11.02.2016, 20:29 | #1 (ссылка) |
Новичок
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
|
вирусня
http://rghost.ru/8lRGN6ZTV
что-то через программы и компоненты сам поудалял, что-то не удаляется, во всех браузерах при открытии выскакивает реклама |
11.02.2016, 21:06 | #2 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! На вопросы программы отвечаем: Да ! Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\QQ-BUNDLE.EXE delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\MSLOG.DLL delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\TINYXML2.DLL delref HTTP://SEARHES-COLS.RU delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\QQPCMGR_V11.3.17201.218_73652_SILENCE.EXE delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\QQPCMGR_SETUP.EXE delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\TENCENT\QQPCMGR\~1B14A5D\PACKAGECONF.DLL delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\TENCENT\QQPCMGR\~1B14A5D\DR.DLL delref HTTP://WWW.HAO123.COM/?TN=93719350_S_HAO_PG deldirex %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\TEMP1_0002-INSTALL_WIN7_7091_01212015.ZIP\INSTALL_WIN7_7091_01212015\SETUP.EXE delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\CPUZ138\CPUZ138_X64.SYS delref HTTP://WWW.YANDEX.RU/?CLID=2224022 delref HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q= ;------------------------------------------------------------- delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMCONTEXTSCAN64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMCONTEXTUNINSTALL64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMGCSHELLEXT64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\TSWEBMON64.DAT del %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMCONTEXTSCAN64.DLL del %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMCONTEXTUNINSTALL64.DLL del %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMGCSHELLEXT64.DLL del %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\TSWEBMON64.DAT delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BAFGBDPFGLNDJAOHFAHFFCJMCDLHNCNJ\1.0.5.8_0\VK SAVER delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ECNPHLGNAJANJNKCMBPANCDJOIDCEILK\2.0.6899\QUICK SEARCHER delall %SystemDrive%\USERS\DAVID\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9CHUOFG8.DEFAULT\EXTENSIONS\HOMEUTIL@YANDEX.RU.XPI delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CFHDOJBKJHNKLBPKDAIBDCCDDILIFDDB\1.10.1_0\ADBLOCK PLUS delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HDIPDMGFOPONABKEIACEHFFLKBOLJLCE\1.0.5_0\ANGRY RACOON - УХОД ОТ БАНА delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AHIDIMBGFEMJMHHICGHNKODHGBLJKLCP\1.1.2_0\MUSIX delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GPDPLDLBAFDMHLMCDLLCJGOIGMPJONFC\2.5.0_0\SIMPLE SPEED DIAL delref %SystemDrive%\USERS\HARON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BLPCFGOKAKMGNKCOJHHKBFBLDKACNBEO\4.2.8_0\YOUTUBE delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IALILPEGNNFIGBCGGPBBDECDGENCBFGE\361.0.0.69_0\ПОИСК ПО ТОРРЕНТАМ deltmp delnfr delref %SystemDrive%\PROGRAM FILES (X86)\DEFSOFT\EYWKI0.EXE bl AC2CE8B729AAB8D7934BA328EEB097B0 157432 deldir %SystemDrive%\PROGRAM FILES (X86)\DEFSOFT delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{3B5337A4-9A6E-4A49-8A99-C64B297BE601}\MPKSL5A309773.SYS delall %SystemDrive%\USERS\DAVID\DOWNLOADS\BOOK1435637.EXE delall %SystemDrive%\USERS\DAVID\APPDATA\ROAMING\FREEVPN\FREEVPN.EXE delall %SystemDrive%\PROGRAM FILES (X86)\T_201602111803\201602111803\LSAS.EXE deldir %SystemDrive%\PROGRAM FILES (X86)\T_201602111803\201602111803 restart Отчёт по выполнению скрипта: В папке с программой после выполнения скрипта должен появиться отчёт о его выполнении. Прикрепите отчёт к данной теме. Пример: ( 2012-05-18_02-15-25_log.txt ) ------------------ Далее (даже если проблема решена) выполните лог программой Malwarebytes http://pchelpforum.ru/showpost.php?p=206554&postcount=6 Выберите вариант сканирования: Быстрое или Полное сканирование. Отчет предоставить для анализа ( в своей теме на форуме ). Отчёт нужно предоставить в .txt ( блокнот ) Отчёт залейте на: http://rghost.ru или http://exfile.ru |
11.02.2016, 22:30 | #7 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) В безопасном режиме.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из Файла. Файл: http://rghost.ru/6NyQnbYjk ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! 2) Отчёт по выполнению скрипта: В папке с программой после выполнения скрипта должен появиться отчёт о его выполнении. Прикрепите отчёт к данной теме. Пример: ( 2012-05-18_02-15-25_log.txt ) ----------- 3) Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru и Yandex снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html |
11.02.2016, 22:46 | #8 (ссылка) |
Новичок
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
|
после скрипта:
после загрузки системы появилось окошко с выбором программы для открытия какой-то программы(хотя ничего не запускалось)так же всплыло окно с разрешением на внесение изменений программой zhu weiqin, появился амиго -_-, постоянно всплывает уведомление что сброшен браузер по умолчанию, сброшены программы для открытия pdf,mp3/4 и тд http://rghost.ru/6bFL98gFz 3)-сейчас сделаю |
Ads | |
11.02.2016, 23:11 | #12 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Перед выполнением дальнейших действий*
* Если хотите сохранить закладки браузера Хром выполните... https://support.google.com/chrome/answer/96816?hl=ru Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: ... Запустите FRST и нажмите один раз на кнопку Fix и подождите. Код:
Task: {548B188B-B8CE-4ABF-A991-B4108EF4EE84} - \Microsoft\Windows\Media Center\OCURActivate -> No File <==== ATTENTION Task: {559E0BE0-DB28-4B7E-AEF2-FF3526771A9E} - \Microsoft\Windows\SideShow\GadgetManager -> No File <==== ATTENTION Task: {5B42DD9C-5A26-4F27-BB95-34603F0997E5} - \Microsoft\Windows\Shell\WindowsParentalControls -> No File <==== ATTENTION Task: {5E2412CE-5A44-4F9F-AAE4-6D201ECDDBD3} - \Microsoft\Windows\SideShow\SystemDataProviders -> No File <==== ATTENTION Task: {60963CC1-B330-4515-AEE2-C8CCABA71E4D} - \Microsoft\Windows\Media Center\StartRecording -> No File <==== ATTENTION Task: {743C3A7E-1A3E-460A-9AE7-C5088FB386E9} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> No File <==== ATTENTION Task: {756A9C0C-8AC8-4C97-B2D5-11263A48F286} - \Microsoft\Windows\Media Center\PBDADiscovery -> No File <==== ATTENTION Task: {97495044-5D04-4801-AEA0-330F48CAAB7F} - \Microsoft\Windows\Media Center\RegisterSearch -> No File <==== ATTENTION Task: {9B126231-CBC5-4818-9FA9-537A3286585F} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> No File <==== ATTENTION Task: {9C9B4E39-7E5A-4A3B-854D-38874AD3C0A6} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION Task: {A78A7F1D-63CA-49B8-8634-05E40D9F47B7} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> No File <==== ATTENTION Task: {ADE31791-B235-4317-96E2-9C39367DA6E5} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION Task: {B0CBAB43-44FC-469B-A4CE-87426761FDCE} - \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor -> No File <==== ATTENTION Task: {C5019C0D-66A2-415E-969D-15486895D8BB} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> No File <==== ATTENTION Task: {C70BDC6A-E9C0-4411-A7AB-7E8DD81A2167} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> No File <==== ATTENTION Task: {C8B311E1-E9BD-4424-A39B-BE3E95AD8F6E} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION Task: {CDFECD5B-0312-45A2-B3B4-60CC42C83871} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> No File <==== ATTENTION Task: {D4805698-B4E3-4C46-AE4E-9C1C51970503} - \Microsoft\Windows\SideShow\AutoWake -> No File <==== ATTENTION Task: {D925419B-384F-4FE3-819D-F4FD6050B888} - \Microsoft\Windows\Media Center\UpdateRecordPath -> No File <==== ATTENTION Task: {DEF05CF0-0F13-4095-B183-04454FB75CA8} - \Microsoft\Windows\MobilePC\HotStart -> No File <==== ATTENTION Task: {E1FEECE2-75F4-4087-93C2-E9C269DF8506} - \Microsoft\Windows\Media Center\InstallPlayReady -> No File <==== ATTENTION Task: {E332A399-83D7-46BB-8BF7-3C7789B1C002} - \Microsoft\Windows\Media Center\mcupdate_scheduled -> No File <==== ATTENTION Task: {E6010D43-6AE7-4B59-8E67-EC78FD8E8E96} - \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler -> No File <==== ATTENTION Task: {E71EAD0E-8A57-4561-8C64-8A3F21548890} - \Microsoft\Windows\SideShow\SessionAgent -> No File <==== ATTENTION Task: {E8ABC841-00E7-4188-ADC1-F75FBB184770} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION FF Homepage: hxxps://www.malwarebytes.org/restorebrowser//?type=hp&ts=1455209545&z=1f0092a8680f257d2a62251g2z7waw0o9ebtew2z2w&from=amt&uid=wdcxwd10ezex-00bn5a0_wd-wcc3f562899028990 FF Extension: No Name - C:\Users\David\AppData\Roaming\Mozilla\Firefox\Profiles\9chuofg8.default\extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [not found] FF Extension: No Name - C:\Users\David\AppData\Roaming\Mozilla\Firefox\Profiles\9chuofg8.default\extensions\deskCutv2@gmail.com [not found] FF Extension: Adblock Plus - C:\Users\David\AppData\Roaming\Mozilla\Firefox\Profiles\9chuofg8.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-01-20] CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=1407025819&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F562899028990 CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1407025819&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F562899028990","hxxp://mail.ru/cnt/10445","hxxp://mail.ru/cnt/10445?gp=blackbear7","hxxp://mail.ru/cnt/10445?gp=blackbear13","hxxp://www.mysites123.com/?type=hp&ts=1455209545&z=1f0092a8680f257d2a62251g2z7waw0o9ebtew2z2w&from=amt&uid=wdcxwd10ezex-00bn5a0_wd-wcc3f562899028990" EmptyTemp: Reboot: Проверяем, как работает система... и Пишем по _общему результату лечения. |
11.02.2016, 23:28 | #13 (ссылка) |
Новичок
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
|
спасибо большое, вроде всё "полечилось"..один нюанс только, не знаю, по вашей ли наводке или после чистки, уже в 3ий раз после лечения приходится обновлять win10 чтобы залечить некоторые "раны" к примеру такие как нерабочая кнопка пуск на клаве и в ОС, не рабочая пкм на панеле, не сохраняющийся вид папок,эскизы и тд..
|
11.02.2016, 23:38 | #15 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Идеальных программ не бывает.
А win10 новая система. И сама система проблемная и разработчики программ допускают ошибки. И конечно зависит от того, чем была заражена система. Но, как правило всё нормально работает. --------- Далее согласно традиции: закрываем уязвимости Программу AVZ можно скачать здесь: https://yadi.sk/d/03dWbs24mHPRH Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. * Если какое обновление не будет устанавливаться - пропустите. --------- Рекомендации Часто в комплекте с основной программой идут дополнения. При установке ВСЕХ программ нужно включать расширенный режим установки. И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки ) -- В антивирусе включить обнаружение потенциально нежелательных/опасных программ. -- Перед установкой программы читать о ней отзывы. -- По возможности проверять программу здесь: https://www.virustotal.com/ * Если позволяет вес программы. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
опять вирусня | wladlen666 | Безопасность | 16 | 11.01.2015 03:15 |
Вирусня заела выручайте. | EXPERTKZ | Безопасность | 1 | 20.11.2014 16:56 |
Вирусня | ralexx | Безопасность | 5 | 18.06.2012 23:01 |
вирусня! помогите! | ваша маша | Безопасность | 7 | 04.11.2011 18:26 |
Вирусня атакует | makskyr | Безопасность | 27 | 12.09.2011 13:29 |