02.06.2015, 13:13 | #1 (ссылка) |
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
Не могу удалить вирусные программы с китайскими иероглифами(2)
Не могу удалить вирусные программы с китайскими иероглифами -http://rghost.ru/79RVBHkNR
продолжение от: http://pchelpforum.ru/f26/t147253/ |
02.06.2015, 13:22 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
по 2ПК:
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.22 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delref IHVVCFCW.UVZ delall %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT delall %SystemDrive%\USERS\ARTEM.PIRAMIDA\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref %SystemDrive%\PROGRAM FILES\QIP 2010\QIP.EXE deldirex %SystemDrive%\USERS\ARTEM\APPDATA\LOCAL\MEDIAGET2 delref HTTP://WWW.APEHA.RU delref HTTP://SEARCH.SPLASHTOP.COM/ASUSEXPRESSGATE/MB/SEARCHAPI.PHP?SE=YANDEX&QS=HTTP%3A%2F%2FYANDEX.RU%2FYANDSEARCH%3FCLID%3D49593 delref HTTP://SEARCH.QIP.RU del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.URL deldir %SystemDrive%\USERS\ARTEM\APPDATA\LOCAL\MEDIAGET2 regt 28 regt 29 ; DLSecure Toolbar exec C:\Program Files\dlsecuretb\uninstall.exe ; OpenAL exec C:\Program Files\OpenAL\oalinst.exe" /U ; Ticno Tabs exec C:\Program Files\Ticno\Tabs\Uninstall.exe ; Java(TM) 6 Update 31 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet ; BabylonObjectInstaller exec MsiExec.exe /I{83AA2913-C123-4146-85BD-AD8F93971D39} /quiet deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
02.06.2015, 18:57 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
2.удалите все найденное в малваребайт
перегрузите систему далее, 3.сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672 ***** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить далее, 5.сделайте проверку в FRST http://pchelpforum.ru/f26/t24207/2/#post1257991 |
03.06.2015, 09:58 | #6 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
да, эти файлы не надо удалять.
Цитата:
|
|
03.06.2015, 11:38 | #7 (ссылка) |
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
До удаления файлов как подключил телефон к ПК опять вышла вся зараза(рис.1)!
+вылезла резко опера(хотя я ее не устанавливал). По переходу расположения программы Opera(C:\VTRoot\HarddiskVolume2\Program Files), нашел еще часть заразы Дальнейший поиск по папкам выявил само тело зловредной программы: и ее хвосты: |
03.06.2015, 16:06 | #8 (ссылка) |
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
Отчет FRST: Addition(03.06.15) - http://rghost.ru/private/88HCBwDqH/6...d147b41b5d055e
FRST- http://rghost.ru/private/8Gw4hSrrY/8...69aa788d541abc |
Ads | |
03.06.2015, 22:07 | #10 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
ну, похоже по логу frst - повторное заражение китайцами. (или просто это папки с неактивными файлами)
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Код:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll [2015-05-18] (Thinknice Co. Limited) BHO: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files\XTab\SupTab.dll [2015-05-18] (Thinknice Co. Limited) BHO: BlockAndSurf -> {A8E9F648-8ED0-B45E-B16D-223488A4AAB5} -> C:\Program Files\version41BlockAndSurf\192.dll [2015-05-06] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1430918247&from=face&uid=3219913727_132775_D244303B FF Extension: Screeny - C:\Users\artem.PIRAMIDA\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{17238372-3743-33ab-8a9f-93722af74c79} [2013-12-12] FF Extension: CinemaPlus-4.5vV25.05 - C:\Users\artem.PIRAMIDA\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\DXYYH4339170@JXVPYKS65865478.com [2015-05-25] FF Extension: Info Enhancer for Firefox - C:\Users\artem.PIRAMIDA\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil@infoenhancer.com.xpi [2013-12-12] FF Extension: QipCounter - C:\Users\artem.PIRAMIDA\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\QipCounter@qip.ru.xpi [2013-04-18] FF HKU\S-1-5-21-1652810502-574838481-2083764638-1161\...\Firefox\Extensions: [{452354B2-40AC-15F8-64D0-CEA07227C8CA}] - C:\Program Files\version41BlockAndSurf\192.xpi FF Extension: No Name - C:\Program Files\version41BlockAndSurf\192.xpi [2015-05-06] FF Extension: UpToLike - все в одной кнопке - C:\Users\artem.PIRAMIDA\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-9BFgAD0myB3P5A@jetpack [2014-04-18] CHR Extension: (MusicSig vkontakte) - C:\Users\artem.PIRAMIDA\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2013-08-13] CHR Extension: (Adobe Flash Player) - C:\Users\artem.PIRAMIDA\AppData\Local\Google\Chrome\User Data\Default\Extensions\lomnoakmkbnceknadikncppomoalbiel [2013-12-12] CHR Extension: (CinemaPlus-4.5vV25.05) - C:\Users\artem.PIRAMIDA\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-05-25] CHR Extension: (BlockAndSurf) - C:\Users\artem.PIRAMIDA\AppData\Local\Google\Chrome\User Data\Default\Extensions\caljebcifamfolnccibcggaaeooigkcn [2015-05-06] CHR Extension: (电脑管家上网防护) - C:\Users\artem.PIRAMIDA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ooebklgpfnbcnpokahmdidgbmlcdepkm [2015-05-06] CHR HKLM\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - https://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - https://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - C:\Program Files\Download Master\dm_chrome.crx [2011-10-13] CHR HKLM\...\Chrome\Extension: [lomnoakmkbnceknadikncppomoalbiel] - C:\Program Files\Adobe Flash Player 10.0\adobeflashplayer-kt.crx [2013-12-12] StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.oursurfing.com/?type=sc&ts=1432563074&z=784e86b52ed9b21a286b60dg6z0cao5wfq7c1e4m2c&from=cmi&uid=3219913727_132775_D244303B R2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QQPCRtp.exe [297608 2015-05-06] (Tencent) U1 QMIEProtect; C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMIEProtect.sys [49080 2015-05-06] () S1 TsDefenseBt; C:\Windows\System32\DRIVERS\TSDEFENSEBT.SYS [14008 2015-05-06] (Tencent) S0 TsFltMgr; C:\Windows\System32\DRIVERS\TSFLTMGR.SYS [128120 2015-05-06] (电脑管家) S1 TSKSP; C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSKsp.sys [204312 2015-05-06] (电脑管家) U1 TSSysKit; C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSSysKit.sys [101560 2015-05-06] (电脑管家) EmptyTemp: Reboot: добавьте новый образ автозапуска. |
04.06.2015, 09:42 | #11 (ссылка) |
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
Образ до fix-а: http://rghost.ru/8tFShBnRr
-------------------------------------------------------------- После фикса fixlog- http://rghost.ru/private/6KWXZyVBT/f...d1d0f2ec73ce72 +новый образ автозапуска- http://rghost.ru/8cHLg464K Последний раз редактировалось lohudra; 04.06.2015 в 10:10. |
04.06.2015, 10:39 | #15 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
по новому образу все нормально. если остались ярлыки ненужных программ, удалите их вручную,
+ 7.закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. выполните рекомендации: |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Не могу удалить вирусные программы с китайскими иероглифами(1) | lohudra | Безопасность | 13 | 04.06.2015 12:11 |
Комп тупит, появились какие-то антивирусы с китайскими иероглифами | Dragonfly80 | Безопасность | 10 | 31.03.2015 11:38 |
Не могу удалить вирусные программы с китайскими иероглифами | Reiven | Безопасность | 18 | 18.02.2015 21:12 |
Не могу удалить установочный файл программы! | The Dark Underteker | Windows 7 | 3 | 09.03.2013 23:25 |
не могу удалить программы | vampair | Windows XP | 8 | 22.12.2008 02:31 |