1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Китайский вирус и другая реклама

Тема в разделе "Удаление компьютерных вирусов", создана пользователем SeeOn, 21 фев 2017.

  1. SeeOn
    Оффлайн

    SeeOn Активный пользователь

    Сообщения:
    391
    Симпатии:
    68
    На ноуте поселился китайский вирус (браузер и реклама). Также в основном браузере постоянно появляется реклама. Также проблема с отображением рабочего стола. При загрузке просто черный экран и все. Только после 3-4 перезагрузок и выгрузки процесов вируса с диспетчера задач раб. стол отобразился.
     

    Вложения:

    • Addition.txt
      Размер файла:
      46,7 КБ
      Просмотров:
      5
    • FRST.txt
      Размер файла:
      44,4 КБ
      Просмотров:
      4
    • Shortcut.txt
      Размер файла:
      120,5 КБ
      Просмотров:
      0
    • Check_Browsers_LNK.log
      Размер файла:
      8,5 КБ
      Просмотров:
      1
    • HiJackThis.log
      Размер файла:
      46,7 КБ
      Просмотров:
      2
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.471
    Симпатии:
    14.619
    О как все запущено. Начнем тогда с
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
    --- Объединённое сообщение, 21 фев 2017 ---
    Для запуска рабочего стола сможет сработать комбинация Win+R с командой explorer
     
  4. SeeOn
    Оффлайн

    SeeOn Активный пользователь

    Сообщения:
    391
    Симпатии:
    68
    Пробовал. Не помогло!
    Даже команда "выполнить" не запускается.
     
    Последнее редактирование: 21 фев 2017
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.471
    Симпатии:
    14.619
    А AdwCleaner? Безопасный режим с поддержкой сети?
     
  6. SeeOn
    Оффлайн

    SeeOn Активный пользователь

    Сообщения:
    391
    Симпатии:
    68
    "Убил" один процес в диспетчере задач и рабочий стол запустился.
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.471
    Симпатии:
    14.619
    Тогда запускаем сканер
     
  8. SeeOn
    Оффлайн

    SeeOn Активный пользователь

    Сообщения:
    391
    Симпатии:
    68
    Готово.
     

    Вложения:

  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.471
    Симпатии:
    14.619
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    И после удаления нужен свежий лог FRST и Check_Browsers_LNK
     
  10. SeeOn
    Оффлайн

    SeeOn Активный пользователь

    Сообщения:
    391
    Симпатии:
    68
    Готово.
     

    Вложения:

    • AdwCleaner[C0].txt
      Размер файла:
      53,4 КБ
      Просмотров:
      2
    • Check_Browsers_LNK.log
      Размер файла:
      6,6 КБ
      Просмотров:
      2
    • Addition.txt
      Размер файла:
      41,4 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      62,9 КБ
      Просмотров:
      2
    • Shortcut.txt
      Размер файла:
      116,7 КБ
      Просмотров:
      1
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.471
    Симпатии:
    14.619
    Деинсталируйте стандартным сопособом:
    HPZebra
    trotux

    проверьте содержимое файла hosts, если вносили эти изменения в файл, то удалите из скрипта директиву Hosts:

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    Hosts:
    () C:\Program Files (x86)\7283426f-3046-4086-8ed8-c538d3ea43f71487571244\prot7283426f-3046-4086-8ed8-c538d3ea43f7.tmpfs
    () C:\Windows\Temp\gD106.tmp.exe
    () C:\Program Files (x86)\UCBrowser\Application\UCService.exe
    () C:\Program Files (x86)\7283426f-3046-4086-8ed8-c538d3ea43f71487571244\knsB0A8.tmp
    () C:\Program Files (x86)\7283426f-3046-4086-8ed8-c538d3ea43f71487571244\knsB0A8.tmp
    () C:\Program Files (x86)\UCBrowser\Application\6.0.1471.913\UCAgent.exe
    C:\Program Files (x86)\UCBrowser\
    (IEC) C:\Program Files (x86)\BikaQRssReader\BikaQ.exe
    C:\Program Files (x86)\BikaQRssReader\
    HKLM\...\Policies\Explorer: [EnableShellExecuteHooks]
    HKLM\...\Providers\x9leisov: C:\Program Files (x86)\Sherset Community\local64spl.dll [308224 2017-02-20] ()
    ShellExecuteHooks: No Name - {EE208D6E-F444-11E6-AF06-64006A5CFC23} - C:\Program Files (x86)\Erniedkfack\Atodersqtation.dll [146432 2017-02-20] ()
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll [2017-02-20] ()
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    R2 vutobowi; C:\Program Files (x86)\7283426f-3046-4086-8ed8-c538d3ea43f71487571244\knsB0A8.tmp [416768 2017-02-21] () [File not signed]
    R2 gemeloki; C:\Program Files (x86)\7283426f-3046-4086-8ed8-c538d3ea43f71487571244\prot7283426f-3046-4086-8ed8-c538d3ea43f7.tmpfs [X]
    S2 serverss; C:\Windows\Temp\A21B.tmp [X]
    U1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
    Task: {081F77CB-6B87-42A8-AEFC-DAEEC7783758} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-15] (UCWeb Inc) <==== ATTENTION
    Task: {4333E581-AB34-4C06-8DE2-5AC339C2B343} - System32\Tasks\4646I82I85L1330 => Rundll32.exe "C:\ProgramData\4646I82I85L1330\4646I82I85L1330.dll",IILUsWWZ <==== ATTENTION
    Task: {523D330A-7CC3-4652-BEBB-3F7A87D5EA7F} - \{7F0F7E47-0C0C-0F7D-7D11-7E0A7D08117E} -> No File <==== ATTENTION
    Task: {6A79DAD2-6B03-4EB3-827B-366C350ED8AA} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-15] (UCWeb Inc) <==== ATTENTION
    Task: {6E89844D-9E0F-4B49-9F24-B3C4545005BE} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-02-20] (UC Web Inc.) <==== ATTENTION
    Task: {9F3ED6BC-BD70-40A7-8EDA-A19DE25C3DD4} - System32\Tasks\4646I82I85L1330-dll => Rundll32.exe "C:\ProgramData\4646I82I85L1330\4646I82I85L1330.dll",IILUsWWZ
    Task: {B17BFF1B-30F5-4F2C-8AF2-6CEB4F802589} - System32\Tasks\Anuvtain => "msiexec" /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=TOSHIBAXMQ01ABD075_4376F86FSXX4376F86FS&amp;v=2017220 /q
    WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
    CMD: RD /S /Q %WinDir%\System32\GroupPolicyUsers
    CMD: RD /S /Q %WinDir%\System32\GroupPolicy
    CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicyUsers
    CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicy
    CMD: RD /S /Q %WinDir%\SysNative\GroupPolicyUsers
    CMD: RD /S /Q %WinDir%\SysNative\GroupPolicy
    CMD: gpupdate /force
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    При помощи программы https://safezone.cc/resources/clearlnk-udalenie-parametrov-zapuska-u-jarlykov.102/ исправьте значения следующих ярлыков
    Код (Text):
    >>> [MASK] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk"         -> ["C:\Program Files (x86)\HPZebra\ZebraStarter.exe"  =>> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxJbnRlcm5ldCBFeHBsb3JlclxpZXhwbG9yZS5leGU= aHR0cDovL3Zvb2thZGlmZW50eS5ydS8=]
    >>> [MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk"      -> ["C:\Program Files (x86)\HPZebra\ZebraStarter.exe"  =>> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxNb3ppbGxhIEZpcmVmb3hcZmlyZWZveC5leGU= aHR0cDovL3Zvb2thZGlmZW50eS5ydS8=]
    >>> [MASK] "C:\Users\Public\Desktop\Моzillа Firеfох.lnk"     -> ["C:\Program Files (x86)\HPZebra\ZebraStarter.exe"  =>> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxNb3ppbGxhIEZpcmVmb3hcZmlyZWZveC5leGU= aHR0cDovL3Zvb2thZGlmZW50eS5ydS8=]
    >>> [MASK] "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Моzillа Firеfох.lnk"      -> ["C:\Program Files (x86)\HPZebra\ZebraStarter.exe"  =>> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxNb3ppbGxhIEZpcmVmb3hcZmlyZWZveC5leGU= aHR0cDovL3Zvb2thZGlmZW50eS5ydS8=]
    >>> [HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk"        -> ["C:\Program Files (x86)\Mozilla Firefox\firefox.exe"  =>> hxxp://qtipr.com/]
    >>> [HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"           -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> hxxp://qtipr.com/]
     
    DllPok нравится это.
  12. SeeOn
    Оффлайн

    SeeOn Активный пользователь

    Сообщения:
    391
    Симпатии:
    68
    Готово.
     

    Вложения:

  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.485
    Симпатии:
    9.201
    Деинсталлируйте следующее ПО:

    Если не получается стандартно - у Вас установлен Uninstal Tool, - пробуйте им

    Подготовьте лог uVS: https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/
     
    akok нравится это.
  14. SeeOn
    Оффлайн

    SeeOn Активный пользователь

    Сообщения:
    391
    Симпатии:
    68
    готово
     

    Вложения:

  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.485
    Симпатии:
    9.201
    Выполните скрипт в uVS и пришлите карантин по этой инструкции:

    Код (Text):
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v385c
    sreg
    exec32 C:\Users\User\AppData\Local\A290AC89-1487696306-11E2-9673-CE39E79C8000\Uninstall.exe
    exec32 "C:\Program Files (x86)\PubHotspot\unins000.exe"
    exec32 MsiExec.exe /I{F59B0792-442A-467A-B788-6CB01D71A3E7}
    dirzooex %SystemDrive%\PROGRAM FILES (X86)\PUBHOTSPOT
    dirzooex %SystemRoot%\TEMP
    zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\A290AC89-1487696306-11E2-9673-CE39E79C8000\QNSL4287.TMP
    dirzooex %SystemDrive%\PROGRAM FILES\TJ1DD8I6XU
    dirzooex %SystemDrive%\PROGRAM FILES\V74XUHMFAL
    delall %SystemDrive%\PROGRAM FILES (X86)\PUBHOTSPOT\CXH2MRQ3FC96OQP.EXE
    delall %SystemRoot%\TEMP\G4E51.TMP.EXE
    delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\A290AC89-1487696306-11E2-9673-CE39E79C8000\QNSL4287.TMP
    delall %SystemDrive%\PROGRAM FILES\TJ1DD8I6XU\TJ1DD8I6X.EXE
    delall %SystemDrive%\PROGRAM FILES\V74XUHMFAL\V74XUHMFA.EXE
    delall %SystemDrive%\PROGRAMDATA\4646I82I85L1330\4646I82I85L1330.DLL
    delall %SystemRoot%\TEMP\G492F.TMP
    delall %Sys32%\DRIVERS\69076356.SYS
    delall %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY:UCDRV-X64.SYS
    delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7BC5875683-749B-443B-B421-619BE15BEB8A%7D&GP=812254
    zoo %SystemDrive%\PROGRAM FILES (X86)\7283426F-3046-4086-8ED8-C538D3EA43F71487571244\KNS80DA.TMP
    zoo %SystemDrive%\PROGRAM FILES (X86)\7283426F-3046-4086-8ED8-C538D3EA43F71487571244\KNSB0A8.TMP
    delall %SystemDrive%\PROGRAM FILES (X86)\7283426F-3046-4086-8ED8-C538D3EA43F71487571244\KNS80DA.TMP
    delall %SystemDrive%\PROGRAM FILES (X86)\7283426F-3046-4086-8ED8-C538D3EA43F71487571244\KNSB0A8.TMP
    zoo %SystemDrive%\PROGRAM FILES (X86)\SHERSET COMMUNITY\LOCAL64SPL.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\SHERSET COMMUNITY\LOCAL64SPL.DLL
    zoo %SystemDrive%\PROGRAM FILES (X86)\ERNIEDKFACK\MGLOBAL.DLL
    zoo %SystemDrive%\PROGRAM FILES (X86)\7283426F-3046-4086-8ED8-C538D3EA43F71487571244\PRO80EA.TMP
    zoo %SystemDrive%\PROGRAM FILES (X86)\7283426F-3046-4086-8ED8-C538D3EA43F71487571244\PROT7283426F-3046-4086-8ED8-C538D3EA43F7.TMPFS
    zoo %SystemDrive%\PROGRAM FILES (X86)\PUBHOTSPOT\PUBLICHOTSPOT.EXE
    zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\A290AC89-1487687553-11E2-9673-CE39E79C8000\QNSFC037.TMP
    delall %SystemDrive%\PROGRAM FILES (X86)\7283426F-3046-4086-8ED8-C538D3EA43F71487571244\PRO80EA.TMP
    delall %SystemDrive%\PROGRAM FILES (X86)\7283426F-3046-4086-8ED8-C538D3EA43F71487571244\PROT7283426F-3046-4086-8ED8-C538D3EA43F7.TMPFS
    delall %SystemDrive%\PROGRAM FILES (X86)\PUBHOTSPOT\PUBLICHOTSPOT.EXE
    delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\A290AC89-1487687553-11E2-9673-CE39E79C8000\QNSFC037.TMP
    delall %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY:X64
    delall %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY:X86
    delall %SystemDrive%\PROGRAM FILES (X86)\BIKAQRSSREADER\BIKAQ.EXE
    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\SETUPSK\PYTHON\PYTHONW.EXE
    dirzooex %SystemDrive%\PROGRAM FILES (X86)\ERNIEDKFACK
    delall %SystemDrive%\PROGRAM FILES (X86)\ERNIEDKFACK\ATODERSQTATION.DLL
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delall %SystemDrive%\PROGRAM FILES\MY WEB SHIELD\MWESHIELDUP.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\VK OK ADBLOCK\IEEF\W0YBNT.EXE
    delref KUAIZIP SHELL EXTENSION\[CLSID]
    delall %Sys32%\DRIVERS:UCDRV-X64.SYS
    delall %Sys32%\DRIVERS:X64
    delall %Sys32%\DRIVERS:X86
    delall %SystemDrive%\PROGRAM FILES (X86)\ERNIEDKFACK\MGLOBAL.DLL
    areg
    deltmp
    czoo
    restart
    Подготовьте новый лог uVS
     
    akok нравится это.
  16. SeeOn
    Оффлайн

    SeeOn Активный пользователь

    Сообщения:
    391
    Симпатии:
    68
    Готово.
    Но китайский браузер упорно не хочет покидать этот ноут.
     

    Вложения:

  17. Sandor
    Оффлайн

    Sandor Ассоциация VN/VIP

    Лучший автор месяца

    Сообщения:
    3.388
    Симпатии:
    1.190
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):

      ;uVS v3.87.9 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.3
      v388c
      BREG
      zoo %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY\UCLAUNCHER.EXE
      bl 475F9188B279C0A7014394B98EB143BB 743824
      addsgn BA6F9BB2BDFD44720B9C2D754C2120FBDA75303AC9A957FB69E38D3789E5B8B3369CBA523E1D1682D495FEE64316B6EF99A8ED721D5178962473A4EF8F85E653 8 UC Web

      zoo %Sys32%\DRIVERS:X64
      zoo %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY:X64
      zoo %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY\UCLAUNCHER-X64.EXE
      zoo %Sys32%\DRIVERS:UCDRV-X64.SYS
      bl BC380DF77F023D410466676FA5A27E3C 50888
      delall %Sys32%\DRIVERS:UCDRV-X64.SYS
      zoo %Sys32%\DRIVERS:X86
      bl BA052C285D77745342B6DDC6BE0873C3 607120
      delall %Sys32%\DRIVERS:X86
      zoo %SystemDrive%\PROGRAM FILES (X86)\MIO\MIO.EXE
      bl 41E928AF129C0583D2EB8C13A6CAEE64 331368
      delall %SystemDrive%\PROGRAM FILES (X86)\MIO\MIO.EXE
      addsgn 1A26069A5583C58CF42B254E3143FE8E60825F4EDBB81F2546483AE9DB3A201ADC227B057C55625C4F30C59FCDE6C2BF755A2807433202292D77CE39998F129B 64 AdWare.Win32.ConvertAd.bbhf [Kaspersky]

      zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\A290AC89-1487768701-11E2-9673-CE39E79C8000\QNSC2EB6.TMP
      bl 542199EC8FAA7CB170B8F663D62ADA99 158720
      zoo %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY:UCDRV-X64.SYS
      delall %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY:UCDRV-X64.SYS
      zoo %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY:X86
      delall %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY:X86
      zoo %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\UCSERVICE.EXE
      bl 0B3D1E968E53563C0DD97F4B348FBA7E 597208
      delall %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\UCSERVICE.EXE
      zoo %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\UPDATE_TASK.EXE
      bl AB85F66781614C444A165F6420972736 483032
      delall %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\UPDATE_TASK.EXE
      delall %SystemDrive%\PROGRAMDATA\4646I82I85L1330\4646I82I85L1330.DLL
      chklst
      delvir

      czoo
      restart

       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. ​
    7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.


    Еще один новый контрольный лог uVS, пожалуйста.
     
  18. SeeOn
    Оффлайн

    SeeOn Активный пользователь

    Сообщения:
    391
    Симпатии:
    68
    Файлы quarantine.zip и/или virusinfo_cure.zip (другие недопустимы)
    Это письмо создано автоматически сервером Mail.Ru, отвечать на него не нужно.
    К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям:
    quarantine@safezone.cc
    SMTP error from remote mail server after end of data:
    host aspmx.l.google.com [173.194.73.26]: 552-5.7.0 This message was blocked because its content presents a potential
    552-5.7.0 security issue. Please visit
    552-5.7.0 Some file types are blocked - Gmail Help to review our
    552 5.7.0 message content and attachment content guidelines. k132si818232lfg.189 - gsmtp

    Рекомендуем Вам проверить корректность указания адресов получателей.
    --- Объединённое сообщение, 22 фев 2017 ---
    Отчет
     

    Вложения:

  19. Sandor
    Оффлайн

    Sandor Ассоциация VN/VIP

    Лучший автор месяца

    Сообщения:
    3.388
    Симпатии:
    1.190
    Еще раз, пожалуйста, сделайте свежие логи FRST (все три).
     
  20. SeeOn
    Оффлайн

    SeeOn Активный пользователь

    Сообщения:
    391
    Симпатии:
    68
    Готово.
    Китайский браузер все так же упорно сидит.
     

    Вложения:

    • FRST.txt
      Размер файла:
      56,3 КБ
      Просмотров:
      2
    • Addition.txt
      Размер файла:
      32,1 КБ
      Просмотров:
      3
    • Shortcut.txt
      Размер файла:
      115,9 КБ
      Просмотров:
      0
  21. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.485
    Симпатии:
    9.201
    Да крепкая штука, загрузитесь в безопасном режиме

    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

    Cкопируйте в него текст из окна "код" ниже и сохраните.

    Код (Text):
    start
    CreateRestorePoint:
    FF Keyword.URL: Mozilla\Firefox\Profiles\uzqjs7p7.default ->
    FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\uzqjs7p7.default\searchplugins\087yviit.xml [2017-02-21]
    FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\uzqjs7p7.default\searchplugins\x9leisov.xml [2017-02-20]
    CHR HKLM-x32\...\Chrome\Extension: [lkemddiljapcmhicklfpcbpfffahfbja] - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\extensions\WebNavigation.crx [2014-09-18]
    R2 WinSnare; C:\Users\User\AppData\Roaming\WinSnare\WinSnare.dll [779264 2017-02-22] (InterSect Alliance Pty Ltd) [File not signed]
    C:\Users\User\AppData\Roaming\WinSnare\
    R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
    C:\Program Files (x86)\UCBrowser\
    2017-02-22 12:59 - 2017-02-22 16:46 - 00000000 ____D C:\Program Files (x86)\MIO
    2017-02-22 12:59 - 2017-02-22 14:04 - 00000000 ____D C:\Program Files (x86)\BikaQRssReader
    2017-02-22 12:59 - 2017-02-22 12:59 - 00000000 ____D C:\Users\User\AppData\Roaming\WinSnare
    2017-02-22 12:59 - 2017-02-22 12:59 - 00000000 ____D C:\Users\User\AppData\Roaming\WinSAPSvc
    2017-02-22 12:59 - 2017-02-22 12:59 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BikaQ
    2017-02-22 12:59 - 2017-02-22 12:59 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.1.4)
    2017-02-22 12:58 - 2017-02-22 12:58 - 00000000 ____D C:\Program Files (x86)\087yviit
    2017-02-22 09:54 - 2017-02-22 09:54 - 00000000 ____D C:\Users\User\AppData\Roaming\Reazowardlaqule
    2017-02-22 09:54 - 2017-02-22 09:54 - 00000000 ____D C:\Users\User\AppData\Roaming\Pilertain
    2017-02-21 16:58 - 2017-02-22 14:06 - 00000000 ____D C:\Program Files (x86)\Ghabuty
    2017-02-21 16:58 - 2017-02-22 14:03 - 00000000 ____D C:\Program Files\V74XUHMFAL
    2017-02-21 16:58 - 2017-02-22 14:03 - 00000000 ____D C:\Program Files\TJ1DD8I6XU
    2017-02-21 16:58 - 2017-02-22 14:02 - 00000000 ____D C:\Program Files (x86)\PubHotspot
    2017-02-21 16:58 - 2017-02-21 16:58 - 00006056 _____ C:\Windows\System32\Tasks\Biveingcoerpy Mapper
    2017-02-21 16:58 - 2017-02-21 16:58 - 00000000 ____D C:\Users\User\AppData\Local\Reecik
    2017-02-21 16:58 - 2017-02-21 16:58 - 00000000 ____D C:\Program Files (x86)\Biveingcoerpy Mapper
    2017-02-21 16:30 - 2017-02-22 11:40 - 00000000 ____D C:\Users\User\AppData\Roaming\KuaiZip
    2017-02-21 14:32 - 2017-02-22 14:04 - 00000000 ____D C:\Users\User\AppData\Local\A290AC89-1487687553-11E2-9673-CE39E79C8000
    2017-02-20 08:26 - 2017-02-20 08:26 - 00000853 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\їмС№.lnk
    2017-02-20 08:26 - 2017-02-20 08:26 - 00000000 ____D C:\Program Files\їмС№
    2017-02-20 08:18 - 2017-02-20 08:18 - 00000000 ____D C:\Users\User\AppData\Local\UCBrowser
    2017-02-20 08:18 - 2017-02-20 08:18 - 00000000 ____D C:\Program Files (x86)\Maoha
    2017-02-20 08:16 - 2017-02-20 08:16 - 01906859 _____ C:\Users\User\AppData\Roaming\MoveLotex.tst
    2017-02-20 08:15 - 2017-02-20 08:15 - 00278518 _____ C:\Users\User\AppData\Roaming\Reex.bin
    2017-02-20 08:14 - 2017-02-20 21:22 - 00000000 ____D C:\Program Files (x86)\xxx
    2017-02-20 08:13 - 2017-02-22 14:04 - 00000000 ____D C:\Program Files (x86)\7283426f-3046-4086-8ed8-c538d3ea43f71487571244
    2017-02-20 07:56 - 2017-02-22 14:04 - 00000000 ____D C:\Program Files (x86)\Sherset Community
    2017-02-20 07:56 - 2017-02-20 07:56 - 00006000 _____ C:\Windows\System32\Tasks\Sherset Community
    2017-02-20 07:55 - 2017-02-22 14:06 - 00000000 ____D C:\Program Files (x86)\Erniedkfack
    2017-02-20 07:55 - 2017-02-20 07:56 - 00000000 ____D C:\Users\User\AppData\Local\Anibeent
    2017-02-19 17:09 - 2017-02-22 14:06 - 00000000 ___HD C:\Users\Все пользователи\4646I82I85L1330
    2017-02-19 17:09 - 2017-02-22 14:06 - 00000000 ___HD C:\ProgramData\4646I82I85L1330
    2017-02-19 17:09 - 2017-02-19 17:09 - 01662464 _____ (Microsoft Corporation) C:\Windows\csrss.exe
    2017-02-19 17:09 - 2017-02-19 17:09 - 00364088 _____ (NVIDIA Corporation) C:\Windows\cudart64_80.dll
    2017-02-19 17:09 - 2017-02-19 17:09 - 00278016 _____ (The cURL library, hxxp://curl.haxx.se/) C:\Windows\libcurl.dll
    2017-02-19 17:09 - 2017-02-19 17:09 - 00177152 _____ C:\Windows\svchost.exe
    2017-02-19 17:09 - 2017-02-19 17:09 - 00021504 _____ C:\Windows\OpenCL.dll
    2017-02-19 17:08 - 2017-02-19 17:08 - 00073216 _____ C:\Windows\taskmgr.exe
    C:\Windows\svchost.exe
    ATTENTION ====> Check for partition/boot infection.
    Task: {129734AE-8887-46E4-8A0C-D1B86BAD134F} - \setupsk -> No File <==== ATTENTION
    Task: {156404EB-EA74-47DD-B54E-79845916954C} - \UCBrowserSecureUpdater -> No File <==== ATTENTION
    Task: {39FFB663-1C57-4291-9422-28ACD352BA34} - \BikaQ_FetchAndUpgrade_CanBeDel -> No File <==== ATTENTION
    Task: {5BA2A482-08DA-47F4-A001-EF8BACF601A2} - System32\Tasks\Sherset Community => C:\Program Files (x86)\Erniedkfack\grikery.exe [2017-02-20] (Glarysoft Ltd)
    Task: {771BF1D5-9E3D-4B60-960F-7599C3196EA0} - \4646I82I85L1330 -> No File <==== ATTENTION
    Task: {A069D5F9-E687-4795-A0B8-0450F357C872} - \clearlnk -> No File <==== ATTENTION
    Task: {A420BA93-981F-4D1F-A22F-B196C036A6EB} - System32\Tasks\Biveingcoerpy Mapper => C:\Program Files (x86)\Ghabuty\marck.exe [2017-02-21] (Glarysoft Ltd)
    Task: {BB9C887F-6D3C-4B06-893E-21ED823DB7AA} - \4646I82I85L1330-dll -> No File <==== ATTENTION
    Task: {DAEC6D7A-21CE-4EA0-A50F-0DE652DB3DD1} - \Milimili -> No File <==== ATTENTION
    Task: {EC5BCA6F-4D70-4B7B-B795-D8BE08AC4383} - \setupsk2 -> No File <==== ATTENTION
    Task: {F3F37FFA-C4F5-40B5-896E-64D2AFDB1A7B} - \marck -> No File <==== ATTENTION
    Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\їмС№.lnk -> C:\Program Files\їмС№\X86\KuaiZip.exe () <===== Cyrillic
    2017-02-20 08:26 - 2017-02-20 08:26 - 00524696 _____ () C:\Program Files\їмС№\X64\KZipShell.dll
    EmptyTemp:
    Reboot:
    end
     
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически

    Далее в нормальном режиме:

    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Запустите файл TDSSKiller.exe.
    3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
    4. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    8. Самостоятельно без указания консультанта ничего не удаляйте!!!
    9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    10. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
     
    akok нравится это.

Поделиться этой страницей

Поисковый запрос:

  1. HPzebra вирус как удалить

    ,
  2. bikaq_fetchandupgrade_canbedel

    ,
  3. xxx китайский сис

    ,
  4. Вредоносный спам HPzebra,
  5. HPZebra как удалить?