Не могу удалить вирусные программы с китайскими иероглифами

Reiven · 18.02.2015, 13:17

Помогите, не могу удалить вирусные программы с китайскими иероглифами. Через установку и удаление программ пробовала.

safety · 18.02.2015, 13:33

добавьте образ автозапуска
http://pchelpforum.ru/showpost.php?p=293738&postcount=2

safety · 18.02.2015, 15:01

залейте на http://rghost.ru

Reiven · 18.02.2015, 15:28

Вот образ автозапуска

http://zalil-slil.rusfolder.net/files/43013225

RP55.RP55 · 18.02.2015, 16:15

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код:

     


;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
bl 2050CCC6A228796785D49000DFED9008 574
delall %SystemDrive%\USERS\САШКА\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
delref HTTP://1KNL.ORG/?SRC=HP3&SUBID1=JAN
delref HTTP://WWW.IQIYI.COM/?SRC=CLIENTICON
bl 3176C90530328A6962A761B34A998CB9 258
delall %SystemRoot%\SETUP\SCRIPTS\OOBE.CMD
bl 0CF0AAA1A9FB697A0F48A9523B758628 369664
delall %SystemDrive%\USERS\САШКА\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE
sreg

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\NPQMEXTENSIONSIE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QMCONTEXTSCAN.DLL
bl 757D320CED91219BE8ABE68D6B4C8CBB 84320
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\NPQMEXTENSIONSMOZILLA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QMCONTEXTUNINSTALL64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QMUDISK64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QQPCTRAY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\TAOFRAME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\TS888X64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\TSDEFENSEBT64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\TSWEBMON64.DAT
delref %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
delref %Sys32%\DRIVERS\TAOKERNEL64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QQSYSMONX64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\TSCPM64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\TSSYSKIT64.SYS
delref %Sys32%\DRIVERS\TFSFLTX64.SYS
delref D:\IQIYI VIDEO\LSTYLE\MOBPROTECT.EXE
bl A1E5AF7BE89CE68F3FB2D310B50431AE 361064
delall D:\IQIYI VIDEO\LSTYLE\NPWEBPLAYER.DLL
delref D:\IQIYI VIDEO\LSTYLE\QYCLIENT.EXE
delref D:\IQIYI VIDEO\LSTYLE\QYPLUGIN.DLL
delref D:\IQIYI VIDEO\LSTYLE\QYPLUGIN64.DLL
deldirex D:\IQIYI VIDEO\COMMON
deldirex D:\IQIYI VIDEO\LSTYLE
areg

После выполнения скрипта сделайте новый образ автозапуска в uVS

KINGSOFT Антивирус сами ставили ?

Reiven · 18.02.2015, 17:14

Вирусы остались на месте. Вот образ:

http://zalil-slil.rusfolder.net/files/43014780

А этот антивирус я не устанавливала, так что он тоже вирусный ))

safety · 18.02.2015, 17:21

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

sreg

delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\KXESCORE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\TAOFRAME.EXE
delref %Sys32%\DRIVERS\KAVBOOTC64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\SECURITY\KXESCAN\KDHACKER64.SYS
delref %Sys32%\DRIVERS\KISKNL.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\SECURITY\KSNETM\KISNETM64.SYS
delref %Sys32%\DRIVERS\KSAPI64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QMUDISK64.SYS
delref %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\TS888X64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\TSDEFENSEBT64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QQSYSMONX64.SYS
delref %Sys32%\DRIVERS\TFSFLTX64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\TSCPM64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\TSSYSKIT64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\KXETRAY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QQPCTRAY.EXE
areg

перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска

safety · 18.02.2015, 17:22

+
просьба: вот куда мы просим, туда и заливайте файл.

Цитата:

залейте на http://rghost.ru

Reiven · 18.02.2015, 18:18

Все по-старому: иероглифы на месте. Кстати, про деинсталляцию запроса не было. Новый образ:

http://rghost.ru/8DFfwc8qR

safety · 18.02.2015, 18:28

да, но уже гораздо лучше

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

sreg

delref %Sys32%\DRIVERS\TAOKERNEL64.SYS
del %Sys32%\DRIVERS\TAOKERNEL64.SYS
deldirex %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\DLCORE.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\EXTRACT.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217
delall %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT
delall %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW\TSVULFWX64.DAT
delall %Sys32%\DRIVERS\TFSFLTX64.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
----------
+
новый образ автозапуска для контроля нужен.

Reiven · 18.02.2015, 19:02

Пока китайцы на месте.

http://rghost.ru/7ZDN8sm66

safety · 18.02.2015, 19:14

да, вопрос только на каком месте? я полагаю уже на кладбище для ложных антивирусов.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\PROGRAM FILES (X86)\APPLICATION ASSISTANCE\APPHELPER.EXE
delref HTTP://WWW.DUBA.COM/?F=DUBA_LOCK&V=2015.05
delall D:\IQIYI VIDEO\COMMON\HCDNCLIENT.EXE
deltmp
delnfr
uidel  "C:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\Uninst.exe"
exec C:\Users\Сашка\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

Reiven · 18.02.2015, 20:09

Китайцы еще живы

Вот лог:

http://rghost.ru/private/8cgfvK62Z/1...6f89e725202826

safety · 18.02.2015, 20:13

удалите найденное в мбам,

покажите, где вы их находите. можно на скриншоте

safety · 18.02.2015, 20:23

+
такой еще скрипт выполните

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

exec32 "C:\ProgramData\Package Cache\{96a2ade7-fc4e-42d1-aaff-4bcef930239e}\Setup.exe"  /uninstall
exec C:\Users\Сашка\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
exec32 "C:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\Uninst.exe"
exec32 D:\IQIYI Video\Common\QyUninstaller.exe
delall %SystemDrive%\PROGRAM FILES (X86)\JADS\JADS\INJECTOR.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\JADS\JADS\INJECTORSERVICEPROJECT.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\JADS\JADS\VERSIONUPDATERSERVICE.EXE
deldirex %SystemDrive%\PROGRAM FILES (X86)\JADS\JADS
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------

18.02.2015, 13:17	#1 (ссылка)
Reiven Новичок Регистрация: 25.07.2011 Сообщений: 25 Репутация: 0	Не могу удалить вирусные программы с китайскими иероглифами Помогите, не могу удалить вирусные программы с китайскими иероглифами. Через установку и удаление программ пробовала.

18.02.2015, 18:28	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	да, но уже гораздо лучше выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE sreg delref %Sys32%\DRIVERS\TAOKERNEL64.SYS del %Sys32%\DRIVERS\TAOKERNEL64.SYS deldirex %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\DLCORE.DLL delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\EXTRACT.DLL delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217 delall %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT delall %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW\TSVULFWX64.DAT delall %Sys32%\DRIVERS\TFSFLTX64.SYS areg перезагрузка, пишем о старых и новых проблемах. ---------- + новый образ автозапуска для контроля нужен.

18.02.2015, 19:14	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	да, вопрос только на каком месте? я полагаю уже на кладбище для ложных антивирусов. выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\PROGRAM FILES (X86)\APPLICATION ASSISTANCE\APPHELPER.EXE delref HTTP://WWW.DUBA.COM/?F=DUBA_LOCK&V=2015.05 delall D:\IQIYI VIDEO\COMMON\HCDNCLIENT.EXE deltmp delnfr uidel "C:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\Uninst.exe" exec C:\Users\Сашка\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes

18.02.2015, 20:23	#15 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	+ такой еще скрипт выполните выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE exec32 "C:\ProgramData\Package Cache\{96a2ade7-fc4e-42d1-aaff-4bcef930239e}\Setup.exe" /uninstall exec C:\Users\Сашка\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser exec32 "C:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\Uninst.exe" exec32 D:\IQIYI Video\Common\QyUninstaller.exe delall %SystemDrive%\PROGRAM FILES (X86)\JADS\JADS\INJECTOR.EXE delall %SystemDrive%\PROGRAM FILES (X86)\JADS\JADS\INJECTORSERVICEPROJECT.EXE delall %SystemDrive%\PROGRAM FILES (X86)\JADS\JADS\VERSIONUPDATERSERVICE.EXE deldirex %SystemDrive%\PROGRAM FILES (X86)\JADS\JADS deltmp delnfr restart перезагрузка, пишем о старых и новых проблемах. ----------

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
вирусные рекламы в браузерах	PsyX	Безопасность	6	21.01.2014 17:09
ВИРУСНЫЕ !? непонятные файлы только из цифр. ехе	bgarri	Windows 7	2	21.08.2013 18:08
Не могу удалить установочный файл программы!	The Dark Underteker	Windows 7	3	09.03.2013 23:25
Не могу удалить удалить вирус Trojan.Win32.Ddox.ci	hexx	Безопасность	2	24.06.2011 17:46
не могу удалить программы	vampair	Windows XP	8	22.12.2008 02:31

18.02.2015, 13:33	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	добавьте образ автозапуска http://pchelpforum.ru/showpost.php?p=293738&postcount=2

18.02.2015, 15:01	#3 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	залейте на http://rghost.ru

18.02.2015, 15:28	#4 (ссылка)
Reiven Новичок Регистрация: 25.07.2011 Сообщений: 25 Репутация: 0	Вот образ автозапуска http://zalil-slil.rusfolder.net/files/43013225

18.02.2015, 17:14	#6 (ссылка)
Reiven Новичок Регистрация: 25.07.2011 Сообщений: 25 Репутация: 0	Вирусы остались на месте. Вот образ: http://zalil-slil.rusfolder.net/files/43014780 А этот антивирус я не устанавливала, так что он тоже вирусный ))

18.02.2015, 18:18	#9 (ссылка)
Reiven Новичок Регистрация: 25.07.2011 Сообщений: 25 Репутация: 0	Все по-старому: иероглифы на месте. Кстати, про деинсталляцию запроса не было. Новый образ: http://rghost.ru/8DFfwc8qR

18.02.2015, 19:02	#11 (ссылка)
Reiven Новичок Регистрация: 25.07.2011 Сообщений: 25 Репутация: 0	Пока китайцы на месте. http://rghost.ru/7ZDN8sm66

18.02.2015, 20:09	#13 (ссылка)
Reiven Новичок Регистрация: 25.07.2011 Сообщений: 25 Репутация: 0	Китайцы еще живы Вот лог: http://rghost.ru/private/8cgfvK62Z/1...6f89e725202826

18.02.2015, 20:13	#14 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	удалите найденное в мбам, покажите, где вы их находите. можно на скриншоте

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads