Решена Eset постоянно выдает [Оперативная память = svchost.exe(1324) модифицированный Win32/Injector.CKX..]

Тема в разделе "Лечение компьютерных вирусов", создана пользователем mix1787, 21 окт 2015.

Статус темы:
Закрыта.
  1. mix1787
    Оффлайн

    mix1787 Новый пользователь

    Сообщения:
    32
    Симпатии:
    1
    Eset Endpoint Security постоянно выдает уведомление "Оперативная память = svchost.exe(1368) модифицированный Win32/Injector.CKX...", пишет что изолировал вирус, но через 10-15 минут уведомление появляется вновь. Прошу Вас помочь.
     

    Вложения:

    Последнее редактирование: 21 окт 2015
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
  3. mix1787
    Оффлайн

    mix1787 Новый пользователь

    Сообщения:
    32
    Симпатии:
    1
    Извините, не знал, что им нужно. Сейчас соберу логи через него.
     
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
  5. mix1787
    Оффлайн

    mix1787 Новый пользователь

    Сообщения:
    32
    Симпатии:
    1
    на virusinfo )
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    выбирайте, где будете лечиться. На остальных форумах тема будет закрыта.
    --- Объединённое сообщение, 21 окт 2015 ---
    тут подробнее Правила оформления запроса о помощи
    Если решите лечиться на форумах ассоциации.
     
  7. mix1787
    Оффлайн

    mix1787 Новый пользователь

    Сообщения:
    32
    Симпатии:
    1
    у Вас если можно.
     
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Ссылка на правила в сообщении выше.
     
  9. mix1787
    Оффлайн

    mix1787 Новый пользователь

    Сообщения:
    32
    Симпатии:
    1
    Логи собрал
     

    Вложения:

  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    - устарело, рекомендую обновить до последней бета.
    Код (Text):
    Java 8 Update 25 []-->MsiExec.exe /I{26A24AE4-039D-4CA4-87B4-2F83218025F0}
    Java(TM) 7 Update 5 []-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217005FF}
    Также устарели и содержат много уязвимостей. Деинсталируйте их. Если Java требуется, то установите потом свежую Java 8.

    SpyHunter - также деинсталируйте.

    Baidu Browser - сознательно ставили? Используете?
     
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    +
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
  12. mix1787
    Оффлайн

    mix1787 Новый пользователь

    Сообщения:
    32
    Симпатии:
    1
    Java обновлю. Baidu самостоятельно не ставил как и программу Tencent QQPCMgr. Они каким-то образом появились на компьютере вместе, последнюю вроде бы с горем пополам удалил, а baidu еще нет.
     
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код (Text):
    C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Adblock for Youtube.lnk
    C:\Users\836D~1\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\72BE~1.LNK
    C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\?????.lnk
    C:\Users\836D~1\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Launcher\3D51~1.LNK
    C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Launcher\ґ«ЖжКўКА.lnk
    C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Launcher\Tools\Uninst.lnk
    C:\Users\836D~1\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\3910~1\72BE~1.LNK
    C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\?????\?????.lnk
    C:\Users\Администратор\Start Menu\Programs\SpyHunter\SpyHunter.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Загрузчик лицензий.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Настройки.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Обновить лицензию.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Самая долгая лицензия.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Сохранить текущую лицензию.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Тихий режим.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total Commander\Информация о сборке.lnk
    C:\ProgramData\Rising\Rav\ShortCut\Repair.url
     
    Жду лог uVS.
     
  14. mix1787
    Оффлайн

    mix1787 Новый пользователь

    Сообщения:
    32
    Симпатии:
    1

    Вложения:

    Последнее редактирование: 21 окт 2015
  15. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    Выполните скрипт в Universal Virus Sniffer (UVS):
    Код (Text):
    ;uVS v3.86.5 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    ;------------------------autoscript---------------------------
    sreg
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\MSGCENTER.EXE
    del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\MSGCENTER.EXE

    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\BDUPDATE.EXE
    del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\BDUPDATE.EXE

    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDWEBADAPTER\2.0.295.0\NPBDEXNP.DLL
    del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDWEBADAPTER\2.0.295.0\NPBDEXNP.DLL

    delref HTTP://WWW.HAO123.COM/?TN=95430989_HAO_PG

    delref %Sys32%\DRIVERS\BBENHANCE.SYS
    del %Sys32%\DRIVERS\BBENHANCE.SYS

    delref %Sys32%\DRIVERS\BBROWSERBOOST.SYS
    del %Sys32%\DRIVERS\BBROWSERBOOST.SYS

    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\BBSERVICE.EXE
    del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\BBSERVICE.EXE

    delref %SystemDrive%\PROGRAMDATA\BAIDU\BCSERVICE\2.0.3.124\BCSERVICE.EXE
    del %SystemDrive%\PROGRAMDATA\BAIDU\BCSERVICE\2.0.3.124\BCSERVICE.EXE

    delref %Sys32%\DRIVERS\BD0001.SYS
    del %Sys32%\DRIVERS\BD0001.SYS

    delref %Sys32%\DRIVERS\BDARKIT.SYS
    del %Sys32%\DRIVERS\BDARKIT.SYS

    delref %Sys32%\DRIVERS\BDUNIPTK.SYS
    del %Sys32%\DRIVERS\BDUNIPTK.SYS

    deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.8.16208.227

    delref %Sys32%\TSSK.SYS
    del %Sys32%\TSSK.SYS

    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
    del %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE

    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\BAIDUBROWSER.EXE
    del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\BAIDUBROWSER.EXE

    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\UNINST.EXE
    del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\UNINST.EXE

    delref %SystemRoot%\TEMP\GJFIX\13521
    delref %SystemRoot%\TEMP\14592
    delref %SystemDrive%\PROGRAM FILES\RISING\RAV\RAVMOND.EXE
    delref %SystemDrive%\PROGRAM FILES\RISING\RSD\RSMGRSVC.EXE
    delref {ED269846-851F-462B-9AEA-2F7FDFB1D4E1}\[SERVICE]
    del %Sys32%\DRIVERS\KGUARD.SYS
    delref %Sys32%\DRIVERS\KGUARD.SYS
    del %Sys32%\DRIVERS\PROTREG.SYS
    delref %Sys32%\DRIVERS\PROTREG.SYS
    delref HTTP://XTREME.WS/
    delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_25\BIN\JP2SSV.DLL
    deltmp
    delref %SystemDrive%\PROGRAM FILES\ENIGMA SOFTWARE GROUP\SPYHUNTER\SPYHUNTER4.EXE
    delref %SystemDrive%\PROGRAM FILES\ENIGMA SOFTWARE GROUP\SPYHUNTER\ESGIGUARD.SYS
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.8.16208.227\QMUDISK.SYS
    delref %SystemDrive%\PROGRAM FILES\ENIGMA SOFTWARE GROUP\SPYHUNTER\SH4SERVICE.EXE
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.8.16208.227\TS888.SYS
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.8.16208.227\TAOFRAME.EXE
    delref %SystemDrive%\PROGRAM FILES\LAUNCHER\LAUNCHER.EXE
    delref %SystemDrive%\PROGRAM FILES\LAUNCHER\UNINST.EXE
    delref D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

    deldirex %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU
    deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT
    deldirex %SystemDrive%\PROGRAMDATA\BAIDU
    areg
    ;-------------------------------------------------------------
    Компьютер перезагрузится.
    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  16. mix1787
    Оффлайн

    mix1787 Новый пользователь

    Сообщения:
    32
    Симпатии:
    1
    Готово.
     

    Вложения:

  17. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Для контроля сделайте новый полный образ автозапуска UVS.
     
  18. mix1787
    Оффлайн

    mix1787 Новый пользователь

    Сообщения:
    32
    Симпатии:
    1
    Все сделано.
    --- Объединённое сообщение, 21 окт 2015, Дата первоначального сообщения: 21 окт 2015 ---
    образ автозапуска UVS
     

    Вложения:

  19. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    Загрузите систему в безопасном режиме и выполните скрипт в UVS:
    Код (Text):
    ;uVS v3.86.5 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\UTILSDLL.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{324C03EF-41AC-49C7-88CE-720C670629E2}\APIMGR.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\REPORTDLL.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINFRAME.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{5F68585C-AF28-4793-9360-66E51B87947C}\BDARUTILS.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PROTOCOLDLL.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{48A02D42-CF48-4601-9126-5F90C2D01273}\IPC.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{592254AB-91DF-4891-BD3B-EB545947521B}\CHECKER.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{67FE3974-A0E7-4969-B407-A1F43001398C}\BBROWSERMGR.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{176966FA-0615-4A30-8CE0-1018EEFED0D2}\DRIVERMANAGER.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{67FE3974-A0E7-4969-B407-A1F43001398C}\BROWSEREXP.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{2A53DBDC-6363-4742-8166-C38D1E5A4CF6}\BDXCORE.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{5F68585C-AF28-4793-9360-66E51B87947C}\ARKIT.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\REPORTRECORDDLL.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\DL.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\DOWNLOADDLL.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\BASEDLL.DLL
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\PLUGIN\EXTENDS\{6621B6C5-7C33-48AB-B124-735D58A68A10}\1.0.0.42\BDSAFECENTER.EXE
    deldir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU
    delref %Sys32%\DRIVERS\KGUARD.SYS
    delall %Sys32%\DRIVERS\RSUTILS.SYS
    delall %Sys32%\DRIVERS\RDVGKMD.SYS
    delref %SystemDrive%\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
    restart
    После перезагрузки прикрепите свежий лог выполнения скрипта.
     
  20. mix1787
    Оффлайн

    mix1787 Новый пользователь

    Сообщения:
    32
    Симпатии:
    1
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей