Решена Появляются ярлыки на рабочем столе

Тема в разделе "Лечение компьютерных вирусов", создана пользователем idiscodancer, 27 авг 2016.

Статус темы:
Закрыта.
  1. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    Здравствуйте. Брат установил какую-то странную программу и не обратил внимание на галочки. Установилась целая куча программок, часть mail, остальные до сих пор нахожу. После чего стали появляться ярлыки ссылки на рабочем столе, сами собой появились программа мониторящие компьютер, сами собой меняются настройки системы, компьютер стал заходить при перезагрузке в другие профили, начал запрашивать пароль, который я отключил. Куда то исчезает оперативная память. Компьютер стал жить своей жизнью. Антивирус при глубоком сканировании не обнаружил проблем.
     

    Вложения:

  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.468
    Симпатии:
    3.097
    PBot удалите через Установку программ.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\alexn\AppData\Local\PBot\uninstall.exe','');
     QuarantineFile('C:\ProgramData\RenewalService\Renewal.exe','');
     QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
     QuarantineFile('C:\Users\alexn\AppData\Local\PBot\launchall.js','');
     QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
     DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
     DeleteFile('C:\Users\alexn\AppData\Local\PBot\launchall.js','32');
     DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\RenewalService','64');
     DeleteFile('C:\ProgramData\RenewalService\Renewal.exe','32');
     DeleteFile('C:\Users\alexn\AppData\Local\PBot\uninstall.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\{1FFEA577-BB20-43B2-9F21-70724D78CCBD}','64');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
     
  3. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    pbot не удалялся через unistaller, пришлось удалить вручную папку и почистить реестр.
     

    Вложения:

  4. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.468
    Симпатии:
    3.097
    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
    [​IMG]
    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
     
  5. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    Отчет во вложении
     

    Вложения:

    • FRST.rar
      Размер файла:
      42 КБ
      Просмотров:
      1
  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.468
    Симпатии:
    3.097
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код (Text):

    CreateRestorePoint:
    Tcpip\..\Interfaces\{6c6a296e-d22f-4a34-88d7-2a017d247a11}: [NameServer] 89.108.106.89,8.8.8.8
    2016-08-23 21:07 - 2016-08-24 03:26 - 00000000 ____D C:\Users\alexn\AppData\Local\Kometa
    2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk
    2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
    2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
    2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Forge of Empires.lnk
    2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Booking.com.lnk
    2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk
    2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk
    2016-08-15 20:19 - 2016-08-28 15:45 - 00000000 __SHD C:\Users\Все пользователи\KRB Updater Utility
    2016-08-15 20:19 - 2016-08-28 15:45 - 00000000 __SHD C:\ProgramData\KRB Updater Utility
    2016-08-15 20:19 - 2016-08-23 21:07 - 00000000 ____D C:\Users\alexn\AppData\Local\Amigo
    2016-08-15 20:19 - 2016-08-15 20:19 - 00000000 ____D C:\Users\alexn\AppData\Local\Поиcк в Интeрнете
    2016-08-15 20:18 - 2016-08-27 20:47 - 00000000 ____D C:\Program Files (x86)\Kinoroom Browser
    C:\Users\alexn\AppData\Local\Temp\kernel32.dll
    Task: {2B12731D-0B24-4312-8DA9-E8CEC0BCBAF5} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
    Task: {8D6E8A9F-AE81-4E21-8978-0F6E5E9942A0} - \{1FFEA577-BB20-43B2-9F21-70724D78CCBD} -> No File <==== ATTENTION
    Task: {F461453E-A801-427A-A4F0-D96BD1E8BF53} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
    Reboot:
     
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание, что будет выполнена перезагрузка компьютера.
     
  7. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    Еще почему-то у меня на компьютере вдруг стало два моих аккаунта и стал запрашиваться пароль при входе, хотя я его отключил
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      4,8 КБ
      Просмотров:
      1
  8. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.468
    Симпатии:
    3.097
    Ничего критического не трогали. Или это из первоначальных проблем? Что с исходной проблемой?
     
  9. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    Ярлыки больше не появляются, спасибо. Но при загрузки системы вылетает сообщение отсутствует подключение к сети и требует ввести пароль, хотя ввод пароля везде отключен. Никаких изменений в системе не проиводил.
     
  10. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.468
    Симпатии:
    3.097
    Кажется понял, о чем речь :)

    В настройках выхода в Интернет пропишите DNS-адреса, выданные Вам провайдером
     
    Kиpилл нравится это.
  11. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    Вчера появилась новая или продолжилась старая проблема. После загрузки Windows начинается постоянное обновление рабочего стола. Запустить могу только диспетчер задач и все что из него можно запустить. Восстановление не помогло. Антивирус запустить не могу, даже с флешки, флешку не видит. В безопасном режиме тоже самое. Может ли это быть вирус?
     
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Клавиатуру пробовали сменить?
     
  13. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    у меня ноутбук
     
  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Клавишу F5 попробуйте поклацать, ощущение, что она залипла
     
  15. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    нет, не помогает. Писал в техподдержку Майкрософт, сказали, что вирус и он какие-то важные системные файлы уничтожил. Пришлось переустанавливать систему.
     
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.202
    Симпатии:
    4.970
    Значит проблема не актуальна,я полагаю?
     
  17. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    да, уже не актуально. Спасибо за помощь
     
  18. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.202
    Симпатии:
    4.970
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';

      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
Статус темы:
Закрыта.

Поделиться этой страницей