Закрыто какой то китайский вирус-программа $电脑管家-清理垃圾$, помогите

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Chehonte85, 10 июл 2015.

Статус темы:
Закрыта.
  1. Chehonte85
    Оффлайн

    Chehonte85 Новый пользователь

    Сообщения:
    15
    Симпатии:
    1
    Здравствуйте!
    Скачал с приложением какую то дрянь. По итогу, пришлось удалить кучу приложений, но одно приложение $电脑管家-清理垃圾$ никак не удаляется. в списке программ его нет. При этом в хроме при открытии, вместо домашней страницы, открываются левые сайты, лотереи и много чего еще. Помогите, почитал темы, скачал AVZ4. Заархивировал зип папку с карантином, вот ссылка на неё удалено
    что делать дальше???
     
    Последнее редактирование модератором: 10 июл 2015
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
  3. Chehonte85
    Оффлайн

    Chehonte85 Новый пользователь

    Сообщения:
    15
    Симпатии:
    1
    --- Объединённое сообщение, 10 июл 2015 ---
    прошу прощения. так подойдет? просто более конкретезировапть не смогу, ибо далек от этой темы
     

    Вложения:

    Последнее редактирование модератором: 10 июл 2015
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    TerminateProcessByName('c:\users\Яна\appdata\roaming\0a5fce19-1436523034-a8dd-fb87-cf463b2cbd62\hnssf42f.tmp');
    TerminateProcessByName('c:\users\Яна\appdata\roaming\0a5fce19-1436523034-a8dd-fb87-cf463b2cbd62\jnsndaf8.tmp');
    TerminateProcessByName('c:\users\Яна\appdata\roaming\0a5fce19-1436523034-a8dd-fb87-cf463b2cbd62\knsxc0e2.tmpfs');
    StopService('lymexofe');
    StopService('vicoqudu');
    QuarantineFile('c:\users\Яна\appdata\roaming\0a5fce19-1436523034-a8dd-fb87-cf463b2cbd62\jnsndaf8.tmp', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\0A5FCE19-1436523034-A8DD-FB87-CF463B2CBD62\knsxC0E2.tmpfs', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\0A5FCE19-1436523034-A8DD-FB87-CF463B2CBD62\hnssF42F.tmp', '');
    QuarantineFileF('C:\Users\Яна\AppData\Roaming\0A5FCE19-1436523034-A8DD-FB87-CF463B2CBD62\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.tmp', true, '', 0, 0);
    QuarantineFile('C:\Users\Public\Desktop\Gоogle Сhrоme.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Chromе.lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехplorеr Вrоwser.lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Сhrоme.lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhromе.lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Explоrer.lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndeх (2).lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndex.lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхрlоrer.lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndеx.lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CorelDRAW Graphics Suite X7 (64-bit)\Vidео Tutоrials X7 (64-Вit).lnk', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Browsers\exe.emorhc.bat', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Browsers\exe.resworb.bat', '');
    QuarantineFile('C:\Users\Яна\AppData\Roaming\Browsers\exe.resworboediv.bat', '');
    DeleteFile('c:\users\Яна\appdata\roaming\0a5fce19-1436523034-a8dd-fb87-cf463b2cbd62\jnsndaf8.tmp', '32');
    DeleteFile('C:\Users\Яна\AppData\Roaming\0A5FCE19-1436523034-A8DD-FB87-CF463B2CBD62\knsxC0E2.tmpfs', '32');
    DeleteFile('C:\Users\Яна\AppData\Roaming\0A5FCE19-1436523034-A8DD-FB87-CF463B2CBD62\hnssF42F.tmp', '32');
    DeleteFile('C:\Users\Яна\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
    DeleteFile('C:\Users\Яна\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
    DeleteFile('C:\Users\Яна\AppData\Roaming\Browsers\exe.resworb.bat', '32');
    DeleteFile('C:\Users\Яна\AppData\Roaming\Browsers\exe.emorhc.bat', '');
    DeleteFile('C:\Users\Яна\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
    DeleteFile('C:\Users\Яна\AppData\Roaming\Browsers\exe.resworb.bat', '');
    DeleteFile('C:\Users\Яна\AppData\Roaming\Browsers\exe.resworboediv.bat', '');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    DeleteService('lymexofe');
    DeleteService('vicoqudu');
    DeleteFileMask('C:\Users\Яна\AppData\Roaming\0A5FCE19-1436523034-A8DD-FB87-CF463B2CBD62\', '*', true);
    DeleteDirectory('C:\Users\Яна\AppData\Roaming\0A5FCE19-1436523034-A8DD-FB87-CF463B2CBD62\');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    после выполнения скрипта компьютер перезагрузится.


    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  5. Chehonte85
    Оффлайн

    Chehonte85 Новый пользователь

    Сообщения:
    15
    Симпатии:
    1
    regist,
    # AdwCleaner v4.208 - Отчёт создан 10/07/2015 в 16:27:16
    # Обновлено 09/07/2015 by Xplode
    # База данных : 2015-07-10.1 [Сервер]
    # Операционная система : Windows 8.1 Single Language (x64)
    # Пользователь : Яна - WIN8
    # Запущено из : C:\Users\Яна\Desktop\adwcleaner_4.208.exe
    # Режим : Сканировать

    ***** [ Службы ] *****

    Служба Найдено : QQPCRTP
    Служба Найдено : TAOAccelerator
    Служба Найдено : TSDefenseBt
    Служба Найдено : TSSysKit
    Служба Найдено : QMUdisk
    Служба Найдено : TS888x64
    Служба Найдено : QQSysMonX64
    Служба Найдено : TSCPM
    Служба Найдено : TFsFlt
    Служба Найдено : TAOFrame
    Служба Найдено : TAOKernelDriver

    ***** [ Файлы / Папки ] *****

    Папка Найдено : C:\Program Files (x86)\Common Files\tencent
    Папка Найдено : C:\Program Files (x86)\tencent
    Папка Найдено : C:\Program Files\Common Files\tencent
    Папка Найдено : C:\ProgramData\apn
    Папка Найдено : C:\ProgramData\tencent
    Папка Найдено : C:\ProgramData\TXQMPC
    Папка Найдено : C:\Users\Яна\AppData\Local\0A5FCE19-1436534013-A8DD-FB87-CF463B2CBD62
    Папка Найдено : C:\Users\Яна\AppData\Local\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil
    Папка Найдено : C:\Users\Яна\AppData\Local\Kometa
    Папка Найдено : C:\Users\Яна\AppData\Local\Mail.Ru
    Папка Найдено : C:\Users\Яна\AppData\Local\Mobogenie
    Папка Найдено : C:\Users\Яна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}
    Папка Найдено : C:\Users\Яна\AppData\Roaming\OpenCandy
    Папка Найдено : C:\Users\Яна\AppData\Roaming\tencent
    Папка Найдено : C:\WINDOWS\SysWOW64\config\systemprofile\AppData\Roaming\tencent
    Файл Найдено : C:\Users\Яна\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\dldcbakcjliccckkmfjcblhciilpdcil
    Файл Найдено : C:\Users\Яна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml
    Файл Найдено : C:\Users\Яна\daemonprocess.txt
    Файл Найдено : C:\WINDOWS\System32\drivers\TAOAccelerator64.sys
    Файл Найдено : C:\WINDOWS\System32\drivers\TAOKernel64.sys
    Файл Найдено : C:\WINDOWS\System32\drivers\TFsFltX64.sys
    Файл Найдено : C:\WINDOWS\SysWOW64\drivers\TS888x64.sys

    ***** [ Назначенные задания ] *****


    ***** [ Ярлыки ] *****


    ***** [ Реестр ] *****

    Данные Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - *.local
    Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [kometaup]
    Значение Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [mobilegeni daemon]
    Ключ Найдено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    Ключ Найдено : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    Ключ Найдено : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
    Ключ Найдено : HKLM\SOFTWARE\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1}
    Ключ Найдено : HKLM\SOFTWARE\Classes\AppID\DownloadProxy.EXE
    Ключ Найдено : HKLM\SOFTWARE\Classes\CLSID\{70DE12EA-79F4-46BC-9812-86DB50A2FD64}
    Ключ Найдено : HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E}
    Ключ Найдено : HKLM\SOFTWARE\CLASSES\METNSD
    Ключ Найдено : HKLM\SOFTWARE\Google\Chrome\Extensions\ooebklgpfnbcnpokahmdidgbmlcdepkm
    Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
    Ключ Найдено : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP
    Ключ Найдено : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP
    Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E}
    Ключ Найдено : HKU\.DEFAULT\Software\AskPartnerNetwork

    ***** [ веб браузеры ] *****

    -\\ Internet Explorer v11.0.9600.17840

    Установка Найдено : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
    Установка Найдено : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}

    -\\ Mozilla Firefox v


    -\\ Google Chrome v43.0.2357.132


    -\\ Chromium v


    -\\ Opera v0.0.0.0


    *************************

    AdwCleaner[R0].txt - [4261 байт] - [10/07/2015 16:27:16]

    ########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [4319 байт] ##########
     
    Последнее редактирование модератором: 10 июл 2015
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Логи надо к сообщению прикреплять ;).

    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
     
  7. Chehonte85
    Оффлайн

    Chehonte85 Новый пользователь

    Сообщения:
    15
    Симпатии:
    1
    спасибо Вам, вроде все в порядке :I M So Happy:
     
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    ждём :).
     
Статус темы:
Закрыта.

Поделиться этой страницей