Решена Наловил вирусов (не могу удалить)

Статус
В этой теме нельзя размещать новые ответы.

раб лампы

Новый пользователь
Сообщения
9
Реакции
1
Здравствуйте.
Открыл случайно непроверенный сайт, наловил кучу вирусов, стала всплывать реклама, открываться окна сами по себе, игры. После удаления появляются сами снова. Среди вновь появляющихся программ - Word Surfer и itstarter. Прочитал, что это трудноудаляемые вирусы. Прошу помочь.
 

Вложения

  • CollectionLog-2015.09.01-21.20.zip
    139.7 KB · Просмотры: 3
Последнее редактирование:
Здравствуйте.
Удалите через установку и удаление программ:
SmartWeb
iobit и zona сами установили?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\epstmzb.exe', '');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\GWMRO9Af79dxSAl97rTG.exe', '');
 QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE', '');
 QuarantineFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-5.exe', '');
 QuarantineFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-4.exe', '');
 QuarantineFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-11.exe', '');
 QuarantineFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-10.exe', '');
 QuarantineFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-7.exe', '');
 QuarantineFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-6.exe', '');
 QuarantineFileF('C:\Documents and Settings\Admin\Local Settings\Application Data\SmartWeb', '*', true, '', 0 , 0);
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\wsafd_1_10_0_19.sys', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\ppfd_vt_1_10_0_22.sys', '');
 QuarantineFileF('C:\Program Files\PlusHD_1.02mV09.08', '*', true, '', 0 , 0);
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Kometa\Application\kometa.bat', '');
 QuarantineFile('C:\Program Files\Yandex\Punto Switcher\punto.bat', '');
 QuarantineFile('C:\Program Files\Internet Explorer\IEXPLORE.bat', '');
 QuarantineFile('C:\Documents and Settings\Admin\Избранное\Панель закладок\Слава\http   csmg.lgmobile.com 9002 csmg b2c client auth_model_check2.js', '');
 QuarantineFile('C:\WINDOWS\TEMP\8a22018d-e32f-4dac-823f-18ec0d91dc86\AgileDotNetRT.dll', '');
 QuarantineFile('C:\WINDOWS\TEMP\9e8ef525-6395-44e7-ad8b-f1f79dbf42d9\AgileDotNetRT.dll', '');
 QuarantineFile('C:\Documents and Settings\All Users\App', '');
 DeleteFile('C:\WINDOWS\system32\drivers\ppfd_vt_1_10_0_22.sys', '32');
 DeleteFile('C:\WINDOWS\system32\drivers\wsafd_1_10_0_19.sys', '32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-6.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-6.job', '32');
 DeleteFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-7.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-7.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-10_user.job', '32');
 DeleteFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-10.exe', '32');
 DeleteFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-11.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-11.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-4.job', '32');
 DeleteFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-4.exe', '32');
 DeleteFile('C:\Program Files\PlusHD_1.02mV09.08\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-5.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-5.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job', '32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\GWMRO9Af79dxSAl97rTG.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\GWMRO9Af79dxSAl97rTG.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\lzrnpqb.job', '32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Kometa\Application\kometa.bat', '');
 DeleteFile('C:\Program Files\Yandex\Punto Switcher\punto.bat', '');
 DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE.bat', '');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\epstmzb.exe', '32');
 DeleteFile('C:\WINDOWS\TEMP\8a22018d-e32f-4dac-823f-18ec0d91dc86\AgileDotNetRT.dll');
 DeleteFile('C:\WINDOWS\TEMP\9e8ef525-6395-44e7-ad8b-f1f79dbf42d9\AgileDotNetRT.dll');
 DeleteFile('C:\Documents and Settings\All Users\App');
 DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Application Data\SmartWeb', '*', true);
 DeleteFileMask('C:\Program Files\PlusHD_1.02mV09.08', '*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Local Settings\Application Data\SmartWeb', '');
 DeleteDirectory('C:\Program Files\PlusHD_1.02mV09.08', '');
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro', 'EventMessageFile');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Здравствуйте.
Скрипт не запускается, выдает ошибку

ошибка.JPG


iobit не загружал
zona сам загрузил. но на всякий случай удалил тоже.
 
Упс, разобрался. AVZ был старой версии.

Отчет во вложении.
 

Вложения

  • AdwCleaner[S1].txt
    26.4 KB · Просмотры: 2
- Удалите в AdwCleaner всё кроме папок zona и от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
Какие проблемы остаются?


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Сделал.
По изменениям и проблемам пока непонятно. Чуть больше времени еще понаблюдаю за компом, отпишусь.
 

Вложения

  • AdwCleaner[S4].txt
    683 байт · Просмотры: 1
  • FRST.txt
    55.3 KB · Просмотры: 3
  • Addition.txt
    64.8 KB · Просмотры: 2
  • Shortcut.txt
    94 KB · Просмотры: 0
Вроде, как , проблемы, которые беспокоили ушли.
 
PlusHD_1.02mV09.08 и Skype Click to Call удалите через установку и удаление программ.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
HKLM\...\Run: [gmsd_ru_025010076] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicyScripts: Group Policy detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-602162358-1580436667-1417001333-500] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-602162358-1580436667-1417001333-500 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=windows-1251&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO: No Name -> {f9b7dbed-3b15-45f1-9011-938749d35eb1} ->  No File
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\S-1-5-21-602162358-1580436667-1417001333-500 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
OPR Extension: (PlusHD_1.02mV09.08) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-09-01]
2015-09-01 09:57 - 2015-09-01 09:57 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\gmsd_ru_005010076
2015-09-01 09:26 - 2015-09-01 19:29 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\aWdsManProa
2015-09-01 08:19 - 2015-09-01 19:04 - 00000000 ____D C:\Program Files\gmsd_ru_005010076
2015-09-01 08:19 - 2015-09-01 08:19 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\7WdsManPro7
2015-09-01 08:18 - 2015-09-01 19:29 - 00000000 ____D C:\Program Files\baidu
2015-09-01 08:17 - 2015-09-01 17:26 - 00000004 _____ C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7
2015-09-01 08:16 - 2015-09-01 19:29 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\nWdsManPron
2015-09-01 08:07 - 2015-09-01 19:04 - 00000000 ____D C:\Program Files\FFFFFFFF-1441069639-FFFF-FFFF-FFFFFFFFFFFF
2015-09-01 08:06 - 2015-09-01 19:29 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\ZWdsManProZ
2015-09-01 08:06 - 2015-09-01 19:04 - 00000000 ____D C:\Program Files\gmsd_ru_025010076
2015-09-01 08:06 - 2015-09-01 17:28 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\update
2015-09-01 08:06 - 2015-09-01 09:56 - 00000178 _____ C:\Documents and Settings\All Users\Application Data\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-09-01 08:06 - 2015-09-01 09:26 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\gmsd_ru_025010076
2015-09-01 08:05 - 2015-09-01 11:04 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\WindowsUpdater
2015-09-01 10:21 - 2014-10-25 18:40 - 00000000 ____D C:\Documents and Settings\All Users\Kaspersky Lab Setup Files
CustomCLSID: HKU\S-1-5-21-602162358-1580436667-1417001333-500_Classes\CLSID\{5157F497-D629-47A4-A73D-41ACE6766B0E}\localserver32 -> "C:\Documents and Settings\Admin\Local Settings\Application Data\Kometa\Application\44.0.2403.125\de (the data entry has 27 more characters).
CustomCLSID: HKU\S-1-5-21-602162358-1580436667-1417001333-500_Classes\CLSID\{61CED8F3-2CB2-4C3C-9484-7530E1127A58}\InprocServer32 -> C:\Program Files\IQIYI Video\LStyle\npWebPlayer.dll No File
CustomCLSID: HKU\S-1-5-21-602162358-1580436667-1417001333-500_Classes\CLSID\{D96C1D26-5CDF-4506-9244-57233C3984DF}\InprocServer32 -> C:\Program Files\IQIYI Video\LStyle\npWebPlayer.dll No File
CustomCLSID: HKU\S-1-5-21-602162358-1580436667-1417001333-500_Classes\CLSID\{F3D0D36F-23F8-4682-A195-74C92B03D4AF-NOT}\InprocServer32 -> C:\Program Files\IQIYI Video\LStyle\npWebPlayer.dll No File
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:BF14D50A
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9
[-HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
[-HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys]
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Admin\Local Settings\Application Data\Kometa\Application\kometa.exe] => Enabled:Kometa
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Admin\Application Data\IQIYI Video\LStyle\GpUpdate.exe] => Enabled:爱奇艺升级模块
StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\GeePlayer\GeePlayer.exe] => Enabled:爱奇艺万能播放器
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Admin\Application Data\IQIYI Video\LStyle\QyUpdate.exe] => Enabled:爱奇艺升级模块
StandardProfile\AuthorizedApplications: [C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe] => Enabled:Crossbrowse
StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\LStyle\QyClient.exe] => Enabled:爱奇艺PPS影音
StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\LStyle\QyWebPlayer.exe] => Enabled:爱奇艺PPS影音
StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\Common\QyKernel.exe] => Enabled:爱奇艺HCDN网络数据传输组件
StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\LStyle\QyPlayer.exe] => Enabled:爱奇艺视频播放器
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Повторите лог autologger
 
Здравствуйте.
Сделал.
 

Вложения

  • Fixlog.txt
    12.4 KB · Просмотры: 2
  • CollectionLog-2015.09.04-21.36.zip
    92.4 KB · Просмотры: 2
Откройте с помощью блокнота файл
C:\Program Files\Yandex\Punto Switcher\punto.bat

И его содержимое скопируйте на форум в тег code

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



Microsoft Silverlight v.5.1.30514.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
Zona Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u60-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.2.0.4.0 Внимание! Скачать обновления

Adobe Reader XI (11.0.08) v.11.0.08 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---
 
сделал
 

Вложения

  • ClearLNK-05.09.2015_00-07.log
    1.7 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу