19.01.2016, 22:52 | #1 (ссылка) |
Новичок
Регистрация: 24.10.2009
Сообщений: 29
Репутация: 0
|
Помогите!Вирусы атакуют....
На иностранном сайте нажал случайно ссылку ...и без всякого подтверждения начали качаться разного рода приложения....несмотря на их систематическое удаление, они по прежнему скачиваются всё в большем количестве и по прежнему без моего ведома Касперский всё время ругается и удаляет эти файлы(в основном папка TEMP)..но при каждой новой перезагрузке появляются всё новые файлы в папке TEMP и не только.
Помогите пожалуйста ЛОГИ : для uVS - http://rghost.ru/7LdCtqsJx для AVZ - http://rghost.ru/8C5g7bnVw |
19.01.2016, 23:13 | #2 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! На вопросы программы отвечаем: Да ! Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delall %SystemDrive%\PROGRAM FILES (X86)\B116E980-1453062006-81E0-20C0-F46D040BED6F\KNSC4794.TMP delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE del %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\TEMP\NSH7597.TMP delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\TEMP\NSMA320.TMP delref %SystemDrive%\PROGRAM FILES (X86)\RCP\REGCLEANPRO.EXE del %SystemDrive%\PROGRAM FILES (X86)\RCP\REGCLEANPRO.EXE delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/ delref %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL del %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHBLDCGBJBLIPEGBECLMCNNDDNOPNHJM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES (X86)\GMSD_RE_005010212 delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B68CD5F10-4CBC-4F27-88F9-96EB4C0882B9%7D&GP=789119 deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130 delref HTTP://MAIL.RU/CNT/10445?GP=820473 delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\TEMP\PPTASSIST\~15EFC9D\AU_.EXE delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\TEMP\PPTASSIST\~15F326C\AU_.EXE delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\TEMP\MAILRUUPDATER.EXE delref %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE del %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE deldirex %SystemDrive%\USERS\ДИАНКА\APPDATA\ROAMING\ASPACKAGE deldirex %SystemDrive%\USERS\ДИАНКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE delref HTTP:\\WWW.MAIL.RU\CNT\8136 delref %SystemDrive%\PROGRAM FILES (X86)\RCP\UNINS000.EXE del %SystemDrive%\PROGRAM FILES (X86)\RCP\UNINS000.EXE regt 28 regt 29 ; GamesDesktop 092.005010211 exec C:\Program Files (x86)\gmsd_re_005010211\gmsd_re_005010211 - uninstall.exe ; GamesDesktop 092.005010212 exec C:\Program Files (x86)\gmsd_re_005010212\gmsd_re_005010212 - uninstall.exe ;------------------------------------------------------------- exec32 "C:\Program Files (x86)\RCP\unins000.exe" /silent delref CHROME://QUICK_START/CONTENT/INDEX.HTML delall %SystemDrive%\USERS\À”À¨À°À½ÀªÀ°\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PS5DV1Z4.DEFAULT\SEARCHPLUGINS\MYSITES123.XML delall %SystemDrive%\USERS\ДИАНКА\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PS5DV1Z4.DEFAULT\EXTENSIONS\DESKCUTV2@GMAIL.COM\INSTALL.RDF delall %SystemDrive%\USERS\À”À¨À°À½ÀªÀ°\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PS5DV1Z4.DEFAULT\SEARCHPLUGINS\MAILRU.XML delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA delall %SystemDrive%\USERS\ДИАНКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE\CONFIGURE.LNK delall %SystemDrive%\USERS\ДИАНКА\APPDATA\LOCAL\HOSTINSTALLER\976794950_MONSTER.EXE delall %SystemDrive%\USERS\ДИАНКА\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE deltmp delnfr sreg delref %Sys32%\DRIVERS\TFSFLTX64.SYS delref %Sys32%\DRIVERS\TSSKX64.SYS areg Далее ( это уже с утра ) (даже если проблема решена) выполните лог программой Malwarebytes http://pchelpforum.ru/showpost.php?p=206554&postcount=6 Выберите вариант сканирования: Быстрое или Полное сканирование. Отчет предоставить для анализа ( в своей теме на форуме ). Отчёт нужно предоставить в .txt ( блокнот ) Отчёт залейте на: http://rghost.ru или http://exfile.ru |
20.01.2016, 11:56 | #3 (ссылка) |
Новичок
Регистрация: 24.10.2009
Сообщений: 29
Репутация: 0
|
Всё сделал как вы сказали Malwarebytes нашёл нежелательное програмки.
Malwarebytes логи - http://rghost.ru/private/8M6BdZXCB/9...367a3683c6d8e3 |
20.01.2016, 12:03 | #4 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) В Malwarebytes - всё найденное удалите.
( поместите в карантин ) 2) Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru и Yandex снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html |
20.01.2016, 20:41 | #5 (ссылка) |
Новичок
Регистрация: 24.10.2009
Сообщений: 29
Репутация: 0
|
Выполнил лог в АdwСleaner - http://rghost.ru/private/6nmrFv4xS/b...64980018b40a6a
А так же лог в Farbar Recovery Scan Tool - http://rghost.ru/private/7CQVvgY4k/6...07faa3be300128 , http://rghost.ru/private/69thJ2HND/9...add33c9163f83e |
20.01.2016, 21:02 | #6 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Перед выполнением дальнейших действий*
* Если хотите сохранить закладки браузера Хром выполните... https://support.google.com/chrome/answer/96816?hl=ru Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: ... Запустите FRST и нажмите один раз на кнопку Fix и подождите. Код:
Task: {279FA12B-7EB4-494A-9478-C89ABB99AB79} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION Task: {4B4DF829-D080-4C90-A56D-60FEF8524751} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION Task: {4BCC3F61-999C-4AD7-8404-2AB9A82E3EFB} - \{9E7C8496-EA97-47DD-82BB-67ACBE0879DC} -> No File <==== ATTENTION Task: {8EEB105E-1D37-476C-93B4-1A9D43CB43E0} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION Task: {A0D17480-35B3-45B3-9334-52EC3D173F2F} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION Task: {F515E22E-B818-4F1D-A387-E143EA7929B9} - \{319CB40F-2E7D-47D1-B925-FE8E85AFD0E1} -> No File <==== ATTENTION SearchScopes: HKU\S-1-5-21-2879223949-3039753429-152904433-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BC160776E-F11A-4616-906D-73DF2FED4380%7D&gp=820483 SearchScopes: HKU\S-1-5-21-2879223949-3039753429-152904433-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BC160776E-F11A-4616-906D-73DF2FED4380%7D&gp=820483 FF DefaultSearchEngine: @Mail.Ru FF Homepage: hxxps://mail.ru/cnt/11956636?fr=ffhp&gp=789119 FF Extension: No Name - C:\Users\Дианка\AppData\Roaming\Mozilla\Firefox\Profiles\ps5dv1z4.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found] FF Extension: Домашняя страница Mail.Ru - C:\Users\Дианка\AppData\Roaming\Mozilla\Firefox\Profiles\ps5dv1z4.default\Extensions\homepage@mail.ru [2016-01-18] FF Extension: Поиск@Mail.Ru - C:\Users\Дианка\AppData\Roaming\Mozilla\Firefox\Profiles\ps5dv1z4.default\Extensions\search@mail.ru [2016-01-17] CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka OPR Extension: (SuperMegaBest - find best prices) - C:\Users\Дианка\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2016-01-18] EmptyTemp: Reboot: Проверяем, как работает система... и Пишем по _общему результату лечения. |
20.01.2016, 21:27 | #7 (ссылка) |
Новичок
Регистрация: 24.10.2009
Сообщений: 29
Репутация: 0
|
Держите лог FRST - http://rghost.ru/private/6FMTSqQP5/5...257f6a0ea7025f
Проверю как работает система ...через пару часов отпишусь |
20.01.2016, 21:31 | #8 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Хорошо.
Далее согласно традиции: закрываем уязвимости Программу AVZ можно скачать здесь: https://yadi.sk/d/03dWbs24mHPRH Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. * Если какое обновление не будет устанавливаться - пропустите. --------- Рекомендации Часто в комплекте с основной программой идут дополнения. При установке ВСЕХ программ нужно включать расширенный режим установки. И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки ) -- В антивирусе включить обнаружение потенциально нежелательных/опасных программ. -- Перед установкой программы читать о ней отзывы. -- По возможности проверять программу здесь: https://www.virustotal.com/ * Если позволяет вес программы. |
Ads | |
21.01.2016, 22:41 | #9 (ссылка) |
Новичок
Регистрация: 24.10.2009
Сообщений: 29
Репутация: 0
|
День система работает стабильно без глюков и сбоев
П.с. На компьютере и стояла и стоит программа IP Hider Pro(смена IP адреса),после лечения моего ПК предложеными вами методами эта программа перестала запускаться(сообственно из-за неё на одном из японских сайтов я и подхватил эти проблемы с ПК и его безопасностью).Скажите пожалуйста насколько программы этого характера безопасны и не подскажите почему она перестала запускаться? |
21.01.2016, 23:00 | #10 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Прежде чем установить программы их нужно проверить здесь: https://www.virustotal.com/
* Если позволяет вес программы. |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вирусы атакуют | 445566 | Безопасность | 5 | 01.01.2016 16:16 |
Атакуют вирусы! Помогите пожалуйста! | Гном25 | Безопасность | 6 | 10.06.2011 17:14 |
Вирусы атакуют, помогите избавиться! | johnyc | Безопасность | 5 | 28.02.2011 20:49 |
Вирусы атакуют! | Molli | Безопасность | 24 | 14.10.2010 15:58 |
Вирусы атакуют! | Zloy | Безопасность | 15 | 31.10.2009 01:03 |