18.12.2015, 17:23 | #1 (ссылка) |
Специалист
Регистрация: 22.08.2010
Сообщений: 4,007
Репутация: 418
|
вирусяка падла
привет парни, тут такое дело
притащил друг ноут жены, ноут рабочий, она бухгалтер, тут ей все данные нужны но так как жена у него женщина )) дала дочери этот бук та завела гостевую запись и чтот намутила или навирусячила запись удалить не могу, ноут тормозит по страшному если не сложно проверти на вирусню http://rghost.ru/8NhqmFYvf |
19.12.2015, 06:38 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 79132211B9E9317E0AA1AB59FEA01205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B18A639E028C3B5921FCE93F4C7B2AF8 64 Win32/Komodia.A addsgn 1ACC709A5583278FF42B5194F4DA5605DAAF68E4CDFAE05D1DD181BCAFF3DD5E671795DC7A718942EBF5AC140A32597139FBE441872D41A7F5FCE00BCFF1D3F8 8 Win32/ELEX addsgn 1A151E9A55834C720BD4C4A50C085C472562E6E389FAF7BEEEC3C5B3E7261B4ECB9BAA573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/ELEX addsgn 1A3B099A5583338CF42BFB3A8837076DA4C8FC9C88593324C6C32DFFD0D671B3561F2BEA55559DCA16ACD8DC461610A308D78273BDF3302C2D2ECC26C306E29B 8 Win32/Adware.ConvertAd addsgn 1A3AF59A5583338CF42BFB3A883707E934CCFC9C88590BBDC2C32DFED4D671B3561F2B454C559DCA169441D8461610A308D78273BDF2342C2D2ECC26C306E29B 8 Adware.Shopper.859 [DrWeb] addsgn A7679B1928664D070E3CCC8764C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D95292A906C6D411649C9BD9F6307595F4659214E91534407327C 64 Adware.Shopper.859 [DrWeb] addsgn 1A3D729A5583CC8CF42B95BC408A5105D7FFFE044A08F63E82C3C543751A200E239C8EA35ADC90492B8084C6194917A1F63AB523A719E048D242A42FC706AF37 8 Win32/CoinMine zoo %SystemDrive%\USERS\ELENA\APPDATA\ROAMING\PG459\1NPX.EXE addsgn BA6F9BB21DE741A7C6D2AE591435120560BB3CC75BCBD690013EC5BC15E7B17DF1260ABFB6A89D496EB144AE94278012F122E87210EB701DFF466D6744C20A9A 8 btc_miner zoo %SystemDrive%\USERS\ELENA\APPDATA\ROAMING\PG459\C\NI\SHOST.EXE delall %SystemDrive%\PROGRAM FILES (X86)\CRXBRO BROWSER\CRXBRO\BIN\BROWSERSERVER.EXE addsgn 1AF9BD9A5583338CF42B627DA804DEC9E946ABA0028E3B680E8FE1A8DBAA5540A8D648863D93A6B75D88BF67499421F97DDFE7C8708E5A6F2D76D72834A2CB64 8 Win32/ELEX zoo %SystemDrive%\PROGRAMDATA\JWMINIPROJ\WMINIPRO.EXE addsgn 1AB8029A5583338CF42B627DA804DEC9E946303A457922E8C886C5BD22897EFA6733CBDCEE947D412050E29028CCBBF50D04E87D43013B7809731D20C70622F0 8 Win32/ELEX zoo %SystemDrive%\PROGRAM FILES (X86)\PICEXA\DUP.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\WINZIPPER\DUP.EXE ;------------------------autoscript--------------------------- sreg chklst delvir ; SmartWeb exec C:\Users\ELENA\AppData\Local\SmartWeb\__u.exe _?=C:\Users\ELENA\AppData\Local\SmartWeb delref {1F91A9A1-01BA-4C81-863D-3BA0751E1419}\[CLSID] delref {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DSPP&TS=1434611587&FROM=XTAB&UID=50B2C6A06CBB47B3B10F86E0921437B5&Q={SEARCHTERMS} delref %Sys32%\DRIVERS\QRNFD_1_10_0_9.SYS del %Sys32%\DRIVERS\QRNFD_1_10_0_9.SYS delref %Sys32%\DRIVERS\{3E8DF589-8978-47FB-B852-51E65D6286CA}W64.SYS del %Sys32%\DRIVERS\{3E8DF589-8978-47FB-B852-51E65D6286CA}W64.SYS delref %Sys32%\DRIVERS\{6571BA1E-BF60-4C34-B63C-0A34E3F9DFBD}W64.SYS del %Sys32%\DRIVERS\{6571BA1E-BF60-4C34-B63C-0A34E3F9DFBD}W64.SYS delref %Sys32%\DRIVERS\{BE073B13-44CE-4697-9DCC-760851EE3095}GW64.SYS del %Sys32%\DRIVERS\{BE073B13-44CE-4697-9DCC-760851EE3095}GW64.SYS delref %Sys32%\DRIVERS\{C9B41A3A-FFD8-4839-A7F5-4167345D7600}W64.SYS del %Sys32%\DRIVERS\{C9B41A3A-FFD8-4839-A7F5-4167345D7600}W64.SYS delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DSPP&TS=1426792893&FROM=CMI&UID=HITACHIXHTS545050A7E380_TE851749JLESUMJLESUMX&Q={SEARCHTERMS} del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT deldirex %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\ISERVERINFO deldirex %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO deldirex %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\SSERVERINFO del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT regt 28 regt 29 deldirex %SystemDrive%\USERS\ELENA\APPDATA\ROAMING\PG459 deldirex %SystemDrive%\PROGRAM FILES (X86)\PICEXA deldirex %SystemDrive%\PROGRAM FILES (X86)\WINZIPPER deldirex %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\MEDIAGET2 deltmp delnfr areg ;------------------------------------------------------------- ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes |
19.12.2015, 15:08 | #3 (ссылка) |
Специалист
Регистрация: 22.08.2010
Сообщений: 4,007
Репутация: 418
|
safety, сделал скрипт, ноут перестал тормозить, в интернет нормально выходит
проверил малвиком, там жопа что твориться 2325 гадостей http://rghost.ru/private/8VfBWSzKC/1...d2e883e41ab116 пока писал интернет опять посыпался, с предложением установит какойто FLV плеер |
19.12.2015, 15:35 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
да, там ложный антивирус был еще установлен, не стал пока трогать его скриптом.
2.удалите все найденное в малваребайт перегрузите систему далее, 3.сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672 ***** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить далее, 5.сделайте проверку в FRST http://pchelpforum.ru/f26/t24207/2/#post1257991 |
19.12.2015, 16:41 | #5 (ссылка) |
Специалист
Регистрация: 22.08.2010
Сообщений: 4,007
Репутация: 418
|
safety, всё сделал как написано
логи аддд http://rghost.ru/private/8rNpCrBRS/c...4449bc966648b7 фрст http://rghost.ru/private/8PppZ2l5T/0...6ebe50c8fb94b8 |
19.12.2015, 16:59 | #6 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Код:
CHR Extension: (Стартовая — Яндекс) - C:\Users\ELENA\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2015-06-28] CHR Extension: (\) - C:\Users\ELENA\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmjindpbjjflhaojplclpcjfoaepgnhm [2015-10-07] EmptyTemp: Reboot: сделайте новый образ автозапуска, сделаем контрольный выстрел в голову вирусякам, ели они еще останутся. |
19.12.2015, 17:11 | #10 (ссылка) |
Специалист
Регистрация: 22.08.2010
Сообщений: 4,007
Репутация: 418
|
вот перегрузился
http://rghost.ru/private/8yWMhRqWj/5...e421cd943841ce |
19.12.2015, 17:35 | #13 (ссылка) |
Специалист
Регистрация: 22.08.2010
Сообщений: 4,007
Репутация: 418
|
готово
образ http://rghost.ru/7s2rSHfHm |
19.12.2015, 17:40 | #14 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
норм, чисто
7.закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
вирусяка зараза | pofig13 | Безопасность | 34 | 10.12.2015 22:05 |
Вирусяка или нет ? | Artut | Безопасность | 33 | 10.03.2011 15:35 |