Решена Проблема с вирусом exe.rehcnual

Тема в разделе "Лечение компьютерных вирусов", создана пользователем DeadTeacher, 13 май 2015.

Метки:
Статус темы:
Закрыта.
  1. DeadTeacher
    Оффлайн

    DeadTeacher Пользователь

    Сообщения:
    34
    Симпатии:
    0
    Обнаружил на компьютере неудаляемый ярлык. При попытке удаления ссылается на файл exe.rehcnual, который находится в папке C:\\...\AppData\roaming\browsers\ Файла я там не обнаружил и удалил всю папку, но проблема осталась. Прочистил программой AdwCleaner, но данный файл он не обнаружил.
     
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
  3. DeadTeacher
    Оффлайн

    DeadTeacher Пользователь

    Сообщения:
    34
    Симпатии:
    0
    Я прочитал правила, но какой файл прикреплять не знаю. Вроде разобрался, сейчас всё будет.
    --- Объединённое сообщение, 13 май 2015, Дата первоначального сообщения: 13 май 2015 ---
    Вот архив с результатами
    --- Объединённое сообщение, 13 май 2015 ---
    Проблема появилась предположительно после того, как я установил новую тему. При установке темы парралельно установилась куча левого софта, его удалил. В итоге удалил всё, что нашёл связанного с данной темой.
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Программы от mail.ru используете?

    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код (Text):
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Орerа.lnk
    C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnеt Eхplorеr Вrowsеr.lnk
    C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk
    C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа (2).lnk
    C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа.lnk
    C:\Users\Dez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Eхрlorеr (No Аdd-ons).lnk
    C:\Users\Public\Desktop\Sid Мeiеr's Civilizatiоn V - Completе Еdition.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PROТанки MultiPack\МultiPасk Launсher.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sid Meier's Civilization V\Sid Мeier's Сivilizаtiоn V.lnk
    C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Sid Меiеr's Civilizаtion V - Сomplеtе Еditiоn.lnk
    C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\WОTLaunсher - Ярлык.lnk
    C:\Users\Dez\Desktop\MultiPack Launcher.lnk
    C:\Users\Public\Desktop\Opera.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
    C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    C:\Users\Dez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  5. DeadTeacher
    Оффлайн

    DeadTeacher Пользователь

    Сообщения:
    34
    Симпатии:
    0
    Пробовал прогонять программой AdwCleaner ещё вчера, поэтому отчёт уже R5.
     

    Вложения:

  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
     
  7. DeadTeacher
    Оффлайн

    DeadTeacher Пользователь

    Сообщения:
    34
    Симпатии:
    0
    Проблема с ярлыками ,кажется, осталась...
     

    Вложения:

  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    подробней напишите, какие проблемы остались.
     
  9. DeadTeacher
    Оффлайн

    DeadTeacher Пользователь

    Сообщения:
    34
    Симпатии:
    0
    Значок оперы на панели задач(конкретно тот, что отображает запущенный процесс) отображается белым листом. Так же медленно загружаются интернет-страницы, хотя закачка идёт в нормальном режиме. И ещё одно, хоть это вроде бы и не проблема, но непривычно: на некоторых файлах и ярлыках появился знак брандмауэра, а он у меня был включён и ранее. Настройки брандмауэра не изменились, проверил. Запрос на подтверждение данных приложений не появляется.
    --- Объединённое сообщение, 14 май 2015 ---
    Так же множество всплывающих окон при использовании интернета и различной рекламы с автоперенаправлением на другие сайты. Благо поставил расширения AbGuard и uBlock
     
    Последнее редактирование: 14 май 2015
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    тут уже ничего не сделать, тем более что папку с иконкой вы удалили до обращения за помощью. Единственный вариант это удалить этот ярлык и на его месте создать новый.

    А вот с рекламой повоюем.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  11. DeadTeacher
    Оффлайн

    DeadTeacher Пользователь

    Сообщения:
    34
    Симпатии:
    0
    Пересоздание ярлыка не помогло. Переустановка программы поможет?
    Вот отчёты сканирования
    --- Объединённое сообщение, 14 май 2015 ---
    Так же заметил, что не закачивает и не устанавливает обозначенное дополнение в программе MultipakPro. Раньше этой проблемы не было.
    --- Объединённое сообщение, 14 май 2015 ---
    Всегда слежу за компьютером и так вот вляпался...
     

    Вложения:

    • Addition.txt
      Размер файла:
      34,4 КБ
      Просмотров:
      1
    • FRST.txt.txt
      Размер файла:
      51 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      76,5 КБ
      Просмотров:
      1
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
    HKU\S-1-5-21-2993746658-476218966-4216779025-1000\...\Run: [amigo] => [X]
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    CHR HKU\S-1-5-21-2993746658-476218966-4216779025-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    OPR Extension: (Ge-Force) - C:\Users\Dez\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhongheibdpfhdpfccheljfcabgliidh [2015-05-13]
    2015-05-13 19:38 - 2015-05-13 19:38 - 00000000 ____D () C:\Users\Public\Documents\ShopperPro
    2015-05-13 19:36 - 2015-05-13 19:48 - 00000000 ____D () C:\Users\Public\Documents\GOOBZO
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    по поводу ярлыка подробней поясните, что не получилось? Создавали его от .exe файла?
     
  13. DeadTeacher
    Оффлайн

    DeadTeacher Пользователь

    Сообщения:
    34
    Симпатии:
    0
    Ярлык создавал от *.ехе файла. На рабочем столе отображается корректно, а на панели задач неопределённым белым листом, но программа с него запускается.
    После фикса через FRST страницы стали загружаться более менее приемлемо, но задержки ещё есть. При запуске данной страницы AbGuard и uBlock показали по 5 заблокированных ссылок.
    --- Объединённое сообщение, 14 май 2015 ---
    думаю просто вместе с папкой удалил и иконку для отображения на панели задач.
    --- Объединённое сообщение, 14 май 2015, Дата первоначального сообщения: 14 май 2015 ---
    Ещё настораживает 2 процесса в диспетчере: dllhost.exe в описании указано COM Surrogate. Закрываются через несколько секунд после вызова диспетчера. Оба имеют одинаковое название, различие только в потребляемой памяти.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      1,9 КБ
      Просмотров:
      1
    Последнее редактирование: 14 май 2015
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Просто на панели задач также надо удалить ярлык и создать его заново (либо скопировать с рабочего стола, где уже пересоздали).

    globalupdate Helper - посмотрите, такая программа в списке установленных есть? Если есть деинсталируйте. Какие проблемы остались?
    --- Объединённое сообщение, 14 май 2015 ---
    это системные файлы.
     
  15. DeadTeacher
    Оффлайн

    DeadTeacher Пользователь

    Сообщения:
    34
    Симпатии:
    0
    С ярлыком разобрался, помогло создание с указанием пути. globalupdate Helper деинсталировал. В списке установленных программ есть UxStyle Core Beta. Раньше её не было и удаляться не хочет. Издатель The Within Network, LLC
     
    Последнее редактирование: 14 май 2015
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    В коммандной строке попробуйте выполнить такую команду
    Код (Text):
    MsiExec.exe /X{8E363055-15E5-4D8A-9C69-A0A9DE9A3337}
    проблема решена?
     
  17. DeadTeacher
    Оффлайн

    DeadTeacher Пользователь

    Сообщения:
    34
    Симпатии:
    0
    Да, удалилось. Больше заноз не обнаружил)
    Спасибо вам большое.
     
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
Статус темы:
Закрыта.

Поделиться этой страницей