Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 11.02.2016, 20:29   #1 (ссылка)
Новичок
 
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
По умолчанию вирусня

http://rghost.ru/8lRGN6ZTV

что-то через программы и компоненты сам поудалял, что-то не удаляется, во всех браузерах при открытии выскакивает реклама
HELLEN вне форума  
Старый 11.02.2016, 21:06   #2 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код:
     


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\QQ-BUNDLE.EXE

delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\MSLOG.DLL

delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\TINYXML2.DLL

delref HTTP://SEARHES-COLS.RU
delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\QQPCMGR_V11.3.17201.218_73652_SILENCE.EXE

delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\QQPCMGR_SETUP.EXE

delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\TENCENT\QQPCMGR\~1B14A5D\PACKAGECONF.DLL

delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\TENCENT\QQPCMGR\~1B14A5D\DR.DLL

delref HTTP://WWW.HAO123.COM/?TN=93719350_S_HAO_PG
deldirex %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH

delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\TEMP1_0002-INSTALL_WIN7_7091_01212015.ZIP\INSTALL_WIN7_7091_01212015\SETUP.EXE

delall %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\TEMP\CPUZ138\CPUZ138_X64.SYS

delref HTTP://WWW.YANDEX.RU/?CLID=2224022
delref HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q=
;-------------------------------------------------------------

delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMCONTEXTSCAN64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMCONTEXTUNINSTALL64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMGCSHELLEXT64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\TSWEBMON64.DAT
del %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMCONTEXTSCAN64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMCONTEXTUNINSTALL64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMGCSHELLEXT64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\TSWEBMON64.DAT
delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BAFGBDPFGLNDJAOHFAHFFCJMCDLHNCNJ\1.0.5.8_0\VK SAVER
delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ECNPHLGNAJANJNKCMBPANCDJOIDCEILK\2.0.6899\QUICK SEARCHER
delall %SystemDrive%\USERS\DAVID\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9CHUOFG8.DEFAULT\EXTENSIONS\HOMEUTIL@YANDEX.RU.XPI
delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CFHDOJBKJHNKLBPKDAIBDCCDDILIFDDB\1.10.1_0\ADBLOCK PLUS
delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HDIPDMGFOPONABKEIACEHFFLKBOLJLCE\1.0.5_0\ANGRY RACOON - УХОД ОТ БАНА
delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AHIDIMBGFEMJMHHICGHNKODHGBLJKLCP\1.1.2_0\MUSIX
delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GPDPLDLBAFDMHLMCDLLCJGOIGMPJONFC\2.5.0_0\SIMPLE SPEED DIAL
delref %SystemDrive%\USERS\HARON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BLPCFGOKAKMGNKCOJHHKBFBLDKACNBEO\4.2.8_0\YOUTUBE
delref %SystemDrive%\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IALILPEGNNFIGBCGGPBBDECDGENCBFGE\361.0.0.69_0\ПОИСК ПО ТОРРЕНТАМ
deltmp
delnfr
delref %SystemDrive%\PROGRAM FILES (X86)\DEFSOFT\EYWKI0.EXE
bl AC2CE8B729AAB8D7934BA328EEB097B0 157432
deldir %SystemDrive%\PROGRAM FILES (X86)\DEFSOFT
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{3B5337A4-9A6E-4A49-8A99-C64B297BE601}\MPKSL5A309773.SYS
delall %SystemDrive%\USERS\DAVID\DOWNLOADS\BOOK1435637.EXE
delall %SystemDrive%\USERS\DAVID\APPDATA\ROAMING\FREEVPN\FREEVPN.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\T_201602111803\201602111803\LSAS.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\T_201602111803\201602111803
restart
-------------

Отчёт по выполнению скрипта:
В папке с программой после выполнения скрипта должен появиться отчёт о его выполнении.
Прикрепите отчёт к данной теме.
Пример: ( 2012-05-18_02-15-25_log.txt )

------------------
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://pchelpforum.ru/showpost.php?p=206554&postcount=6

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Отчёт залейте на: http://rghost.ru или http://exfile.ru
RP55.RP55 вне форума  
Старый 11.02.2016, 21:28   #3 (ссылка)
Новичок
 
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
По умолчанию

скрипт не помог..ну или он не был нацелен на удаление ибо китайская ересь всё так же всплывает в области уведомлений и трее..сейчас мбам сделаю
HELLEN вне форума  
Старый 11.02.2016, 21:32   #4 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Сделайте новый образ автозапуска в uVS
RP55.RP55 вне форума  
Старый 11.02.2016, 22:07   #5 (ссылка)
Новичок
 
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
По умолчанию

http://rghost.ru/6l886ZfHv
HELLEN вне форума  
Старый 11.02.2016, 22:09   #6 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

В Malwarebytes - всё найденное удалите.
( поместите в карантин )
-------
Образ сейчас посмотрю.
RP55.RP55 вне форума  
Старый 11.02.2016, 22:30   #7 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

1) В безопасном режиме.

uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из Файла.

Файл: http://rghost.ru/6NyQnbYjk

ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

2) Отчёт по выполнению скрипта:
В папке с программой после выполнения скрипта должен появиться отчёт о его выполнении.
Прикрепите отчёт к данной теме.
Пример: ( 2012-05-18_02-15-25_log.txt )

-----------

3) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html
RP55.RP55 вне форума  
Старый 11.02.2016, 22:46   #8 (ссылка)
Новичок
 
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
По умолчанию

после скрипта:
после загрузки системы появилось окошко с выбором программы для открытия какой-то программы(хотя ничего не запускалось)так же всплыло окно с разрешением на внесение изменений программой zhu weiqin, появился амиго -_-, постоянно всплывает уведомление что сброшен браузер по умолчанию, сброшены программы для открытия pdf,mp3/4 и тд
http://rghost.ru/6bFL98gFz

3)-сейчас сделаю
HELLEN вне форума  
Ads
Старый 11.02.2016, 22:59   #9 (ссылка)
Новичок
 
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
По умолчанию

http://rghost.ru/8KPfgLT5x
HELLEN вне форума  
Старый 11.02.2016, 23:01   #10 (ссылка)
Новичок
 
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
По умолчанию

после чистки в адв появилась проблема с видом папок, их размер и вид внутри не сохраняется...все квадртаные(размер) и файлы столбиком
HELLEN вне форума  
Старый 11.02.2016, 23:03   #11 (ссылка)
Новичок
 
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
По умолчанию

http://rghost.ru/8BRWZVCbT
HELLEN вне форума  
Старый 11.02.2016, 23:11   #12 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Перед выполнением дальнейших действий*
* Если хотите сохранить закладки браузера Хром выполните...
https://support.google.com/chrome/answer/96816?hl=ru

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код:
  

Task: {548B188B-B8CE-4ABF-A991-B4108EF4EE84} - \Microsoft\Windows\Media Center\OCURActivate -> No File <==== ATTENTION
Task: {559E0BE0-DB28-4B7E-AEF2-FF3526771A9E} - \Microsoft\Windows\SideShow\GadgetManager -> No File <==== ATTENTION
Task: {5B42DD9C-5A26-4F27-BB95-34603F0997E5} - \Microsoft\Windows\Shell\WindowsParentalControls -> No File <==== ATTENTION
Task: {5E2412CE-5A44-4F9F-AAE4-6D201ECDDBD3} - \Microsoft\Windows\SideShow\SystemDataProviders -> No File <==== ATTENTION
Task: {60963CC1-B330-4515-AEE2-C8CCABA71E4D} - \Microsoft\Windows\Media Center\StartRecording -> No File <==== ATTENTION
Task: {743C3A7E-1A3E-460A-9AE7-C5088FB386E9} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> No File <==== ATTENTION
Task: {756A9C0C-8AC8-4C97-B2D5-11263A48F286} - \Microsoft\Windows\Media Center\PBDADiscovery -> No File <==== ATTENTION
Task: {97495044-5D04-4801-AEA0-330F48CAAB7F} - \Microsoft\Windows\Media Center\RegisterSearch -> No File <==== ATTENTION
Task: {9B126231-CBC5-4818-9FA9-537A3286585F} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> No File <==== ATTENTION
Task: {9C9B4E39-7E5A-4A3B-854D-38874AD3C0A6} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {A78A7F1D-63CA-49B8-8634-05E40D9F47B7} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> No File <==== ATTENTION
Task: {ADE31791-B235-4317-96E2-9C39367DA6E5} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {B0CBAB43-44FC-469B-A4CE-87426761FDCE} - \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor -> No File <==== ATTENTION
Task: {C5019C0D-66A2-415E-969D-15486895D8BB} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> No File <==== ATTENTION
Task: {C70BDC6A-E9C0-4411-A7AB-7E8DD81A2167} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> No File <==== ATTENTION
Task: {C8B311E1-E9BD-4424-A39B-BE3E95AD8F6E} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {CDFECD5B-0312-45A2-B3B4-60CC42C83871} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> No File <==== ATTENTION
Task: {D4805698-B4E3-4C46-AE4E-9C1C51970503} - \Microsoft\Windows\SideShow\AutoWake -> No File <==== ATTENTION
Task: {D925419B-384F-4FE3-819D-F4FD6050B888} - \Microsoft\Windows\Media Center\UpdateRecordPath -> No File <==== ATTENTION
Task: {DEF05CF0-0F13-4095-B183-04454FB75CA8} - \Microsoft\Windows\MobilePC\HotStart -> No File <==== ATTENTION
Task: {E1FEECE2-75F4-4087-93C2-E9C269DF8506} - \Microsoft\Windows\Media Center\InstallPlayReady -> No File <==== ATTENTION
Task: {E332A399-83D7-46BB-8BF7-3C7789B1C002} - \Microsoft\Windows\Media Center\mcupdate_scheduled -> No File <==== ATTENTION
Task: {E6010D43-6AE7-4B59-8E67-EC78FD8E8E96} - \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler -> No File <==== ATTENTION
Task: {E71EAD0E-8A57-4561-8C64-8A3F21548890} - \Microsoft\Windows\SideShow\SessionAgent -> No File <==== ATTENTION
Task: {E8ABC841-00E7-4188-ADC1-F75FBB184770} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
FF Homepage: hxxps://www.malwarebytes.org/restorebrowser//?type=hp&ts=1455209545&z=1f0092a8680f257d2a62251g2z7waw0o9ebtew2z2w&from=amt&uid=wdcxwd10ezex-00bn5a0_wd-wcc3f562899028990
FF Extension: No Name - C:\Users\David\AppData\Roaming\Mozilla\Firefox\Profiles\9chuofg8.default\extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [not found]
FF Extension: No Name - C:\Users\David\AppData\Roaming\Mozilla\Firefox\Profiles\9chuofg8.default\extensions\deskCutv2@gmail.com [not found]
FF Extension: Adblock Plus - C:\Users\David\AppData\Roaming\Mozilla\Firefox\Profiles\9chuofg8.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-01-20]
CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=1407025819&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F562899028990
CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1407025819&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F562899028990","hxxp://mail.ru/cnt/10445","hxxp://mail.ru/cnt/10445?gp=blackbear7","hxxp://mail.ru/cnt/10445?gp=blackbear13","hxxp://www.mysites123.com/?type=hp&ts=1455209545&z=1f0092a8680f257d2a62251g2z7waw0o9ebtew2z2w&from=amt&uid=wdcxwd10ezex-00bn5a0_wd-wcc3f562899028990"
EmptyTemp:
Reboot:
Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.
RP55.RP55 вне форума  
Старый 11.02.2016, 23:28   #13 (ссылка)
Новичок
 
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
По умолчанию

спасибо большое, вроде всё "полечилось"..один нюанс только, не знаю, по вашей ли наводке или после чистки, уже в 3ий раз после лечения приходится обновлять win10 чтобы залечить некоторые "раны" к примеру такие как нерабочая кнопка пуск на клаве и в ОС, не рабочая пкм на панеле, не сохраняющийся вид папок,эскизы и тд..
HELLEN вне форума  
Старый 11.02.2016, 23:29   #14 (ссылка)
Новичок
 
Регистрация: 03.04.2012
Сообщений: 670
Репутация: 0
По умолчанию

http://rghost.ru/7fBXvKnGv
HELLEN вне форума  
Старый 11.02.2016, 23:38   #15 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Идеальных программ не бывает.
А win10 новая система.
И сама система проблемная и разработчики программ допускают ошибки.
И конечно зависит от того, чем была заражена система.
Но, как правило всё нормально работает.
---------

Далее согласно традиции:
закрываем уязвимости
Программу AVZ можно скачать здесь: https://yadi.sk/d/03dWbs24mHPRH

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

* Если какое обновление не будет устанавливаться - пропустите.
---------

Рекомендации

Часто в комплекте с основной программой идут дополнения.
При установке ВСЕХ программ нужно включать расширенный режим установки.
И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки )
--
В антивирусе включить обнаружение потенциально нежелательных/опасных программ.
--
Перед установкой программы читать о ней отзывы.
--
По возможности проверять программу здесь: https://www.virustotal.com/
* Если позволяет вес программы.
RP55.RP55 вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
опять вирусня wladlen666 Безопасность 16 11.01.2015 03:15
Вирусня заела выручайте. EXPERTKZ Безопасность 1 20.11.2014 16:56
Вирусня ralexx Безопасность 5 18.06.2012 23:01
вирусня! помогите! ваша маша Безопасность 7 04.11.2011 18:26
Вирусня атакует makskyr Безопасность 27 12.09.2011 13:29


Текущее время: 16:27. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.