Атака вирусов - название все в квадртаиках

lohudra · 10.02.2016, 11:58

avz - http://rghost.ru/8jz4pgx6X
uvs_latest - http://rghost.ru/79Lc5vp9L

safety · 10.02.2016, 13:16

вирусни много, но вначале надо вычистить китайского "защитника"

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
sreg

delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQPCHELPER.SYS
delref %Sys32%\DRIVERS\QUTMIPC.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QMIEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QMUDISK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQSYSMON.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\SOFTAAL.SYS
delref %Sys32%\DRIVERS\TAOACCELERATOR.SYS
delref %Sys32%\DRIVERS\TAOKERNELXP.SYS
delref %Sys32%\DRIVERS\TFSFLT.SYS
delref %Sys32%\DRIVERS\TSFLTMGR.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\TSKSP.SYS
delref %Sys32%\TSSK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\TSSYSKIT.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17201.218\QQPCTRAY.EXE
delref HTTP://WWW.YEABESTS.CC/
areg

перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска

lohudra · 10.02.2016, 14:27

uvs_latest - http://rghost.ru/6zKmY87sm

safety · 10.02.2016, 14:36

выполняем скрипт в uVS из файла

файл скрипта скачайте отсюда:
http://rghost.ru/private/72lQ46XFq/9...1308214870f4dc

- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из файла;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

ждем завершения выполнения работы скрипта
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

lohudra · 10.02.2016, 16:01

mwbt - http://exfile.ru/479714

Vvvyg · 10.02.2016, 16:51

Всё найденное MBAM - в карантин, перезагрузка, сообщайте ощущения.

lohudra · 10.02.2016, 17:11

Остались: - пустой ярлык в панели быстрого запуска от Yandex-браузера,
- в пуске пустой ярлык от программы
- на раб. столе - пустой ярлык Yeabeats Browser
- при запуске Yandex-браузера открывается доп. вкладка со страницей http://www.yeabests.cc/
- в C:\Documents and Settings\All Users\Application Data - папки: ZWdMZ, XWdMX, WWdMW, Tencent, QWdMQ, OWdMO, MWdMM, IObit, HWdMH, eWdMe, 2WdM2
- C:\Documents and Settings\Albert\Application Data - папка: Tencent
- в C:\Program Files - папка: Tencent
- в C:\Program Files\Common Files - папки: Tencent, IObit

safety · 10.02.2016, 17:14

далее,
3.сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

lohudra · 10.02.2016, 17:30

adw_cleaner - http://exfile.ru/479717
addition - http://exfile.ru/479716
frst - http://exfile.ru/479718

safety · 10.02.2016, 17:37

4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить

если это сделали, то надо добавить второй лог после завершения очистки.

lohudra · 10.02.2016, 17:56

adw_cleaner - http://exfile.ru/479720
+осталось:
- пустой ярлык в панели быстрого запуска от Yandex-браузера,
- в пуске пустой ярлык от программы
- на раб. столе - пустой ярлык Yeabeats Browser
- при запуске Yandex-браузера, запуск происходит со стартовой страницы - http://www.yeabests.cc/
- в C:\Documents and Settings\All Users\Application Data - папки: IObit
- в C:\Program Files\Common Files - папки: IObit

safety · 10.02.2016, 18:12

1. проверьте этот файл на http://virustotal.com
C:\WINDOWS\SYSTEM32\DNSAPI.DLL

2.

сделайте новую проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

lohudra · 10.02.2016, 18:24

VirusTotal - https://www.virustotal.com/ru/file/a...is/1455113986/
Addidtion - http://exfile.ru/479722
FRST - http://exfile.ru/479723

safety · 10.02.2016, 18:43

угу, вдобавок еще и dnsapi.dll пропатчен

Цитата:

Kaspersky Trojan.Win32.Patched.qw 20160210

скачайте отсюда чистый файл dnsapi.dll
http://rghost.ru/7WVlsfTwd

и положите его в папку, откуда запускаете uVS

далее, только после этого выполните скрипт в uVS

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

zoo %Sys32%\dnsapi.DLL
EXEC cmd /c "rename %sys32%\dnsapi.dll dnsapi.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\dnsapi.dll dnsapi.dll.old"
EXEC cmd /c "copy dnsapi.dll %sys32%\dnsapi.dll"
EXEC cmd /c "copy dnsapi.dll %sys32%\dllcache\dnsapi.dll" 
czoo
restart

добавьте новый образ автозапуска.

lohudra · 10.02.2016, 18:53

Но как?! Точнее кто - Вирусы???

10.02.2016, 11:58	#1 (ссылка)
lohudra Новичок Регистрация: 09.07.2011 Сообщений: 154 Репутация: 0	Атака вирусов - название все в квадртаиках avz - http://rghost.ru/8jz4pgx6X uvs_latest - http://rghost.ru/79Lc5vp9L

10.02.2016, 17:56	#11 (ссылка)
lohudra Новичок Регистрация: 09.07.2011 Сообщений: 154 Репутация: 0	adw_cleaner - http://exfile.ru/479720 +осталось: - пустой ярлык в панели быстрого запуска от Yandex-браузера, - в пуске пустой ярлык от программы - на раб. столе - пустой ярлык Yeabeats Browser - при запуске Yandex-браузера, запуск происходит со стартовой страницы - http://www.yeabests.cc/ - в C:\Documents and Settings\All Users\Application Data - папки: IObit - в C:\Program Files\Common Files - папки: IObit Последний раз редактировалось lohudra; 10.02.2016 в 18:01.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
атака ARP	krest-finn	Безопасность	4	03.07.2012 12:16
Атака вирусов!!!!!	TaTaRin56	Безопасность	46	02.07.2010 20:59
атака вирусов	Vo Vo	Безопасность	7	22.09.2009 21:53
Сетевая атака	серый кот	Безопасность	2	11.07.2009 01:13
Атака на DNS	Relic	Программирование	0	07.11.2008 13:23

10.02.2016, 14:27	#3 (ссылка)
lohudra Новичок Регистрация: 09.07.2011 Сообщений: 154 Репутация: 0	uvs_latest - http://rghost.ru/6zKmY87sm

10.02.2016, 14:36	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS из файла файл скрипта скачайте отсюда: http://rghost.ru/private/72lQ46XFq/9...1308214870f4dc - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из файла; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" ждем завершения выполнения работы скрипта перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните сканирование (угроз) в Malwarebytes

10.02.2016, 16:01	#5 (ссылка)
lohudra Новичок Регистрация: 09.07.2011 Сообщений: 154 Репутация: 0	mwbt - http://exfile.ru/479714

10.02.2016, 16:51	#6 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Всё найденное MBAM - в карантин, перезагрузка, сообщайте ощущения.

10.02.2016, 17:11	#7 (ссылка)
lohudra Новичок Регистрация: 09.07.2011 Сообщений: 154 Репутация: 0	Остались: - пустой ярлык в панели быстрого запуска от Yandex-браузера, - в пуске пустой ярлык от программы - на раб. столе - пустой ярлык Yeabeats Browser - при запуске Yandex-браузера открывается доп. вкладка со страницей http://www.yeabests.cc/ - в C:\Documents and Settings\All Users\Application Data - папки: ZWdMZ, XWdMX, WWdMW, Tencent, QWdMQ, OWdMO, MWdMM, IObit, HWdMH, eWdMe, 2WdM2 - C:\Documents and Settings\Albert\Application Data - папка: Tencent - в C:\Program Files - папка: Tencent - в C:\Program Files\Common Files - папки: Tencent, IObit

10.02.2016, 17:14	#8 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	далее, 3.сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672 *** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить** далее, 5.сделайте проверку в FRST http://pchelpforum.ru/f26/t24207/2/#post1257991

10.02.2016, 17:30	#9 (ссылка)
lohudra Новичок Регистрация: 09.07.2011 Сообщений: 154 Репутация: 0	adw_cleaner - http://exfile.ru/479717 addition - http://exfile.ru/479716 frst - http://exfile.ru/479718

10.02.2016, 17:37	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить если это сделали, то надо добавить второй лог после завершения очистки.

10.02.2016, 18:12	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	1. проверьте этот файл на http://virustotal.com C:\WINDOWS\SYSTEM32\DNSAPI.DLL 2. сделайте новую проверку в FRST http://pchelpforum.ru/f26/t24207/2/#post1257991

10.02.2016, 18:24	#13 (ссылка)
lohudra Новичок Регистрация: 09.07.2011 Сообщений: 154 Репутация: 0	VirusTotal - https://www.virustotal.com/ru/file/a...is/1455113986/ Addidtion - http://exfile.ru/479722 FRST - http://exfile.ru/479723

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

10.02.2016, 18:53	#15 (ссылка)
lohudra Новичок Регистрация: 09.07.2011 Сообщений: 154 Репутация: 0	Но как?! Точнее кто - Вирусы???