Помогите!Вирусы атакуют....

Zloy · 19.01.2016, 22:52

На иностранном сайте нажал случайно ссылку ...и без всякого подтверждения начали качаться разного рода приложения....несмотря на их систематическое удаление, они по прежнему скачиваются всё в большем количестве и по прежнему без моего ведома

Касперский всё время ругается и удаляет эти файлы(в основном папка TEMP)..но при каждой новой перезагрузке появляются всё новые файлы в папке TEMP и не только.
Помогите пожалуйста

ЛОГИ : для uVS - http://rghost.ru/7LdCtqsJx
для AVZ - http://rghost.ru/8C5g7bnVw

RP55.RP55 · 19.01.2016, 23:13

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код:

     


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delall %SystemDrive%\PROGRAM FILES (X86)\B116E980-1453062006-81E0-20C0-F46D040BED6F\KNSC4794.TMP

delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE
del %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE

delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\TEMP\NSH7597.TMP

delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\TEMP\NSMA320.TMP

delref %SystemDrive%\PROGRAM FILES (X86)\RCP\REGCLEANPRO.EXE
del %SystemDrive%\PROGRAM FILES (X86)\RCP\REGCLEANPRO.EXE

delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
delref %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
del %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHBLDCGBJBLIPEGBECLMCNNDDNOPNHJM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\GMSD_RE_005010212

delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B68CD5F10-4CBC-4F27-88F9-96EB4C0882B9%7D&GP=789119
deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130

delref HTTP://MAIL.RU/CNT/10445?GP=820473
delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\TEMP\PPTASSIST\~15EFC9D\AU_.EXE

delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\TEMP\PPTASSIST\~15F326C\AU_.EXE

delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\TEMP\MAILRUUPDATER.EXE

delref %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
del %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE

deldirex %SystemDrive%\USERS\ДИАНКА\APPDATA\ROAMING\ASPACKAGE

deldirex %SystemDrive%\USERS\ДИАНКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE

delref HTTP:\\WWW.MAIL.RU\CNT\8136
delref %SystemDrive%\PROGRAM FILES (X86)\RCP\UNINS000.EXE
del %SystemDrive%\PROGRAM FILES (X86)\RCP\UNINS000.EXE

regt 28
regt 29
; GamesDesktop 092.005010211
exec  C:\Program Files (x86)\gmsd_re_005010211\gmsd_re_005010211 - uninstall.exe
; GamesDesktop 092.005010212
exec  C:\Program Files (x86)\gmsd_re_005010212\gmsd_re_005010212 - uninstall.exe
;-------------------------------------------------------------

exec32 "C:\Program Files (x86)\RCP\unins000.exe" /silent
delref CHROME://QUICK_START/CONTENT/INDEX.HTML
delall %SystemDrive%\USERS\ГЂВ”ГЂВЁГЂВ°ГЂВЅГЂВЄГЂВ°\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PS5DV1Z4.DEFAULT\SEARCHPLUGINS\MYSITES123.XML
delall %SystemDrive%\USERS\ДИАНКА\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PS5DV1Z4.DEFAULT\EXTENSIONS\DESKCUTV2@GMAIL.COM\INSTALL.RDF
delall %SystemDrive%\USERS\ГЂВ”ГЂВЁГЂВ°ГЂВЅГЂВЄГЂВ°\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PS5DV1Z4.DEFAULT\SEARCHPLUGINS\MAILRU.XML
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA
delall %SystemDrive%\USERS\ДИАНКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE\CONFIGURE.LNK
delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\HOSTINSTALLER\976794950_MONSTER.EXE
delall %SystemDrive%\USERS\ДИАНКА\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
deltmp
delnfr
sreg

delref %Sys32%\DRIVERS\TFSFLTX64.SYS
delref %Sys32%\DRIVERS\TSSKX64.SYS
areg

-------------
Далее ( это уже с утра ) (даже если проблема решена) выполните лог программой Malwarebytes
http://pchelpforum.ru/showpost.php?p=206554&postcount=6

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Отчёт залейте на: http://rghost.ru или http://exfile.ru

Zloy · 20.01.2016, 11:56

Всё сделал как вы сказали

Malwarebytes нашёл нежелательное програмки.
Malwarebytes логи - http://rghost.ru/private/8M6BdZXCB/9...367a3683c6d8e3

RP55.RP55 · 20.01.2016, 12:03

1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

2) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html

Zloy · 20.01.2016, 20:41

Выполнил лог в АdwСleaner - http://rghost.ru/private/6nmrFv4xS/b...64980018b40a6a
А так же лог в Farbar Recovery Scan Tool - http://rghost.ru/private/7CQVvgY4k/6...07faa3be300128 , http://rghost.ru/private/69thJ2HND/9...add33c9163f83e

RP55.RP55 · 20.01.2016, 21:02

Перед выполнением дальнейших действий*
* Если хотите сохранить закладки браузера Хром выполните...
https://support.google.com/chrome/answer/96816?hl=ru

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код:

  

Task: {279FA12B-7EB4-494A-9478-C89ABB99AB79} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {4B4DF829-D080-4C90-A56D-60FEF8524751} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {4BCC3F61-999C-4AD7-8404-2AB9A82E3EFB} - \{9E7C8496-EA97-47DD-82BB-67ACBE0879DC} -> No File <==== ATTENTION
Task: {8EEB105E-1D37-476C-93B4-1A9D43CB43E0} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {A0D17480-35B3-45B3-9334-52EC3D173F2F} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
Task: {F515E22E-B818-4F1D-A387-E143EA7929B9} - \{319CB40F-2E7D-47D1-B925-FE8E85AFD0E1} -> No File <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2879223949-3039753429-152904433-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BC160776E-F11A-4616-906D-73DF2FED4380%7D&gp=820483
SearchScopes: HKU\S-1-5-21-2879223949-3039753429-152904433-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BC160776E-F11A-4616-906D-73DF2FED4380%7D&gp=820483
FF DefaultSearchEngine: @Mail.Ru
FF Homepage: hxxps://mail.ru/cnt/11956636?fr=ffhp&gp=789119
FF Extension: No Name - C:\Users\Дианка\AppData\Roaming\Mozilla\Firefox\Profiles\ps5dv1z4.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: Домашняя страница Mail.Ru - C:\Users\Дианка\AppData\Roaming\Mozilla\Firefox\Profiles\ps5dv1z4.default\Extensions\homepage@mail.ru [2016-01-18]
FF Extension: Поиск@Mail.Ru - C:\Users\Дианка\AppData\Roaming\Mozilla\Firefox\Profiles\ps5dv1z4.default\Extensions\search@mail.ru [2016-01-17]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
OPR Extension: (SuperMegaBest - find best prices) - C:\Users\Дианка\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2016-01-18]
EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.

Zloy · 20.01.2016, 21:27

Держите лог FRST - http://rghost.ru/private/6FMTSqQP5/5...257f6a0ea7025f
Проверю как работает система ...через пару часов отпишусь

RP55.RP55 · 20.01.2016, 21:31

Хорошо.
Далее согласно традиции:
закрываем уязвимости
Программу AVZ можно скачать здесь: https://yadi.sk/d/03dWbs24mHPRH

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

* Если какое обновление не будет устанавливаться - пропустите.
---------

Рекомендации

Часто в комплекте с основной программой идут дополнения.
При установке ВСЕХ программ нужно включать расширенный режим установки.
И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки )
--
В антивирусе включить обнаружение потенциально нежелательных/опасных программ.
--
Перед установкой программы читать о ней отзывы.
--
По возможности проверять программу здесь: https://www.virustotal.com/
* Если позволяет вес программы.

Zloy · 21.01.2016, 22:41

День система работает стабильно без глюков и сбоев

П.с. На компьютере и стояла и стоит программа IP Hider Pro(смена IP адреса),после лечения моего ПК предложеными вами методами эта программа перестала запускаться(сообственно из-за неё на одном из японских сайтов я и подхватил эти проблемы с ПК и его безопасностью).Скажите пожалуйста насколько программы этого характера безопасны и не подскажите почему она перестала запускаться?

RP55.RP55 · 21.01.2016, 23:00

Прежде чем установить программы их нужно проверить здесь: https://www.virustotal.com/
* Если позволяет вес программы.

19.01.2016, 22:52	#1 (ссылка)
Zloy Новичок Регистрация: 24.10.2009 Сообщений: 29 Репутация: 0	Помогите!Вирусы атакуют.... На иностранном сайте нажал случайно ссылку ...и без всякого подтверждения начали качаться разного рода приложения....несмотря на их систематическое удаление, они по прежнему скачиваются всё в большем количестве и по прежнему без моего ведома Касперский всё время ругается и удаляет эти файлы(в основном папка TEMP)..но при каждой новой перезагрузке появляются всё новые файлы в папке TEMP и не только. Помогите пожалуйста ЛОГИ : для uVS - http://rghost.ru/7LdCtqsJx для AVZ - http://rghost.ru/8C5g7bnVw

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирусы атакуют	445566	Безопасность	5	01.01.2016 16:16
Атакуют вирусы! Помогите пожалуйста!	Гном25	Безопасность	6	10.06.2011 17:14
Вирусы атакуют, помогите избавиться!	johnyc	Безопасность	5	28.02.2011 20:49
Вирусы атакуют!	Molli	Безопасность	24	14.10.2010 15:58
Вирусы атакуют!	Zloy	Безопасность	15	31.10.2009 01:03

20.01.2016, 11:56	#3 (ссылка)
Zloy Новичок Регистрация: 24.10.2009 Сообщений: 29 Репутация: 0	Всё сделал как вы сказали Malwarebytes нашёл нежелательное програмки. Malwarebytes логи - http://rghost.ru/private/8M6BdZXCB/9...367a3683c6d8e3

20.01.2016, 12:03	#4 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	1) В Malwarebytes - всё найденное удалите. ( поместите в карантин ) 2) Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru и Yandex снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html

20.01.2016, 20:41	#5 (ссылка)
Zloy Новичок Регистрация: 24.10.2009 Сообщений: 29 Репутация: 0	Выполнил лог в АdwСleaner - http://rghost.ru/private/6nmrFv4xS/b...64980018b40a6a А так же лог в Farbar Recovery Scan Tool - http://rghost.ru/private/7CQVvgY4k/6...07faa3be300128 , http://rghost.ru/private/69thJ2HND/9...add33c9163f83e

20.01.2016, 21:27	#7 (ссылка)
Zloy Новичок Регистрация: 24.10.2009 Сообщений: 29 Репутация: 0	Держите лог FRST - http://rghost.ru/private/6FMTSqQP5/5...257f6a0ea7025f Проверю как работает система ...через пару часов отпишусь

20.01.2016, 21:31	#8 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Хорошо. Далее согласно традиции: закрываем уязвимости Программу AVZ можно скачать здесь: https://yadi.sk/d/03dWbs24mHPRH Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. * Если какое обновление не будет устанавливаться - пропустите. --------- Рекомендации Часто в комплекте с основной программой идут дополнения. При установке ВСЕХ программ нужно включать расширенный режим установки. И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки ) -- В антивирусе включить обнаружение потенциально нежелательных/опасных программ. -- Перед установкой программы читать о ней отзывы. -- По возможности проверять программу здесь: https://www.virustotal.com/ * Если позволяет вес программы.

21.01.2016, 22:41	#9 (ссылка)
Zloy Новичок Регистрация: 24.10.2009 Сообщений: 29 Репутация: 0	День система работает стабильно без глюков и сбоев П.с. На компьютере и стояла и стоит программа IP Hider Pro(смена IP адреса),после лечения моего ПК предложеными вами методами эта программа перестала запускаться(сообственно из-за неё на одном из японских сайтов я и подхватил эти проблемы с ПК и его безопасностью).Скажите пожалуйста насколько программы этого характера безопасны и не подскажите почему она перестала запускаться?

21.01.2016, 23:00	#10 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Прежде чем установить программы их нужно проверить здесь: https://www.virustotal.com/ * Если позволяет вес программы.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads