10.02.2016, 13:16 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
вирусни много, но вначале надо вычистить китайского "защитника"
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE sreg delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQPCRTP.EXE delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQPCHELPER.SYS delref %Sys32%\DRIVERS\QUTMIPC.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QMIEPROTECT.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QMUDISK.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQSYSMON.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\SOFTAAL.SYS delref %Sys32%\DRIVERS\TAOACCELERATOR.SYS delref %Sys32%\DRIVERS\TAOKERNELXP.SYS delref %Sys32%\DRIVERS\TFSFLT.SYS delref %Sys32%\DRIVERS\TSFLTMGR.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\TSKSP.SYS delref %Sys32%\TSSK.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\TSSYSKIT.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQPCTRAY.EXE delref HTTP://WWW.YEABESTS.CC/ areg ---------- + добавьте новый образ автозапуска |
10.02.2016, 14:27 | #3 (ссылка) |
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
uvs_latest - http://rghost.ru/6zKmY87sm
|
10.02.2016, 14:36 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS из файла
файл скрипта скачайте отсюда: http://rghost.ru/private/72lQ46XFq/9...1308214870f4dc - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из файла; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" ждем завершения выполнения работы скрипта перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните сканирование (угроз) в Malwarebytes |
10.02.2016, 16:01 | #5 (ссылка) |
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
mwbt - http://exfile.ru/479714
|
10.02.2016, 17:11 | #7 (ссылка) |
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
Остались: - пустой ярлык в панели быстрого запуска от Yandex-браузера,
- в пуске пустой ярлык от программы - на раб. столе - пустой ярлык Yeabeats Browser - при запуске Yandex-браузера открывается доп. вкладка со страницей http://www.yeabests.cc/ - в C:\Documents and Settings\All Users\Application Data - папки: ZWdMZ, XWdMX, WWdMW, Tencent, QWdMQ, OWdMO, MWdMM, IObit, HWdMH, eWdMe, 2WdM2 - C:\Documents and Settings\Albert\Application Data - папка: Tencent - в C:\Program Files - папка: Tencent - в C:\Program Files\Common Files - папки: Tencent, IObit |
10.02.2016, 17:14 | #8 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
далее,
3.сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672 ***** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить далее, 5.сделайте проверку в FRST http://pchelpforum.ru/f26/t24207/2/#post1257991 |
Ads | |
10.02.2016, 17:30 | #9 (ссылка) |
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
adw_cleaner - http://exfile.ru/479717
addition - http://exfile.ru/479716 frst - http://exfile.ru/479718 |
10.02.2016, 17:37 | #10 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить если это сделали, то надо добавить второй лог после завершения очистки. |
10.02.2016, 17:56 | #11 (ссылка) |
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
adw_cleaner - http://exfile.ru/479720
+осталось: - пустой ярлык в панели быстрого запуска от Yandex-браузера, - в пуске пустой ярлык от программы - на раб. столе - пустой ярлык Yeabeats Browser - при запуске Yandex-браузера, запуск происходит со стартовой страницы - http://www.yeabests.cc/ - в C:\Documents and Settings\All Users\Application Data - папки: IObit - в C:\Program Files\Common Files - папки: IObit Последний раз редактировалось lohudra; 10.02.2016 в 18:01. |
10.02.2016, 18:12 | #12 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
1. проверьте этот файл на http://virustotal.com
C:\WINDOWS\SYSTEM32\DNSAPI.DLL 2. сделайте новую проверку в FRST http://pchelpforum.ru/f26/t24207/2/#post1257991 |
10.02.2016, 18:24 | #13 (ссылка) |
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
VirusTotal - https://www.virustotal.com/ru/file/a...is/1455113986/
Addidtion - http://exfile.ru/479722 FRST - http://exfile.ru/479723 |
10.02.2016, 18:43 | #14 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
угу, вдобавок еще и dnsapi.dll пропатчен
Цитата:
http://rghost.ru/7WVlsfTwd и положите его в папку, откуда запускаете uVS далее, только после этого выполните скрипт в uVS Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %Sys32%\dnsapi.DLL EXEC cmd /c "rename %sys32%\dnsapi.dll dnsapi.dll.old" EXEC cmd /c "rename %sys32%\dllcache\dnsapi.dll dnsapi.dll.old" EXEC cmd /c "copy dnsapi.dll %sys32%\dnsapi.dll" EXEC cmd /c "copy dnsapi.dll %sys32%\dllcache\dnsapi.dll" czoo restart |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
атака ARP | krest-finn | Безопасность | 4 | 03.07.2012 12:16 |
Атака вирусов!!!!! | TaTaRin56 | Безопасность | 46 | 02.07.2010 20:59 |
атака вирусов | Vo Vo | Безопасность | 7 | 22.09.2009 21:53 |
Сетевая атака | серый кот | Безопасность | 2 | 11.07.2009 01:13 |
Атака на DNS | Relic | Программирование | 0 | 07.11.2008 13:23 |