 |
|
|
02.06.2015, 13:13
|
#1 (ссылка) |
|
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
Не могу удалить вирусные программы с китайскими иероглифами(2)
Не могу удалить вирусные программы с китайскими иероглифами -http://rghost.ru/79RVBHkNR
продолжение от: http://pchelpforum.ru/f26/t147253/ |
|
|
02.06.2015, 13:22
|
#2 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
по 2ПК:
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.22 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref IHVVCFCW.UVZ
delall %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT
delall %SystemDrive%\USERS\ARTEM.PIRAMIDA\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
;------------------------autoscript---------------------------
chklst
delvir
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\QIP 2010\QIP.EXE
deldirex %SystemDrive%\USERS\ARTEM\APPDATA\LOCAL\MEDIAGET2
delref HTTP://WWW.APEHA.RU
delref HTTP://SEARCH.SPLASHTOP.COM/ASUSEXPRESSGATE/MB/SEARCHAPI.PHP?SE=YANDEX&QS=HTTP%3A%2F%2FYANDEX.RU%2FYANDSEARCH%3FCLID%3D49593
delref HTTP://SEARCH.QIP.RU
del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.URL
deldir %SystemDrive%\USERS\ARTEM\APPDATA\LOCAL\MEDIAGET2
regt 28
regt 29
; DLSecure Toolbar
exec C:\Program Files\dlsecuretb\uninstall.exe
; OpenAL
exec C:\Program Files\OpenAL\oalinst.exe" /U
; Ticno Tabs
exec C:\Program Files\Ticno\Tabs\Uninstall.exe
; Java(TM) 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
; BabylonObjectInstaller
exec MsiExec.exe /I{83AA2913-C123-4146-85BD-AD8F93971D39} /quiet
deltmp
delnfr
;-------------------------------------------------------------
restart
---------- далее, выполните сканирование (угроз) в Malwarebytes |
|
|
|
02.06.2015, 18:57
|
#4 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
2.удалите все найденное в малваребайт
перегрузите систему далее, 3.сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672 ***** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить далее, 5.сделайте проверку в FRST http://pchelpforum.ru/f26/t24207/2/#post1257991 |
|
|
|
03.06.2015, 09:58
|
#6 (ссылка) | |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
да, эти файлы не надо удалять.
Цитата:
|
|
|
|
|
03.06.2015, 11:38
|
#7 (ссылка) |
|
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
До удаления файлов как подключил телефон к ПК опять вышла вся зараза(рис.1)!
 +вылезла резко опера(хотя я ее не устанавливал). По переходу расположения программы Opera(C:\VTRoot\HarddiskVolume2\Program Files), нашел еще часть заразы  Дальнейший поиск по папкам выявил само тело зловредной программы:  и ее хвосты:       
|
|
|
|
03.06.2015, 16:06
|
#8 (ссылка) |
|
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
Отчет FRST: Addition(03.06.15) - http://rghost.ru/private/88HCBwDqH/6...d147b41b5d055e
FRST- http://rghost.ru/private/8Gw4hSrrY/8...69aa788d541abc |
|
|
| Ads | |
|
03.06.2015, 22:07
|
#10 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
ну, похоже по логу frst - повторное заражение китайцами. (или просто это папки с неактивными файлами)
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Код:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll [2015-05-18] (Thinknice Co. Limited)
BHO: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files\XTab\SupTab.dll [2015-05-18] (Thinknice Co. Limited)
BHO: BlockAndSurf -> {A8E9F648-8ED0-B45E-B16D-223488A4AAB5} -> C:\Program Files\version41BlockAndSurf\192.dll [2015-05-06] ()
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1430918247&from=face&uid=3219913727_132775_D244303B
FF Extension: Screeny - C:\Users\artem.PIRAMIDA\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{17238372-3743-33ab-8a9f-93722af74c79} [2013-12-12]
FF Extension: CinemaPlus-4.5vV25.05 - C:\Users\artem.PIRAMIDA\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\DXYYH4339170@JXVPYKS65865478.com [2015-05-25]
FF Extension: Info Enhancer for Firefox - C:\Users\artem.PIRAMIDA\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil@infoenhancer.com.xpi [2013-12-12]
FF Extension: QipCounter - C:\Users\artem.PIRAMIDA\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\QipCounter@qip.ru.xpi [2013-04-18]
FF HKU\S-1-5-21-1652810502-574838481-2083764638-1161\...\Firefox\Extensions: [{452354B2-40AC-15F8-64D0-CEA07227C8CA}] - C:\Program Files\version41BlockAndSurf\192.xpi
FF Extension: No Name - C:\Program Files\version41BlockAndSurf\192.xpi [2015-05-06]
FF Extension: UpToLike - все в одной кнопке - C:\Users\artem.PIRAMIDA\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-9BFgAD0myB3P5A@jetpack [2014-04-18]
CHR Extension: (MusicSig vkontakte) - C:\Users\artem.PIRAMIDA\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2013-08-13]
CHR Extension: (Adobe Flash Player) - C:\Users\artem.PIRAMIDA\AppData\Local\Google\Chrome\User Data\Default\Extensions\lomnoakmkbnceknadikncppomoalbiel [2013-12-12]
CHR Extension: (CinemaPlus-4.5vV25.05) - C:\Users\artem.PIRAMIDA\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-05-25]
CHR Extension: (BlockAndSurf) - C:\Users\artem.PIRAMIDA\AppData\Local\Google\Chrome\User Data\Default\Extensions\caljebcifamfolnccibcggaaeooigkcn [2015-05-06]
CHR Extension: (电脑管家上网防护) - C:\Users\artem.PIRAMIDA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ooebklgpfnbcnpokahmdidgbmlcdepkm [2015-05-06]
CHR HKLM\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - C:\Program Files\Download Master\dm_chrome.crx [2011-10-13]
CHR HKLM\...\Chrome\Extension: [lomnoakmkbnceknadikncppomoalbiel] - C:\Program Files\Adobe Flash Player 10.0\adobeflashplayer-kt.crx [2013-12-12]
StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.oursurfing.com/?type=sc&ts=1432563074&z=784e86b52ed9b21a286b60dg6z0cao5wfq7c1e4m2c&from=cmi&uid=3219913727_132775_D244303B
R2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QQPCRtp.exe [297608 2015-05-06] (Tencent)
U1 QMIEProtect; C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMIEProtect.sys [49080 2015-05-06] ()
S1 TsDefenseBt; C:\Windows\System32\DRIVERS\TSDEFENSEBT.SYS [14008 2015-05-06] (Tencent)
S0 TsFltMgr; C:\Windows\System32\DRIVERS\TSFLTMGR.SYS [128120 2015-05-06] (电脑管家)
S1 TSKSP; C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSKsp.sys [204312 2015-05-06] (电脑管家)
U1 TSSysKit; C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSSysKit.sys [101560 2015-05-06] (电脑管家)
EmptyTemp:
Reboot:
добавьте новый образ автозапуска. |
|
|
|
04.06.2015, 09:42
|
#11 (ссылка) | |
|
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
Цитата:
 -------------------------------------------------------------- После фикса fixlog- http://rghost.ru/private/6KWXZyVBT/f...d1d0f2ec73ce72 +новый образ автозапуска- http://rghost.ru/8cHLg464K Последний раз редактировалось lohudra; 04.06.2015 в 10:10. |
|
|
|
|
04.06.2015, 10:17
|
#13 (ссылка) | |
|
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
Цитата:
Или вы имеете что-то другое? 
|
|
|
|
|
04.06.2015, 10:39
|
#15 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
по новому образу все нормально. если остались ярлыки ненужных программ, удалите их вручную,
+ 7.закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. выполните рекомендации: |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Не могу удалить вирусные программы с китайскими иероглифами(1) | lohudra | Безопасность | 13 | 04.06.2015 12:11 |
| Комп тупит, появились какие-то антивирусы с китайскими иероглифами | Dragonfly80 | Безопасность | 10 | 31.03.2015 11:38 |
| Не могу удалить вирусные программы с китайскими иероглифами | Reiven | Безопасность | 18 | 18.02.2015 21:12 |
| Не могу удалить установочный файл программы! | The Dark Underteker | Windows 7 | 3 | 09.03.2013 23:25 |
| не могу удалить программы | vampair | Windows XP | 8 | 22.12.2008 02:31 |
