Закрыто Tencent QQ

Тема в разделе "Лечение компьютерных вирусов", создана пользователем nagmet, 10 фев 2016.

Статус темы:
Закрыта.
  1. nagmet
    Оффлайн

    nagmet Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Здравствуйте!
    После удаления данной заразы не уверен, что комп чист.
    Огромная просьба проверить.
     

    Вложения:

  2. nagmet
    Оффлайн

    nagmet Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Тук-Тук. Есть кто-нибудь?
     
  3. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
    nagmet нравится это.
  4. nagmet
    Оффлайн

    nagmet Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Лог uVS.
     

    Вложения:

  5. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):

      ;uVS v3.86.5 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1
      v385c
      breg
      sreg

      zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\DLCORE.DLL
      zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE

      delall %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\DLCORE.DLL
      delall %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
      zoo %Sys32%\TSSK.SYS
      bl F54555661CD7CB2E7674287E44EEDD8B 67896
      delall %Sys32%\TSSK.SYS
      delref HTTP://SMARTSPUTNIK.RU/?RI=1&UID=A92086451B064EC4CF5D2CB785114CF3&Q={SEARCHTERMS}
      delref HTTP://WWW.HAO123.COM/?TN=90340616_HAO_PG
      zoo %SystemDrive%\USERS\АЛСУ\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.509\RUBIKENGINE.DLL
      delall %SystemDrive%\USERS\АЛСУ\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.509\RUBIKENGINE.DLL
      zoo %Sys32%\DRIVERS\TFSFLT.SYS
      bl 38C62FB68A73718C80E30CE4C2A02EFC 150072
      delall %Sys32%\DRIVERS\TFSFLT.SYS
      zoo %Sys32%\DRIVERS\TSFLTMGR.SYS
      bl 25C7982D4294CB464606A24A5A0B3B44 128280
      delall %Sys32%\DRIVERS\TSFLTMGR.SYS
      deldir %SystemDrive%\USERS\АЛСУ\APPDATA\ROAMING\TENCENT
      deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT
      zoo %Sys32%\DRIVERS\TAOACCELERATOR.SYS
      bl E4CE3B59AE3D940FCFD0C5DD212ABCA5 114616
      delall %Sys32%\DRIVERS\TAOACCELERATOR.SYS
      zoo %Sys32%\DRIVERS\TSDEFENSEBT.SYS
      bl DA5F124A8D025AFA1E44E231AD222B8B 14008
      delall %Sys32%\DRIVERS\TSDEFENSEBT.SYS
      bl 8F2E7CE727CB955361CD2D2B209CA7BE 94520
      delall %Sys32%\DRIVERS\TAOKERNEL.SYS

      czoo
      deltmp
      areg
       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. ​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.

    После выполнения сделайте повторный лог UVS
     
    nagmet нравится это.
  6. nagmet
    Оффлайн

    nagmet Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Архив отправил.
    Повторный лог UVS по инструкции выполнить не получается.
    При запуске start.exe в окне программы отсутствует пункт "Запустить под текущим пользователем".
     

    Вложения:

  7. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    nagmet, в каком режиме вы запускаете UVS?
     
  8. nagmet
    Оффлайн

    nagmet Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    В обычном режиме. После запуска рабочий стол становится черным.
    Изначально так не было.
     
  9. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    nagmet, попробуйте запустить UVS от имени администратора (правой кнопкой мыши на файле start.exe)
     
    Последнее редактирование: 16 фев 2016
  10. nagmet
    Оффлайн

    nagmet Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Аналогично.
     
  11. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    nagmet, соберите логи Автологгером
     
  12. nagmet
    Оффлайн

    nagmet Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Собрал.
    --- Объединённое сообщение, 17 фев 2016 ---
    Кстати и лог uVS получился.
    --- Объединённое сообщение, 17 фев 2016 ---
    лог uVS
     

    Вложения:

  13. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    nagmet, отлично что получились все логи.
    Не вижу от вас карантина собранного через UVS, отправляли?

    Приложения Pretty Tools и remote manipulator system - server вам знакомы?

    Расширение в Mozilla вам знакомо?
    Plugin - Unity Player - 5.0.3.35960 - C:\Users\Алсу\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
    QuarantineFile('C:\Program Files\remote manipulator system - server\rutserv.exe', '');
    QuarantineFile('C:\Program Files\Pretty Tools\Web Slide Show Extension for Internet Explorer\WebSlideShowExtension.dll', '');
    QuarantineFile('C:\Windows\system32\tssk.sys', '');
    QuarantineFile('C:\Program Files\Sersoft\vE9KIQ.exe', '');
    QuarantineFile('C:\Users\Алсу\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
    QuarantineFile('C:\Users\Алсу\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
    QuarantineFile('C:\Users\Алсу\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
    QuarantineFile('C:\Users\Алсу\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (3).lnk', '');
    QuarantineFile('C:\Users\Алсу\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
    QuarantineFile('C:\Users\Алсу\Desktop\Mozilla Firefox.lnk', '');
    QuarantineFileF('C:\Program Files\Sersoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Users\Алсу\AppData\Roaming\Babylon', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\Babylon', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\XqRCBPD', '*', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\ksAecUQT', '*', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\DZKjBQpE', '*', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\TXQMPC', '*', true, '', 0, 0);
    QuarantineFileF('C:\Users\Алсу\AppData\Roaming\Calculator', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\BHqvjKty', '*', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\VUsuBOJr', '*', true, '', 0, 0);
    DeleteFile('C:\Windows\system32\tssk.sys', '32');
    DeleteFile('C:\Windows\QMNetworkMgr.ini', '32');
    DeleteFileMask('C:\Program Files\Sersoft', '*', true);
    DeleteFileMask('C:\Users\Алсу\AppData\Roaming\Babylon', '*', true);
    DeleteFileMask('C:\ProgramData\Babylon', '*', true);
    DeleteFileMask('C:\ProgramData\XqRCBPD', '*', true);
    DeleteFileMask('C:\ProgramData\ksAecUQT', '*', true);
    DeleteFileMask('C:\ProgramData\DZKjBQpE', '*', true);
    DeleteFileMask('C:\ProgramData\TXQMPC', '*', true);
    DeleteFileMask('C:\Users\Алсу\AppData\Roaming\Calculator', '*', true);
    DeleteFileMask('C:\ProgramData\BHqvjKty', '*', true);
    DeleteFileMask('C:\ProgramData\VUsuBOJr', '*', true);
    DeleteDirectory('C:\Program Files\Sersoft');
    DeleteDirectory('C:\Users\Алсу\AppData\Roaming\Babylon');
    DeleteDirectory('C:\ProgramData\Babylon');
    DeleteDirectory('C:\ProgramData\XqRCBPD');
    DeleteDirectory('C:\ProgramData\ksAecUQT');
    DeleteDirectory('C:\ProgramData\DZKjBQpE');
    DeleteDirectory('C:\ProgramData\TXQMPC');
    DeleteDirectory('C:\Users\Алсу\AppData\Roaming\Calculator');
    DeleteDirectory('C:\ProgramData\BHqvjKty');
    DeleteDirectory('C:\ProgramData\VUsuBOJr');
    DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
    DelBHO('{50779FE7-9885-49CC-AB49-6B5484DBADFC}');
    DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
    DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(3);
    ExecuteRepair(4);
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    O4 - MSConfig..HKLM: 2016/02/10 [C] cmd /c(@attrib -H -R -S C:\Windows\system32\GroupPolicy\Machine\Registry.pol >nul)&(@copy/b/y C:\Windows\system32\GroupPolicy\Machine\R C:\Windows\system32\GroupPolicy\Machine\Registry.pol >nul)&(@attrib +R C:\Windows\system32\GroupPolicy\Machine\Registry.pol >nul)&(@start/b gpupdate.exe /Force >L) (no file)
     
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код (Text):

    "C:\Users\Алсу\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk"
    "C:\Users\Алсу\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"
    "C:\Users\Алсу\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk"
    "C:\Users\Алсу\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (3).lnk"
    "C:\Users\Алсу\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk"
    "C:\Users\Алсу\Desktop\Mozilla Firefox.lnk"
    "C:\Users\Алсу\AppData\Local\Mozilla Firefox\firefox.url"
    "C:\Users\Алсу\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk"
     

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  14. nagmet
    Оффлайн

    nagmet Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Карантин ранее отправлял по элетронке. Выполнил все по инструкции. Логи во вложении.
    Приложения Pretty Tools и remote manipulator system - server и расширение в Mozilla Plugin - Unity Player - 5.0.3.35960 не знакомы.
     

    Вложения:

  15. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
    • Если Вы используете следующее ПО:
      Код (Text):
      Amigo
      Mail.Ru
      AlterGeo
      zona
      По окончанию сканирования снимите галочки со следующих строк:
      Код (Text):

      Папка Найдено : C:\Program Files\AlterGeo
      Папка Найдено : C:\Program Files\Mail.Ru
      Папка Найдено : C:\ProgramData\AlterGeo
      Папка Найдено : C:\ProgramData\Mail.Ru
      Папка Найдено : C:\Users\Алсу\AppData\Local\Mail.Ru
      Папка Найдено : C:\Users\Алсу\AppData\Local\MailRu
      Папка Найдено : C:\Users\Алсу\AppData\Roaming\Mail.Ru
      Папка Найдено : C:\Users\Алсу\AppData\Roaming\zona
      Папка Найдено : C:\Users\Алсу\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
      Ключ Найдено : HKCU\Software\zona
      Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Zona)
       
      Если вы данное ПО не используете то с этих строчек галочки не снимайте.
    • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
     
Статус темы:
Закрыта.

Поделиться этой страницей