Решена Комп однокурсницы

Статус
В этой теме нельзя размещать новые ответы.
GamesDesktop 033.264 - сами ставили? Если нет, то деинсталируйте. (программа вчера была установлена). А также вчера было установлено Edu App вместе с ниже указанными адварными программами.

+ Деинсталируйте AnyProtect, SmartWeb и istartsurf uninstall

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.22 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delall %SystemDrive%\USERS\�������\APPDATA\ROAMING\2V59XQKZQS.EXE
    delall %SystemDrive%\USERS\�������\APPDATA\ROAMING\DQHNEEGCE6XE9Z2KE8P9FQNB.EXE
    delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.5_0\CHROME HOTWORD SHARED MODULE
    del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME.BAT
    delall %SystemDrive%\USERS\EF67~1\APPDATA\LOCAL\TEMP\CFCABFIBCDG.EXE
    delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\LOCAL\TEMP\CFCABFIBCDG.EXE
    delref HTTP://WWW.ISTARTSURF.COM/?TYPE=SC&TS=1433099414&Z=1EDFAD9F6804D60924EFF61G5Z3C3C0EAT7T2Z1GEO&FROM=FACE&UID=WDCXWD5000LPVT-24G33T1_WD-WX31E73NRC13NRC13
    delall %SystemDrive%\LAUNCHER.BAT
    dirzooex %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\96FC8D81-1431876363-11CB-A83C-9CD92252F4E4
    zoo %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\96FC8D81-1431876363-11CB-A83C-9CD92252F4E4\NSE91FF.TMP
    bl F74FB5AB659B0783E226CCDD5A5AA4A7 159744
    delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\96FC8D81-1431876363-11CB-A83C-9CD92252F4E4\NSE91FF.TMP
    delall HTTP:\\SEARCHS-POISK.RU
    zoo %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\LАUNСHЕR - ЯРЛЫК.LNK
    bl 65783B7599D37367D98D4F5EE65682A8 1894
    delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\LАUNСHЕR - ЯРЛЫК.LNK
    deldir %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\96FC8D81-1431876363-11CB-A83C-9CD92252F4E4
    delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\LOCAL\TEMP\IS-RU6QA.TMP\SOLUN.EXE
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

сделайте свежий лог uVS + Check Browsers' LNK by Dragokas & regist
 
Все удалил без интернета, почти. Больше не замечаю. Скрипт выполнил, зоопарк отправил. Логи прилагаю.
 

Вложения

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.22 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    breg
    ; C:\PROGRAMDATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE
    zoo %SystemDrive%\PROGRAMDATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE
    bl 6FE69F8416CB2771101DD9553D544733 697000
    addsgn 1A3D7D9B5583338CF42B627DA804DEC9E94630A1DF716B5C95488998445D0D682F9C02DCEF565B72D5F68CA4BE19CB927EDFE87DEFFFC4666477A55CC0F5869A 64 Adware.Mutabaha.328 [DrWeb]
    
    ; C:\PROGRAM FILES (X86)\XTAB\BROWSERACTION.DLL
    zoo %SystemDrive%\PROGRAM FILES (X86)\XTAB\BROWSERACTION.DLL
    bl 5785680870EFF9BA7B4F58C726552013 1720320
    addsgn A7679B1928664D070E3C66B464C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3D2D833D906C49451649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Adware.Mutabaha.265 [DrWeb]
    
    ; C:\WINDOWS\SYSTEM32\DRIVERS\{36ED28A4-AC0A-4653-91FF-10BEB4246550}GW64.SYS
    zoo %Sys32%\DRIVERS\{36ED28A4-AC0A-4653-91FF-10BEB4246550}GW64.SYS
    bl 11095CB8081C14E1BBBFEE89223B2D8E 48776
    addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A27ECAF29BD805BD5C3573E559D492B80849F12D049FADD4EE8727D1BB02C2D77A42FC7062273 64 Trojan.Yontoo.1808 [DrWeb]
    
    ; C:\WINDOWS\SYSTEM32\DRIVERS\{EB01AED1-BBA3-4E72-8323-A77BB027B1D4}GW64.SYS
    zoo %Sys32%\DRIVERS\{EB01AED1-BBA3-4E72-8323-A77BB027B1D4}GW64.SYS
    bl CB062AABD486BA09B6BE6D13DE2DC9BD 48776
    delref %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\ANYPROTECT.EXE
    delref HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1433183659&Z=D28FD5B65BCBC137D3F1A02GBZ0C4CDG7B8CAQ0W6Q&FROM=CMI&UID=WDCXWD5000LPVT-24G33T1_WD-WX31E73NRC13NRC13
    delref HTTP://WWW.OURSURFING.COM/WEB/?TYPE=DS&TS=1433183659&Z=D28FD5B65BCBC137D3F1A02GBZ0C4CDG7B8CAQ0W6Q&FROM=CMI&UID=WDCXWD5000LPVT-24G33T1_WD-WX31E73NRC13NRC13&Q={SEARCHTERMS}
    delref HTTP://OSTYTE.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=2EC136D8A1F99E5801A1C1749740E4FF
    delref HTTP://SKINAPP.RU/THEMES.HTML
    deltmp
    czoo
    chklst
    delvir
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Повторите лог uvs
 
Скрипт выполнил, зоопарк отправил. Лог прилагаю. В Chrome вернулась стартовая страница istartsurf.
 
Свежий лог Adw и uVS прикрепите.
 
лог AdwCleaner свежий также прикрепите.
 
+
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.22 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\СHRОMЕ.BАT.EXE
    delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.5_1\CHROME HOTWORD SHARED MODULE
    delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\WINDESKWINSEARCH\WINDESK WINSEARCH.EXE
    dirzoo %SystemDrive%\PROGRAM FILES (X86)\XTAB
    deldir %SystemDrive%\PROGRAM FILES (X86)\XTAB
    regt 27
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

повторите эти два лога.
 
Из Хрома удали расширение Chrome Hotword Shared Module, либо как минимум папку
Код:
C:\USERS\СВЯЗНОЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

что с проблемой?
 
Расширения не было, удалил папку. AdwCleaner удалил. Проблемы не наблюдаются.
Гранд мерси всем участвующим:)
 
папку C:\FRST удалите.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу