita
      Здравствуйте! Появилось данная плашка, как ее скрыть? раздражает сильно
       

    • bzhero
      Вирус не дает закончить установку антивируса
      Автор bzhero
      Добрый день. Выполняю установку Kaspersky Standart с официального сайта. В окне с установщиком доходит до 90%, а далее вирус закрывает установщик, когда заново пытаюсь установить - все сначала. И так уже несколько раз. Когда пытаюсь зайти в антивирус (открыть приложение) из "Безопасности Windows" - ничего не происходит. Помогите пожалуйста
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • Ashton
      Плагин kaspersky password на опере не удается установить
      Автор Ashton
      Не могу поставить плагин kaspersky password на оперу на мак. Ставлю плагин от хрома, плагин говорит: если приложение установлено, удалите его и поставьте заново. Удаляю, ставлю — без измнений. Удаляю через сторонние приложения, ставлю заново, теперь kaspersky password просит залогинится. Логинюсь, но плагин как не работал, так и не работает.
       
       
    • MiStr
      Результаты участников программы «Амбассадоры бренда Kaspersky»
      Автор MiStr
      Результаты участников программы:
       
      2018 год
       
      2019 год
       
      2020 год
       
      2021 год

      2022 год

      2023 год

      2024 год

      2025 год
    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
×
×
  • Создать...