Что такое ponybeepro?

У коллеги на компе недавно начала появляться реклама в браузерах, во всех, которой не должно быть, почитал – оказалось я не единственный с такой проблемой, и это такой вирус.

Вирус залезает глубоко в систему и сидит, показывая внизу каждого сайта парочку баннеров.

В диспетчере задач висят процессы — wpennybeeprod.exe, pennybeeprol64.exe, pennybeeprol32.exe, pennybeeprod32.exe и pennybeepro.exe. При попытке их завершить они запускаются снова. Это происходит из-за того, что эта тварь установила две службы в систему — wpennybeeprod и pennybeepro. Их нужно остановить и детализировать командой sc delete wpennybeeprod, запущенной с правами администратора.

Службу убили и потушили, теперь нужно убить процессы а за ними и файлы. Но это еще все все. Сама вирус сидит со своими DLL в папке c:\progra~3\pennyb~1\110~1.25\.

После всего необходимо удалить все запланированные задания, потому что там тоже сидит кусок вируса.

Ну и на сладкое убить драйвер C:\Windows\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys

 TerminateProcessByName('c:\progra~3\pennyb~10~1.25\wpennybeeprod.exe');
 TerminateProcessByName('C:\PROGRA~3\PENNYB~10~1.25\pennybeeprol64.exe');
 TerminateProcessByName('c:\progra~3\pennyb~10~1.25\pennybeeprol32.exe');
 TerminateProcessByName('c:\progra~3\pennyb~10~1.25\pennybeeprod32.exe');
 TerminateProcessByName('c:\progra~3\pennyb~10~1.25\pennybeepro.exe');
 QuarantineFile('C:\Windows\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys','');
 QuarantineFile('c:\progra~3\pennyb~10~1.25\wpennybeeprod.exe','');
 QuarantineFile('C:\PROGRA~3\PENNYB~10~1.25\pennybeeprol64.exe','');
 QuarantineFile('c:\progra~3\pennyb~10~1.25\pennybeeprol32.exe','');
 QuarantineFile('c:\progra~3\pennyb~10~1.25\pennybeeprod32.exe','');
 QuarantineFile('c:\progra~3\pennyb~10~1.25\pennybeepro.exe','');
 DeleteFile('c:\progra~3\pennyb~10~1.25\pennybeepro.exe','32');
 DeleteFile('c:\progra~3\pennyb~10~1.25\pennybeeprod32.exe','32');
 DeleteFile('c:\progra~3\pennyb~10~1.25\pennybeeprol32.exe','32');
 DeleteFile('C:\PROGRA~3\PENNYB~10~1.25\pennybeeprol64.exe','32');
 DeleteFile('C:\PROGRA~3\PENNYB~10~1.25\pennybeeprol32.dll','32');
 DeleteFile('C:\PROGRA~3\PENNYB~10~1.25\pennybeeproutil32.dll','32');
 DeleteFile('C:\Windows\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys','32');
 DeleteFile('C:\PROGRA~3\PENNYB~10~1.25\wpennybeeprod.exe','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
 DeleteFile('C:\Windows\Tasks\Tempo Runner.job','64');
 DeleteFile('C:\Windows\system32\Tasks\Tempo Runner','64');
 DeleteFileMask('C:\PROGRA~3\PENNYB~1','*',true);
 DeleteDirectory('C:\PROGRA~3\PENNYB~1');

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *