Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 10.02.2016, 11:58   #1 (ссылка)
Новичок
 
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
По умолчанию Атака вирусов - название все в квадртаиках

avz - http://rghost.ru/8jz4pgx6X
uvs_latest - http://rghost.ru/79Lc5vp9L
lohudra вне форума  
Старый 10.02.2016, 13:16   #2 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

вирусни много, но вначале надо вычистить китайского "защитника"

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
sreg

delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQPCHELPER.SYS
delref %Sys32%\DRIVERS\QUTMIPC.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QMIEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QMUDISK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQSYSMON.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\SOFTAAL.SYS
delref %Sys32%\DRIVERS\TAOACCELERATOR.SYS
delref %Sys32%\DRIVERS\TAOKERNELXP.SYS
delref %Sys32%\DRIVERS\TFSFLT.SYS
delref %Sys32%\DRIVERS\TSFLTMGR.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\TSKSP.SYS
delref %Sys32%\TSSK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\TSSYSKIT.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQPCTRAY.EXE
delref HTTP://WWW.YEABESTS.CC/
areg
перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска
safety вне форума  
Старый 10.02.2016, 14:27   #3 (ссылка)
Новичок
 
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
По умолчанию

uvs_latest - http://rghost.ru/6zKmY87sm
lohudra вне форума  
Старый 10.02.2016, 14:36   #4 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

выполняем скрипт в uVS из файла

файл скрипта скачайте отсюда:
http://rghost.ru/private/72lQ46XFq/9...1308214870f4dc

- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из файла;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

ждем завершения выполнения работы скрипта
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 10.02.2016, 16:01   #5 (ссылка)
Новичок
 
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
По умолчанию

mwbt - http://exfile.ru/479714
lohudra вне форума  
Старый 10.02.2016, 16:51   #6 (ссылка)
Эксперт
 
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
По умолчанию

Всё найденное MBAM - в карантин, перезагрузка, сообщайте ощущения.
Vvvyg вне форума  
Старый 10.02.2016, 17:11   #7 (ссылка)
Новичок
 
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
По умолчанию

Остались: - пустой ярлык в панели быстрого запуска от Yandex-браузера,
- в пуске пустой ярлык от программы
- на раб. столе - пустой ярлык Yeabeats Browser
- при запуске Yandex-браузера открывается доп. вкладка со страницей http://www.yeabests.cc/
- в C:\Documents and Settings\All Users\Application Data - папки: ZWdMZ, XWdMX, WWdMW, Tencent, QWdMQ, OWdMO, MWdMM, IObit, HWdMH, eWdMe, 2WdM2
- C:\Documents and Settings\Albert\Application Data - папка: Tencent
- в C:\Program Files - папка: Tencent
- в C:\Program Files\Common Files - папки: Tencent, IObit
lohudra вне форума  
Старый 10.02.2016, 17:14   #8 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

далее,
3.сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
safety вне форума  
Ads
Старый 10.02.2016, 17:30   #9 (ссылка)
Новичок
 
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
По умолчанию

adw_cleaner - http://exfile.ru/479717
addition - http://exfile.ru/479716
frst - http://exfile.ru/479718
lohudra вне форума  
Старый 10.02.2016, 17:37   #10 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить

если это сделали, то надо добавить второй лог после завершения очистки.
safety вне форума  
Старый 10.02.2016, 17:56   #11 (ссылка)
Новичок
 
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
По умолчанию

adw_cleaner - http://exfile.ru/479720
+осталось:
- пустой ярлык в панели быстрого запуска от Yandex-браузера,
- в пуске пустой ярлык от программы
- на раб. столе - пустой ярлык Yeabeats Browser
- при запуске Yandex-браузера, запуск происходит со стартовой страницы - http://www.yeabests.cc/
- в C:\Documents and Settings\All Users\Application Data - папки: IObit
- в C:\Program Files\Common Files - папки: IObit

Последний раз редактировалось lohudra; 10.02.2016 в 18:01.
lohudra вне форума  
Старый 10.02.2016, 18:12   #12 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

1. проверьте этот файл на http://virustotal.com
C:\WINDOWS\SYSTEM32\DNSAPI.DLL

2.

сделайте новую проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
safety вне форума  
Старый 10.02.2016, 18:24   #13 (ссылка)
Новичок
 
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
По умолчанию

VirusTotal - https://www.virustotal.com/ru/file/a...is/1455113986/
Addidtion - http://exfile.ru/479722
FRST - http://exfile.ru/479723
lohudra вне форума  
Старый 10.02.2016, 18:43   #14 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

угу, вдобавок еще и dnsapi.dll пропатчен
Цитата:
Kaspersky Trojan.Win32.Patched.qw 20160210
скачайте отсюда чистый файл dnsapi.dll
http://rghost.ru/7WVlsfTwd

и положите его в папку, откуда запускаете uVS

далее, только после этого выполните скрипт в uVS

Код:
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

zoo %Sys32%\dnsapi.DLL
EXEC cmd /c "rename %sys32%\dnsapi.dll dnsapi.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\dnsapi.dll dnsapi.dll.old"
EXEC cmd /c "copy dnsapi.dll %sys32%\dnsapi.dll"
EXEC cmd /c "copy dnsapi.dll %sys32%\dllcache\dnsapi.dll" 
czoo
restart
добавьте новый образ автозапуска.
safety вне форума  
Старый 10.02.2016, 18:53   #15 (ссылка)
Новичок
 
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
По умолчанию

Но как?! Точнее кто - Вирусы???
lohudra вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
атака ARP krest-finn Безопасность 4 03.07.2012 12:16
Атака вирусов!!!!! TaTaRin56 Безопасность 46 02.07.2010 20:59
атака вирусов Vo Vo Безопасность 7 22.09.2009 21:53
Сетевая атака серый кот Безопасность 2 11.07.2009 01:13
Атака на DNS Relic Программирование 0 07.11.2008 13:23


Текущее время: 12:10. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.