Тормозит браузер:Vofer

[Tahoma]

Добрый день! 

В диспетчере процессов появились явно лишние процессы, при запуске Chroma постоянно перекидывает на яндекс и сам браузер тормозит. В установленных программах сидит какой то vofer и еще несколько непонятных программ. Пыталась удалить Vofer самостоятельно, но увы, не получилось. 

CollectionLog-2017.08.25-17.38.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

VOF 0.0.1 [2017/06/22 15:29:26]-->C:\Users\пк\AppData\Roaming\VOF\uninstall.exe
vofer [2017/06/22 15:29:03]-->C:\Users\пк\AppData\Roaming\vofer\uninstall.exe

деинсталируйте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\пк\appdata\roaming\adobe\gfxm\sfx3\sclomer.exe');
 QuarantineFile('c:\users\пк\appdata\roaming\adobe\gfxm\sfx3\sclomer.exe', '');
 QuarantineFile('C:\Users\пк\AppData\Roaming\ForceUpdateVOF\ml.py', '');
 QuarantineFile('C:\Users\пк\AppData\Roaming\Adobe\gfxm\msn.vbs', '');
 QuarantineFile('C:\Users\пк\AppData\Roaming\Adobe\gfxm\svst.vbs', '');
 QuarantineFile('C:\Users\пк\AppData\Roaming\vofer\ml.py', '');
 QuarantineFile('C:\Users\пк\AppData\Roaming\VOF\ml.py', '');
 QuarantineFile('C:\Users\пк\AppData\Roaming\Vofer2\ml.py', '');
 QuarantineFile('C:\Users\пк\AppData\Roaming\ForceUpdateVOF\updater.py', '');
 QuarantineFile('C:\Users\пк\AppData\Roaming\Vofer2\updater.py', '');
 QuarantineFileF('c:\users\пк\appdata\roaming\forceupdatevof', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\пк\appdata\roaming\vofer', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\пк\appdata\roaming\vofer2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('c:\users\пк\appdata\roaming\adobe\gfxm\sfx3\sclomer.exe', '32');
 DeleteFile('C:\Users\пк\AppData\Roaming\ForceUpdateVOF\ml.py', '32');
 DeleteFile('C:\Users\пк\AppData\Roaming\Adobe\gfxm\msn.vbs', '32');
 DeleteFile('C:\Users\пк\AppData\Roaming\Adobe\gfxm\svst.vbs', '32');
 DeleteFile('C:\Users\пк\AppData\Roaming\vofer\ml.py', '32');
 DeleteFile('C:\Users\пк\AppData\Roaming\VOF\ml.py', '32');
 DeleteFile('C:\Users\пк\AppData\Roaming\Vofer2\ml.py', '32');
 DeleteFile('C:\Users\пк\AppData\Roaming\ForceUpdateVOF\updater.py', '32');
 DeleteFile('C:\Users\пк\AppData\Roaming\Vofer2\updater.py', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VOF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "vofer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Vofer22" /F', 0, 15000, true);
 DeleteFileMask('c:\users\пк\appdata\roaming\forceupdatevof', '*', true);
 DeleteFileMask('c:\users\пк\appdata\roaming\vofer', '*', true);
 DeleteFileMask('c:\users\пк\appdata\roaming\vofer2', '*', true);
 DeleteDirectory('c:\users\пк\appdata\roaming\forceupdatevof');
 DeleteDirectory('c:\users\пк\appdata\roaming\vofer');
 DeleteDirectory('c:\users\пк\appdata\roaming\vofer2');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ForceUpdateVOF');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gfxmF');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gfxm');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vofer');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'VOF');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vofer', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Vofer2', 'command');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Tahoma]

1. Ссылка - 

https://virusinfo.info/virusdetector/report.php?md5=E6C881554154FCC711F292ABA1C5BD0F

2. Ответ от newvirus@kaspersky.com: 

Номер [KLAN-6713679483]

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:

sclomer.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.ibyu

В антивирусных базах информация по присланным вами файлам отсутствует:
ml.py
msn.vbs
svst.vbs
ml_0.py
uninstall.exe
python.exe
fetch_macholib.bat
uuid.json
c.js
c.js.sha1
fingerprint2.js
__init.js
python_0.exe
fetch_macholib_0.bat

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:
localconfig.json - not-a-virus:AdWare.Python.PBot.h
IQmanager.exe - not-a-virus:HEUR:AdWare.Script.Generic
localconfig_0.json - not-a-virus:AdWare.Python.PBot.h
localconfig_1.json - not-a-virus:AdWare.Python.PBot.h

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

3. Файл прикреплен

 

 

 

AdwCleanerS0.txt

[regist]

1)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

2) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 

[Tahoma]

adwcleaner

AdwCleanerC0.txt

[regist]

жду остальное.