Закрыто Реклама, всплывающие окна, китайские программы

Тема в разделе "Лечение компьютерных вирусов", создана пользователем nikis25, 15 янв 2016.

Статус темы:
Закрыта.
  1. nikis25
    Оффлайн

    nikis25 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Подцепил вирусы. В браузере открывается реклама, установились разные программы типо китайских антивирусов
     

    Вложения:

  2. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    nikis25, Через панель управления удалите следующее ПО:
    Код (Text):
    Calculator
    Следующие приложения вам знакомы? Если нет и не используете рекомендую удалить:
    Код (Text):
    Unity Web Player
    Загрузитесь в безопасном режиме

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('C:\Windows\System32\cwlog.dtl', '');
    QuarantineFileF('C:\Users\Администратор\AppData\Roaming\VG01_2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Users\Администратор\AppData\Local\blacount', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files (x86)\Tencent', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\VKSaver', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\TXQMPC', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Users\Администратор\AppData\Roaming\Tencent', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\Tencent', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\netfilter2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files (x86)\filter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\NHynXvnVd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\iSMsRtGXFR', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\svUIIzu', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
    QuarantineFile('C:\Windows\system32\drivers\TFsFltX64.sys', '');
    QuarantineFile('C:\Users\Администратор\AppData\Roaming\daemon2.exe', '');
    QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
    QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\R', '');
    DeleteFile('C:\Windows\system32\drivers\netfilter2.sys', '32');
    DeleteFile('C:\Windows\system32\drivers\TFsFltX64.sys', '32');
    DeleteFile('C:\Windows\system32\GroupPolicy\Machine\R', '32');
    DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32');
    DeleteFile('C:\Users\Администратор\AppData\Roaming\daemon2.exe', '32');
    DeleteFile('C:\Windows\Tasks\VG01_2.job', '32');
    DeleteFile('C:\Windows\system32\Tasks\VG01_2', '64');
    DeleteService('QQPCRTP');
    DeleteService('netfilter2');
    DeleteFileMask('C:\Users\Администратор\AppData\Roaming\VG01_2', '*', true);
    DeleteFileMask('C:\Users\Администратор\AppData\Local\blacount', '*', true);
    DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
    DeleteFileMask('C:\ProgramData\VKSaver', '*', true);
    DeleteFileMask('C:\ProgramData\TXQMPC', '*', true);
    DeleteFileMask('C:\Users\Администратор\AppData\Roaming\Tencent', '*', true);
    DeleteFileMask('C:\ProgramData\Tencent', '*', true);
    DeleteFileMask('C:\netfilter2', '*', true);
    DeleteFileMask('C:\Program Files (x86)\filter', '*', true);
    DeleteFileMask('C:\ProgramData\NHynXvnVd', '*', true);
    DeleteFileMask('C:\ProgramData\iSMsRtGXFR', '*', true);
    DeleteFileMask('C:\ProgramData\svUIIzu', '*', true);
    DeleteDirectory('C:\Users\Администратор\AppData\Roaming\VG01_2');
    DeleteDirectory('C:\Users\Администратор\AppData\Local\blacount');
    DeleteDirectory('C:\Program Files (x86)\Tencent');
    DeleteDirectory('C:\ProgramData\VKSaver');
    DeleteDirectory('C:\ProgramData\TXQMPC');
    DeleteDirectory('C:\Users\Администратор\AppData\Roaming\Tencent');
    DeleteDirectory('C:\ProgramData\Tencent');
    DeleteDirectory('C:\netfilter2');
    DeleteDirectory('C:\Program Files (x86)\filter');
    DeleteDirectory('C:\ProgramData\NHynXvnVd');
    DeleteDirectory('C:\ProgramData\iSMsRtGXFR');
    DeleteDirectory('C:\ProgramData\svUIIzu');
    DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'VKSaver');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QQPCTray');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'blacount');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Daemon');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(3);
    ExecuteRepair(4);
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90340616_hao_pg
    R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    O9 - Extra button: (no name) - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - (no file)
    O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
     
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Kиpилл нравится это.
  3. nikis25
    Оффлайн

    nikis25 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    AdwCleaner
     

    Вложения:

  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    nikis25, скрипт выполнили? Из безопасного режима?

    Почему не сделали вот это?
     
Статус темы:
Закрыта.

Поделиться этой страницей