Закрыто Вирусы и реклама

Тема в разделе "Лечение компьютерных вирусов", создана пользователем PAXMA, 28 дек 2015.

Статус темы:
Закрыта.
  1. PAXMA
    Оффлайн

    PAXMA Новый пользователь

    Сообщения:
    6
    Симпатии:
    1
    Очень проблемный компьютер. Постоянно что-то подхватывает из сети. Проверьте, пожалуйста, логи и скажи, как лечить. При проверке AVZ открылись Enternet Explorer и Microsoft Word (в ворде хоть и без картинок, но открылся сайт гугл и начало печататься слово "test", скриншот прикрепил). Сам AVZ сказал, что откроет Enternet Explorer и Crossbrowse.
    Заранее Спасибо!
     

    Вложения:

  2. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    смотрю логи
    --- Объединённое сообщение, 28 дек 2015 ---
    PAXMA, через Панель управления, удалите следующее ПО:
    Код (Text):
    CiPlus-4.5vV02.09
    CiPlus-4.5vV03.09
    GamesDesktop 033.005010078
    globalupdate Helper
    oursurfing uninstall
    TSearch
    VkontakteDJ
    Продукты компании Iobit сами устанавливали?
    Амиго сами ставили?

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('C:\Users\Роман\AppData\Roaming\Kon95T9n09oVjokDVoHFsyyY.exe', '');
    QuarantineFile('C:\Users\Роман\AppData\Roaming\GipLczEqTF58lx2mzKw2.exe', '');
    QuarantineFile('C:\Users\Роман\AppData\Roaming\g9PxQOf.exe', '');
    QuarantineFile('C:\Users\Роман\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
    QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
    QuarantineFile('C:\Users\Роман\AppData\Local\Chromium\Application\chrome.bat', '');
    QuarantineFile('C:\Program Files (x86)\AnVir Task Manager\AnVir.exe', '');
    QuarantineFile('C:\Program Files (x86)\baidu\baidu.exe', '');
    QuarantineFile('C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe', '');
    QuarantineFile('C:\Program Files (x86)\C74EC014-1441215942-88FC-1520-5155E3C9E34F\knsqD62F.tmp', '');
    QuarantineFile('C:\Users\Роман\AppData\Local\PCSpeed\pc.exe', '');
    QuarantineFile('C:\ProgramData\Appverifier\AppVerifierService.exe', '');
    QuarantineFile('C:\Users\Роман\AppData\Local\Kometa\Application\kometa.bat', '');
    QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat', '');
    QuarantineFile('C:\Program Files (x86)\SkyrimLauncher.bat', '');
    QuarantineFile('C:\Program Files (x86)\HP\USBSetupLauncher.bat', '');
    DeleteFile('C:\ProgramData\Appverifier\AppVerifierService.exe', '32');
    DeleteFile('C:\Users\Роман\AppData\Local\PCSpeed\pc.exe', '32');
    DeleteFile('C:\Program Files (x86)\C74EC014-1441215942-88FC-1520-5155E3C9E34F\knsqD62F.tmp', '32');
    DeleteFile('C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe', '32');
    DeleteFile('C:\Program Files (x86)\baidu\baidu.exe', '32');
    DeleteFile('C:\Users\Роман\AppData\Local\Chromium\Application\chrome.bat', '32');
    DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '32');
    DeleteFile('C:\Users\Роман\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
    DeleteFile('C:\Users\Роман\AppData\Roaming\g9PxQOf.exe', '32');
    DeleteFile('C:\Users\Роман\AppData\Roaming\GipLczEqTF58lx2mzKw2.exe', '32');
    DeleteFile('C:\Users\Роман\AppData\Roaming\Kon95T9n09oVjokDVoHFsyyY.exe', '32');
    DeleteFile('C:\Windows\Tasks\Kon95T9n09oVjokDVoHFsyyY.job', '32');
    DeleteFile('C:\Users\Роман\AppData\Local\Kometa\Application\kometa.bat', '32');
    DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat', '32');
    DeleteFile('C:\Program Files (x86)\SkyrimLauncher.bat', '32');
    DeleteFile('C:\Program Files (x86)\HP\USBSetupLauncher.bat', '32');
    DeleteFile('C:\Windows\Tasks\GipLczEqTF58lx2mzKw2.job', '32');
    DeleteFile('C:\Windows\Tasks\g9PxQOf.job', '32');
    DeleteService('WindowsMangerProtect');
    DeleteService('wikuholy');
    DeleteService('OECU24');
    DeleteService('AppVerifier');
    DeleteFileMask('C:\Program Files (x86)\baidu', '*', true);
    DeleteFileMask('C:\Users\Роман\AppData\Roaming\Browsers', '*', true);
    DeleteFileMask('C:\ProgramData\Tmp0x0x', '*', true);
    DeleteFileMask('C:\Program Files (x86)\C74EC014-1441215942-88FC-1520-5155E3C9E34F', '*', true);
    DeleteFileMask('C:\Users\Роман\AppData\Local\PCSpeed', '*', true);
    DeleteFileMask('C:\ProgramData\Appverifier', '*', true);
    DeleteDirectory('C:\Program Files (x86)\baidu');
    DeleteDirectory('C:\ProgramData\Tmp0x0x');
    DeleteDirectory('C:\Program Files (x86)\C74EC014-1441215942-88FC-1520-5155E3C9E34F');
    DeleteDirectory('C:\Users\Роман\AppData\Local\PCSpeed', );
    DeleteDirectory('C:\ProgramData\Appverifier');
    DeleteDirectory('C:\Users\Роман\AppData\Roaming\Browsers');
    DelBHO('AutorunsDisabled');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu', 'command');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchcs-poiski.ru
    O2 - BHO: (no name) - AutorunsDisabled - (no file)
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    O4 - .DEFAULT Startup: AutorunsDisabled    ->  
    O4 - HKCU\..\Run: [VkontakteDJ] C:\Program Files\VkontakteDJ\VKontakteDJ.exe /H
    O4 - MSConfig..HKLM: 2014/07/04 [baidu] C:\Program Files (x86)\baidu\baidu.exe (no file)
    O4 - S-1-5-18 Startup: AutorunsDisabled    ->  
    O4 - S-1-5-19 Startup: AutorunsDisabled    ->  
    O4 - S-1-5-20 Startup: AutorunsDisabled    ->  
    O4 - S-1-5-21-3408261941-3961230590-3484547300-1004 AltStartup: AutorunsDisabled    ->  
    O4 - S-1-5-21-3408261941-3961230590-3484547300-500 AltStartup: AutorunsDisabled    ->  
    O4 - S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415 Startup: AutorunsDisabled    ->  
    O4 - Startup: AutorunsDisabled    ->
     
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  3. PAXMA
    Оффлайн

    PAXMA Новый пользователь

    Сообщения:
    6
    Симпатии:
    1
    Пока далеко от компьютера и не могу выполнить скрипты. После создания темы, догадался почистить adwcleaner'ом, но поищу и второй раз. Iobit сам ставил, но уже не нужен, так что не против удалить.
     
  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    PAXMA, логи AdwCleaner делайте после того как выполните скрипт
     
  5. PAXMA
    Оффлайн

    PAXMA Новый пользователь

    Сообщения:
    6
    Симпатии:
    1
    Совсем забыл, что Амиго не ставил.
    Выполнил все инструкции. Лог AVZ отправил по форме. Остальные логи прикрепляю.
    С наступающим! Пусть Вам всегда сопутствует успех в любом начинании!
     

    Вложения:

  6. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    рекомендую не использовать это ПО.

    Вот это не получилось удалить?
    globalupdate Helper

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    DeleteFile('C:\Windows\system32\Tasks\ASC8_PerformanceMonitor', '64');
    DeleteFile('C:\Windows\system32\Tasks\ASC8_SkipUac_Роман', '64');
    DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Роман)', '64');
    DeleteService('QQPCRTP');
    DeleteFileMask('C:\Program Files (x86)\IObit', '*', true);
    DeleteFileMask('C:\Users\Роман\AppData\Local\Amigo', '*', true);
    DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
    DeleteDirectory('C:\Program Files (x86)\IObit');
    DeleteDirectory('C:\Users\Роман\AppData\Local\Amigo');
    DeleteDirectory('C:\Program Files (x86)\Tencent');
    DelBHO('AutorunsDisabled');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    O2 - BHO: (no name) - AutorunsDisabled - (no file)
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    O4 - .DEFAULT Startup: AutorunsDisabled    ->  
    O4 - S-1-5-18 Startup: AutorunsDisabled    ->  
    O4 - S-1-5-19 Startup: AutorunsDisabled    ->  
    O4 - S-1-5-20 Startup: AutorunsDisabled    ->  
    O4 - Startup: AutorunsDisabled    ->
     
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.

    P.S. Спасибо за поздравления, и вас с наступающим, всего наилучшего в новом году!
     
    Последнее редактирование: 30 дек 2015
Статус темы:
Закрыта.

Поделиться этой страницей