Закрыто Самопроизвольная установка приложений, рекламные банеры

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Annwn, 12 июл 2016.

Статус темы:
Закрыта.
  1. Annwn
    Оффлайн

    Annwn Студент 1 курс

    Сообщения:
    2
    Симпатии:
    0
    Здравствуйте, столкнулись с проблемой - во время просмотра фильма, проигрыватели не открывали формат, и WMP предложил скачть фикс FixDivX для возможности просмотреть - что собственно и попытались сделать, но в процессе началась какая-то ерунда - самопроизвольно установилось одно приложение (не помню назвония - тут же попытался его удалить) после появилось еще одно (его тоже вроде удалил, названия как такогого небыло - был набор символов и иконка то-ли архива то-ли просто книжек), через некоторое время поставились еще несколько приложений (могу ошибаться но вроде как после запуска браузера). При запуске браузера перекидывает на стороннии поисковики. На рабочем столе время от времени всплывают аккуратные банеры в углу экрана. Среди тех приложений что поставились были например UC браузер, MPC AdCleaner, MPC Cleaner, MPC Desktop, Tv-Plug-In. Так же время от времени появлялось предложение обновить скайп (не от скайпа), при этом это было в слое перекрывающее весь рабочий стол делая его не активным.
    P.S. все усугубляется тем что проблему нужно решить удаленно, девушка сейчас в другой сране, логи делал через тим вьювер. Прошу помощи.
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Здравствуйте.
    Удалите через установку и удаление программ: YellowSend


    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       TerminateProcessByName('C:\Windows\Temp\DPTF\esif_assist_64.exe');
       TerminateProcessByName('c:\program files (x86)\b76e3ab4-1468246203-6440-9483-7f92ba5b6689\hnsf798d.tmp');
       TerminateProcessByName('c:\program files (x86)\b76e3ab4-1468246203-6440-9483-7f92ba5b6689\jnsf545f.tmp');
       TerminateProcessByName('c:\program files (x86)\b76e3ab4-1468246203-6440-9483-7f92ba5b6689\knsx271f.tmpfs');
       TerminateProcessByName('c:\users\user\appdata\local\b76e3ab4-1468278912-6440-9483-7f92ba5b6689\qnsu93ca.tmp');
       TerminateProcessByName('c:\users\user\appdata\roaming\threadapp.exe');
       StopService('dowidoly');
       StopService('rijufoze');
       StopService('zigipyro');
       StopService('werocuwyzbt');
       StopService('Quoteex');
       QuarantineFileF('c:\programdata\cloudprinter', '*', true, '', 0 , 0);
       QuarantineFile('C:\Windows\Temp\DPTF\esif_assist_64.exe', '');
       QuarantineFile('c:\program files (x86)\b76e3ab4-1468246203-6440-9483-7f92ba5b6689\hnsf798d.tmp', '');
       QuarantineFile('c:\program files (x86)\b76e3ab4-1468246203-6440-9483-7f92ba5b6689\jnsf545f.tmp', '');
       QuarantineFile('c:\program files (x86)\b76e3ab4-1468246203-6440-9483-7f92ba5b6689\knsx271f.tmpfs', '');
       QuarantineFile('c:\users\user\appdata\local\b76e3ab4-1468278912-6440-9483-7f92ba5b6689\qnsu93ca.tmp', '');
       QuarantineFile('c:\users\user\appdata\roaming\threadapp.exe', '');
       QuarantineFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe', '');
       QuarantineFile('C:\ProgramData\Quoteex\Quoteex.exe', '');
       QuarantineFile('C:\ProgramData\Quoteex\Lamdom.dll', '');
       DeleteFile('C:\Windows\Temp\DPTF\esif_assist_64.exe', '32');
       DeleteFile('c:\program files (x86)\b76e3ab4-1468246203-6440-9483-7f92ba5b6689\hnsf798d.tmp', '32');
       DeleteFile('c:\program files (x86)\b76e3ab4-1468246203-6440-9483-7f92ba5b6689\jnsf545f.tmp', '32');
       DeleteFile('c:\program files (x86)\b76e3ab4-1468246203-6440-9483-7f92ba5b6689\knsx271f.tmpfs', '32');
       DeleteFile('c:\users\user\appdata\local\b76e3ab4-1468278912-6440-9483-7f92ba5b6689\qnsu93ca.tmp', '32');
       DeleteFile('c:\users\user\appdata\roaming\threadapp.exe', '32');
       DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe', '32');
       DeleteFile('C:\ProgramData\Quoteex\Quoteex.exe', '32');
       DeleteFile('C:\ProgramData\Quoteex\Lamdom.dll', '32');
       DeleteService('dowidoly');
       DeleteService('rijufoze');
       DeleteService('zigipyro');
       DeleteService('werocuwyzbt');
       DeleteService('CloudPrinter');
       DeleteService('Quoteex');
       DeleteFileMask('c:\programdata\cloudprinter', '*', true);
       DeleteDirectory('c:\programdata\cloudprinter');
      RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'EYAN');
      CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
Статус темы:
Закрыта.

Поделиться этой страницей