Решена Самооткрывающаяся реклама и подозрительная служба

Статус
В этой теме нельзя размещать новые ответы.

miauki

Новый пользователь
Сообщения
4
Реакции
0
Безымянный1.jpg Безымянный.jpg 2.png 3.png
Безымянный1.jpg
Безымянный.jpg
2.png
3.png
Безымянный1.jpg Безымянный.jpg 2.png 3.png
После удаления вирусов осталась реклама в браузере. Реклама открывается сама через пару секунд после открытия браузера, а также повторяется примерно через час. Путем нелегких поисков было выяснено, что реклама связана со службой wta которая после отключения создает новую такую службу.
 

Вложения

  • CollectionLog-2017.08.09-12.59.zip
    89.5 KB · Просмотры: 2
Последнее редактирование модератором:
C:\Users\Номе\AppData\Roaming\Filosof\Filosof.vbs - ваше?
YeuAskIE - нужно деинсталировать
Восстановление системы - отключено - рекомендую включить перед лечением, риск ошибки еще никто не отменял.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 SetServiceStart('wta38080', 4);
 SetServiceStart('fussvc', 4);
 SetServiceStart('wta5743', 4);
 SetServiceStart('wta24354', 4);
 SetServiceStart('wta20220', 4);
 QuarantineFile('C:\Users\Номе\AppData\Roaming\HwmonitorApp\HwmonitorApp.exe','');
 QuarantineFile('wta38080.sys','');
 QuarantineFile('C:\ProgramData\wta20220.exe','');
 QuarantineFile('c:\programdata\wta8786.exe','');
 QuarantineFile('C:\ProgramData\wta8786.exe','');
 DeleteFile('C:\ProgramData\wta8786.exe','32');
 DeleteFile('c:\programdata\wta8786.exe','32');
 DeleteFile('C:\ProgramData\wta20220.exe','32');
 DeleteFile('wta38080.sys','32');
 DeleteFile('C:\Users\Номе\AppData\Roaming\HwmonitorApp\HwmonitorApp.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HwmonitorApp');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1426912448-3791724741-766013378-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08092017114414174\Software\Microsoft\Windows\CurrentVersion\Run','HwmonitorApp');
 DeleteService('wta38080');
 DeleteService('fussvc');
 DeleteService('wta5743');
 DeleteService('wta24354');
 DeleteService('wta20220');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Спасибо большое. После всех процедур мой пациент ощутимо поправился. Вот последние анализы.
 

Вложения

  • CollectionLog-2017.08.10-20.59.zip
    65.7 KB · Просмотры: 1
  • AdwCleaner[S4].txt
    2.4 KB · Просмотры: 1
  • AdwCleaner[C2].txt
    2.3 KB · Просмотры: 1
C:\Users\Номе\AppData\Roaming\Filosof\Filosof.vbs - ваше?
??

YeuAskIE и YueAckU - удалить деинсталировать стандартным способом и в принципе больше ничего крамольного не видно. Если не получилось, то ниже будет скрипт который "поломает адваре"

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\YtuAskU2\WGR8ZBc.dll','');
 QuarantineFile('C:\Program Files\YueAckU\xsxXcpJ.dll','');
 QuarantineFile('C:\Program Files\YeuAskIE\kETWl4IUB.dll','');
 ExecuteFile('schtasks.exe', '/delete /TN "5A8163FE-2D41-4CE5-AD54-7FE95B266373" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F2" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\YeuAskIE\kETWl4IUB.dll','32');
 DeleteFile('C:\Program Files\YueAckU\xsxXcpJ.dll','32');
 DeleteFile('C:\Program Files\YtuAskU2\WGR8ZBc.dll','32');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
  BC_Activate;
  ExecuteSysClean;
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

Какие проблемы еще остались?
 
Скрипты выполнены, вот только папку Filosof больше не находит. Я вроде бы их удаляла.
 
miauki, значит просто запись в реестре осталась. Что с проблемами?
 
Все проблемы устранены) Большое Вам Человеческое СПАСИБО!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу