1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Самооткрывающаяся реклама и подозрительная служба

Тема в разделе "Удаление компьютерных вирусов", создана пользователем miauki, 10 авг 2017.

  1. miauki

    miauki Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Безымянный1. Безымянный. 2. 3. Безымянный1. Безымянный. 2. 3. Безымянный1. Безымянный. 2. 3.
    После удаления вирусов осталась реклама в браузере. Реклама открывается сама через пару секунд после открытия браузера, а также повторяется примерно через час. Путем нелегких поисков было выяснено, что реклама связана со службой wta которая после отключения создает новую такую службу.
     

    Вложения:

    Последнее редактирование модератором: 10 авг 2017
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.786
    Симпатии:
    14.812
    C:\Users\Номе\AppData\Roaming\Filosof\Filosof.vbs - ваше?
    YeuAskIE - нужно деинсталировать
    Восстановление системы - отключено - рекомендую включить перед лечением, риск ошибки еще никто не отменял.
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
    Код (Text):

      begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
     SetServiceStart('wta38080', 4);
     SetServiceStart('fussvc', 4);
     SetServiceStart('wta5743', 4);
     SetServiceStart('wta24354', 4);
     SetServiceStart('wta20220', 4);
     QuarantineFile('C:\Users\Номе\AppData\Roaming\HwmonitorApp\HwmonitorApp.exe','');
     QuarantineFile('wta38080.sys','');
     QuarantineFile('C:\ProgramData\wta20220.exe','');
     QuarantineFile('c:\programdata\wta8786.exe','');
     QuarantineFile('C:\ProgramData\wta8786.exe','');
     DeleteFile('C:\ProgramData\wta8786.exe','32');
     DeleteFile('c:\programdata\wta8786.exe','32');
     DeleteFile('C:\ProgramData\wta20220.exe','32');
     DeleteFile('wta38080.sys','32');
     DeleteFile('C:\Users\Номе\AppData\Roaming\HwmonitorApp\HwmonitorApp.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HwmonitorApp');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1426912448-3791724741-766013378-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08092017114414174\Software\Microsoft\Windows\CurrentVersion\Run','HwmonitorApp');
     DeleteService('wta38080');
     DeleteService('fussvc');
     DeleteService('wta5743');
     DeleteService('wta24354');
     DeleteService('wta20220');
       BC_Activate;
      ExecuteSysClean;
      ExecuteWizard('SCU', 2, 3, true);
     BC_ImportALL;
    RebootWindows(true);
    end.
     
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    • Скачайте AdwCleaner и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    miauki нравится это.
  4. miauki

    miauki Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Спасибо большое. После всех процедур мой пациент ощутимо поправился. Вот последние анализы.
     

    Вложения:

  5. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.786
    Симпатии:
    14.812
    ??

    YeuAskIE и YueAckU - удалить деинсталировать стандартным способом и в принципе больше ничего крамольного не видно. Если не получилось, то ниже будет скрипт который "поломает адваре"

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
    Код (Text):

      begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Program Files\YtuAskU2\WGR8ZBc.dll','');
     QuarantineFile('C:\Program Files\YueAckU\xsxXcpJ.dll','');
     QuarantineFile('C:\Program Files\YeuAskIE\kETWl4IUB.dll','');
     ExecuteFile('schtasks.exe', '/delete /TN "5A8163FE-2D41-4CE5-AD54-7FE95B266373" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F2" /F', 0, 15000, true);
     DeleteFile('C:\Program Files\YeuAskIE\kETWl4IUB.dll','32');
     DeleteFile('C:\Program Files\YueAckU\xsxXcpJ.dll','32');
     DeleteFile('C:\Program Files\YtuAskU2\WGR8ZBc.dll','32');
     DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
      BC_Activate;
      ExecuteSysClean;
     BC_ImportALL;
    RebootWindows(true);
    end.
     
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы

    Какие проблемы еще остались?
     
    miauki нравится это.
  6. miauki

    miauki Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Скрипты выполнены, вот только папку Filosof больше не находит. Я вроде бы их удаляла.
     
  7. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.786
    Симпатии:
    14.812
    miauki, значит просто запись в реестре осталась. Что с проблемами?
     
  8. miauki

    miauki Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Все проблемы устранены) Большое Вам Человеческое СПАСИБО!
     
  9. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.786
    Симпатии:
    14.812
Загрузка...
Похожие темы - Самооткрывающаяся реклама подозрительная
  1. Ioann777
    Ответов:
    1
    Просмотров:
    79
  2. Olga
    Ответов:
    9
    Просмотров:
    143
  3. den007
    Ответов:
    28
    Просмотров:
    328
  4. marni
    Ответов:
    3
    Просмотров:
    134
  5. Kravcove
    Ответов:
    15
    Просмотров:
    490
  6. Kassandraggg
    Ответов:
    9
    Просмотров:
    973

Поделиться этой страницей