Закрыто Китайский неудаляемый Tencent QQ

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Костя, 9 мар 2016.

Статус темы:
Закрыта.
  1. Костя
    Оффлайн

    Костя Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Поймал Tencent QQ, не удаляется,заполняет всякой фигнёй экран и не убирается из автозагрузки. Сделал логи.
     

    Вложения:

  2. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.227
    Симпатии:
    4.980
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
    Theriollaria нравится это.
  3. Костя
    Оффлайн

    Костя Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Сегодня утром при попытке запустить компьютер он выдал черный экран,перезагрузка не помогла, я зашел через безопасный режим и удалил папку Tencent. Компьютер запустился в обычном режиме.Сделал лог UVS
     

    Вложения:

  4. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.227
    Симпатии:
    4.980
    Удалите через установку и удаление программ:
    TSearch
    Search App by Ask
    CleanBrowser
    Anysend

    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):

      ;uVS v3.87 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1
      v385c
      breg
      sreg

      ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMGCSHELLEXT64.DLL
      zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMGCSHELLEXT64.DLL
      bl FCCA31B983709D96860785127CC6C1A3 464736
      addsgn BA652BBE5D22C5062FC4F9F9E7243286DF8BB57D7171C5300E32B0B9B829724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4445AD038CAEEBF 64 tencent

      ; C:\WINDOWS\SYSTEM32\DRIVERS\TFSFLTX64.SYS
      zoo %Sys32%\DRIVERS\TFSFLTX64.SYS
      bl F77BD38F95C563ECDF64217AB53D6430 87864
      addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A534AAF29BD80EFDB0F9BF2995185E74C48531A161DFA3BDF9B7213DADC2C5977F42FA8065073 64 tencent

      ; C:\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
      zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
      bl 16E27465FC02E6974704FD2187E92144 1097272
      addsgn 1A5BB19A55835B8CF42B69B088CB5F05CC9E4A0976AC948942C529BF1DD6994A95E83CA17A7195485F87D27706A2B60524542E2C97DEB07A7AFCD80BCB8D6577 64 tencent

      ; C:\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\DLCORE.DLL
      zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\DLCORE.DLL
      bl 1123CC85FF12A2A9C44395E5362220CF 2211384
      addsgn 71905392541F499A4BDDAFB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB340234148231A5D18BF57896CE3461649C14DA3EF9A26DAB02CA6474C5DC70622F8 64 tencent

      delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
      deldir %SystemDrive%\USERS\USER\APPDATA\LOCAL\AMIGO\APPLICATION
      dirzoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.509
      ; C:\USERS\USER\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.509\ANDROIDSERVERUP.EXE
      bl 791144A71ACA54E12097D87F50466576 205880
      deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.509
      dirzoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\ASPACKAGE
      ; C:\USERS\USER\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
      bl 4489A71FBE3B50004F5366C9F0F3F9B5 868317
      deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\ASPACKAGE
      dirzoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH
      ; C:\PROGRAM FILES (X86)\TORRENT SEARCH\BWAEOSW.EXE

      zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\BWAEOSW.EXE
      bl B108976C7B62D684CEBCFEF916546E37 153744
      deldir %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH
      dirzoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130
      deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130
      ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\EXNSCAN64.DLL
      addsgn BA652BBE5D22C5062FC4F9F9E7243286DF8BB57D7171C5300E32B0B9B8F9CB4C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F45AD038CAEEBF 64 Tencent

      zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\EXNSCAN64.DLL
      bl D4FF805580E34219D4F743E489E33FA7 672960
      deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218
      ; C:\PROGRAM FILES\SPACESOUNDPRO\IDSCSERVICE.EXE


      zoo %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO\IDSCSERVICE.EXE
      bl B6398B5CAC98B2F349B1B8D5E1DB5F83 407552
      dirzoo %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO
      deldir %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO
      ; C:\WINDOWS\SYSTEM32\DRIVERS\TAOACCELERATOR64.SYS
      addsgn BA652BBE5D22C5062FC4F9F9E7246236FEC2770CC171EE300C5FE12450D671A44FD23CA8BA95E95E9381849F865AC4A659AFA1F90ECAF9A75E6FEDA42459E13B 64 Tencent

      zoo %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
      bl AC4DA97AEC79DFE17B93138117D738A9 89464
      ; C:\WINDOWS\SYSTEM32\DRIVERS\TAOKERNEL64.SYS
      addsgn BA6523BE4522C53E2FDCE6328890D54101BEFDF6893AD83CA1F3C5BC50D699B1ACE83C58889518895F890FDB6222A0CA7FDFE83AD6A694442D03F0E883226A73 64 Tencent

      zoo %Sys32%\DRIVERS\TAOKERNEL64.SYS
      bl 96AD46A4F7ED4CAE92634117212448E6 131896
      ; C:\PROGRAMDATA\MICROSOFT\SEARCH\DATA\APPLICATIONS\WINDOWS\TMP.EDB
      addsgn 71905392541F499ACDD7AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023DB3C726E8095597E0B681EAA3E4AFA7D7C38005BCA3921E105AA3F4E13EA01 64 Tencent

      zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\SEARCH\DATA\APPLICATIONS\WINDOWS\TMP.EDB
      bl 7CC415AB92D90572E407ADD494DB538A 8454144
      ; C:\WINDOWS\SYSTEM32\DRIVERS\TSSKX64.SYS
      addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A43F3AF29BD80CBD7C3573E559D492B80849F0CD249FA555FE872951AB02C2D77A42FC7062273 64 Tencent

      zoo %Sys32%\DRIVERS\TSSKX64.SYS
      bl 425FDEF848C6825A4A022DDB6C9241A6 45368
      ; C:\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT
      addsgn 71905392541F499A85D2AFB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB340239C87733A03AEBF1046F183AE025FFA7D89BE24038C772C3B77A42F2F329A8C 64 Tencent

      zoo %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT
      bl 16AAAF9C0AAF2186003390251DE90723 678240
      deldir %SystemDrive%\PROGRAM FILES (X86)\CLEANBROWSER
      delhst 127.0.0.1       down.baidu2016.com
      delhst 127.0.0.1       www.czzsyzxl.com
      delhst 127.0.0.1       www.czzsyzgm.com
      delhst 127.0.0.1       123.sogou.com
      delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
      delref HTTP://WWW.DUBA.COM/?UN_449343_3347
      delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO\3.12.58_0\TAMPERMONKEY
      delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\3.1_0\电脑管家上网防护
      zoo D:\GAME\DOTA\STEAMAPPS\COMMON\EURO TRUCK SIMULATOR 2\EURO TRUCK SIMULATOR 2 MULTIPLAYER\LAUNCHER.BAT
      del D:\GAME\DOTA\STEAMAPPS\COMMON\EURO TRUCK SIMULATOR 2\EURO TRUCK SIMULATOR 2 MULTIPLAYER\LAUNCHER.BAT
      zoo D:\GAME\DOTA\STEAMAPPS\COMMON\EURO TRUCK SIMULATOR 2\TRUCKERSMP\LAUNCHER_ETS2MP.BAT
      del D:\GAME\DOTA\STEAMAPPS\COMMON\EURO TRUCK SIMULATOR 2\TRUCKERSMP\LAUNCHER_ETS2MP.BAT
      zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ОДНОКЛАССНИКИ.LNK
      del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ОДНОКЛАССНИКИ.LNK
      zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ИНТЕРНЕТ.LNK
      del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ИНТЕРНЕТ.LNK
      zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ВКОНТАКТЕ.LNK
      del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ВКОНТАКТЕ.LNK
      zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\EURO TRUCK SIMULATOR 2 MULTIPLAYER\PLАY ЕURО ТRUСK SIMULАTОR 2 МULTIPLАYЕR.LNK
      zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TRUCKERSMP\ЕURО ТRUСK SIMULАTОR 2 МULTIPLАYЕR.LNK
      zoo %SystemDrive%\USERS\PUBLIC\DESKTOP\ЕURО ТRUСK SIMULАTОR 2 МULTIPLАYЕR.LNK
      zoo %SystemDrive%\PROGRAM FILES (X86)\HTC\HTC SYNC MANAGER\PSFTPUT_UPLOAD.BAT

      regt 29
      regt 28
      czoo
      chklst
      delvir
      deltmp
      areg
      restart


       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.


    Сделайте новый лог UVS
     
    Последнее редактирование: 12 мар 2016
  5. Костя
    Оффлайн

    Костя Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    В играх звук перестал работать. Сделал лог UVS
     

    Вложения:

  6. Костя
    Оффлайн

    Костя Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    У меня перестал открываться браузер (любой), проблемы со звуком (стал везде тише, в играх иногда отсутствует), куча непонятных процессов в диспетчере, которых я боюсь закрывать (попытался закрыть один - пропал звук везде). AdGuard постоянно блокирует какую-то рекламу, при том, что браузер нельзя открыть. Все очень долго грузиться, включая винду. Проблемы стали тяжелее этим утром. Нужно ли делать новый лог?

    Написал друг со своего компа.
     
  7. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.227
    Симпатии:
    4.980
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):


      ;uVS v3.87 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1
      v385c

      breg

      sreg


      ; C:\USERS\USER\APPDATA\LOCAL\42323039-1457889299-3045-4645-3045FFFFFFFF\QNSO4FAC.TMP
      zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\42323039-1457889299-3045-4645-3045FFFFFFFF\QNSO4FAC.TMP
      bl 542199EC8FAA7CB170B8F663D62ADA99 158720
      addsgn 1A26069A5583C58CF42B254E3143FE8E60825F4EDBB81F2546483AE9DB3A201ADC227B057C55625C4F30C59FCDE6C2BF755A2807433202292D77CE39998F129B 64 Adware.ClickMeIn.5564 [DrWeb]

      ; C:\PROGRAMDATA\WINDOWSMSG\675D131108D4FD145B0BFBC68A3E018A.DLL
      zoo %SystemDrive%\PROGRAMDATA\WINDOWSMSG\675D131108D4FD145B0BFBC68A3E018A.DLL
      bl 675D131108D4FD145B0BFBC68A3E018A 2010624
      addsgn A7679B1928664D070E3C4D6364C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D956C30906C1AE91649C9BD9F6307595F4659214E911FA41B327C 64 Win32/Adware.Agent.NPK

      ; C:\PROGRAMDATA\STIIOCFY\FKTXQVGQL5.EXE
      addsgn 1A923C9A5583338CF42B627DA804DEC9E946303A4536D3B44994933724F261C76F33D7DC427191C2EA0B559C802DB78C75E4107DD7B2B32C2D781E0A3FCB6373 64 Win32/Adware.HPDefender.W

      zoo %SystemDrive%\PROGRAMDATA\STIIOCFY\FKTXQVGQL5.EXE
      bl A031C0D5C61754E514880B519499E8AB 124872
      ; C:\PROGRAM FILES (X86)\HPDEF\GB7WST.EXE
      addsgn 1A6F2A9A5583338CF42B627DA804DEC9E946307DDDDE13F3C9E7C13982A20E439553E75F31EFB871C0C2849E351BC2B659D3BFF929FEB8DF879CF9A493222EF2 64 Win32/Adware.HPDefender.X

      zoo %SystemDrive%\PROGRAM FILES (X86)\HPDEF\GB7WST.EXE
      bl B2A0D866A77D55AEA9C5BDC115F175AA 202184
      delref %SystemDrive%\PROGRAMDATA\HOMEPAGE.EXE
      delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\NPQMEXTENSIONSMOZILLA.DLL
      delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QMUDISK64.SYS
      delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QQPCRTP.EXE
      delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\QQSYSMONX64.SYS
      delref %SystemDrive%\PROGRAMDATA\SERVICE.EXE
      delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\SOFTAAL64.SYS
      delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\TSDEFENSEBT64.SYS
      delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\TSNETHLPX64.SYS
      ; C:\PROGRAMDATA\GDPCYTEIL\BBOULDM0.EXE
      zoo %SystemDrive%\PROGRAMDATA\GDPCYTEIL\BBOULDM0.EXE
      deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218
      delref HTTP://ISTARTPAGEING.COM/WEB?TYPE=DS&TS=1457874950&Z=2ACBCE01DA82A8DEC2441A3GAZ6W8M7BFMEZDTFZ8B&FROM=AGE&UID=ST3120026A_5JT53ZD4&Q={SEARCHTERMS}
      delref HTTP://WWW.ISTARTPAGEING.COM/?TYPE=HP&TS=1457874950&Z=2ACBCE01DA82A8DEC2441A3GAZ6W8M7BFMEZDTFZ8B&FROM=AGE&UID=ST3120026A_5JT53ZD4
      delref HTTP://WWW.YEABESTS.CC/
      delref %SystemDrive%\PROGRAM FILES (X86)\搜狐影音\NPIFOX.DLL
      delref %Sys32%\DOJYGICI.EXE
      delref D:\TEMP\GKERNEL.SYS
      czoo
      deltmp
      chklst
      delvir
      areg
      restart

       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.



    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 14 мар 2016
  8. Костя
    Оффлайн

    Костя Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Сделал все по инструкции,предоставил логи.
     

    Вложения:

  9. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.227
    Симпатии:
    4.980
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Сделайте свежий лог AdwCleaner
     
  10. Костя
    Оффлайн

    Костя Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Сделал отчет после удаления и сделал лог
     

    Вложения:

  11. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.227
    Симпатии:
    4.980
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  12. Костя
    Оффлайн

    Костя Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    AdwCleaner ничего не нашел.Отчеты прикрепил.
     

    Вложения:

    • Addition.txt
      Размер файла:
      36,2 КБ
      Просмотров:
      2
    • AdwCleaner[S1].txt
      Размер файла:
      1,2 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      36,9 КБ
      Просмотров:
      2
    • Shortcut.txt
      Размер файла:
      63,8 КБ
      Просмотров:
      2
  13. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.227
    Симпатии:
    4.980
    Сделайте такой лог:
    http://safezone.cc/resources/check-browsers-lnk-by-dragokas-regist.122/


    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    Task: {3C794695-9E8E-4209-834E-A53D0202C6E0} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster\AutoUpdate.exe
    Task: {DB378F74-F32F-4CDC-A30F-8793C51A513C} - System32\Tasks\Uninstaller_SkipUac_User => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
    ShortcutWithArgument: C:\Users\User\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yanbex.pw
    HKLM-x32\...\Run: [mpck_en_005030262] => [X]
    HKLM-x32\...\Run: [sun21] => [X]
    FF Extension: No Name - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\iobitascsurfingprotection@iobit.com [not found]
    S1 SRepairDrv; \??\C:\Windows\GJFix\SRepairDrv [X]
    S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster\Driver\WinRing0x64.sys [X]
    Folder: C:\Users\Все пользователи\LBVbnkdEn
    Folder: C:\ProgramData\LBVbnkdEn
    zip: C:\ProgramData\LBVbnkdEn,C:\Users\Все пользователи\LBVbnkdEn
    zip: C:\ProgramData\LBVbnkdEn
    zip: C:\Users\Все пользователи\sTIiOCFY
    zip: C:\ProgramData\sTIiOCFY
    zip: C:\Users\User\AppData\Roaming\UPUpdata
    zip: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    + на рабочем столе будет создан архив Upload.zip,его так же отправьте в карантин + продублируйте мне на почту.

    Сообщите как проблемы,что еще беспокоит.
     
  14. Костя
    Оффлайн

    Костя Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Все файлы предоставил.Есть какое то торможение,зависание.
     

    Вложения:

    • Check_Browsers_LNK.log
      Размер файла:
      9,8 КБ
      Просмотров:
      3
    • Fixlog.txt
      Размер файла:
      6 КБ
      Просмотров:
      4
    • Upload.zip
      Размер файла:
      420 байт
      Просмотров:
      3
  15. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.227
    Симпатии:
    4.980
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта закройте все сетевые подключения.');
    QuarantineFileF('C:\Users\Все пользователи\LBVbnkdEn', '*', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\LBVbnkdEn', '*', true, '', 0, 0);
    QuarantineFileF('C:\Users\Все пользователи\sTIiOCFY', '*', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\sTIiOCFY', '*', true, '', 0, 0);
    QuarantineFileF('C:\Users\User\AppData\Roaming\UPUpdata', '*', true, '', 0, 0);
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    ExecuteWizard('SCU', 2, 3, true);
    end.
     
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
     
    Последнее редактирование модератором: 17 мар 2016
Статус темы:
Закрыта.

Поделиться этой страницей