Решена netbook HP. Вирус не даёт войти в Win7 нач.

Статус
В этой теме нельзя размещать новые ответы.
Запускаюсь нормально, но адресную строку браузера постоянно атакуют. Иногс ида браузер справляется и блокирует всплывающее окно. Уже не замнчаю китайских сайтов. В установленых программах исчезли программы иероглифы. Но при загрузке на рабочем столе и скрытых значках программы есть.
 

Вложения

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Folder Found : C:\Program Files\FlvPlayer
    Folder Found : C:\Program Files\Mail.Ru
    Folder Found : C:\Program Files\Yandex
    Folder Found : C:\ProgramData\Mail.Ru
    Folder Found : C:\ProgramData\Yandex
    Folder Found : C:\Users\Лера\AppData\Local\Mail.Ru
    Folder Found : C:\Users\Лера\AppData\Local\MailRu
    Folder Found : C:\Users\Лера\AppData\Local\Yandex
    Folder Found : C:\Users\Лера\AppData\LocalLow\Mail.Ru
    Folder Found : C:\Users\Лера\AppData\LocalLow\YandexFolder Found : C:\Users\Лера\AppData\Roaming\Yandex
    Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\Yandex
    Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\yandex.ru-123815
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Если программы от Yandex не нужны (не используете), то галочки с них можете не снимать.
Если вдруг после очистки пропадёт интернет, то впишите настройки DNS рекомендованные провайдером. Сейчас у вас троянские прописаны.
 
Исчезли ярлыки с иероглифами с рабочего стола и с автозагрузки (скрытые ярлыки). Обнаружил двух пользователей именем с иероглифами и в панели пуск вверху всех одна позиция иероглифы, но с пустым ярлычком. На вкладке "компьютер" кроме жёстких дисков значилось "другое" с иероглифами. Теперь "другое" есть, но иероглифы исчезли. Адресная строка браузера пока так же атакуется.
 

Вложения

1) В Хроме удалите расширение:
Extension niaidlbfgnmndccckeilbhihankjfgmp 1 ruspromocode 0.0.0.2
Программу
Код:
globalupdate Helper []-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
деинсталируйте.

2) Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [QyClient] "C:\IQIYI Video\LStyle\QyClient.exe" autostart
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O22 - ScheduledTask: (Ready) {5BAE3AFB-69C9-4DA0-BA43-D9631F440BF6} - {root} - C:\Users\Лера\Documents\Zona Downloads\GTA Criminal Russia\gta_sa.exe  (no file)
O22 - ScheduledTask: (Ready) {9DF287E7-159D-4BC2-8099-CFB1F069BB02} - {root} - C:\Users\Лера\Documents\Zona Downloads\GTA Criminal Russia\gta_sa.exe  (no file)
O22 - ScheduledTask: (Ready) {B776CF35-23C0-4AB1-A2CF-B1FB69950EC3} - {root} - C:\Users\Лера\Documents\Zona Downloads\GTA Criminal Russia\gta_mp.exe  (no file)

3) Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ClearQuarantine;
ClearQuarantineEx(true);
SetServiceStart('QiyiService', 4);
StopService('QiyiService');
QuarantineFile('C:\Users\Лера\Documents\AutoLogger\AutoLogger\AVZ\avz.exe.lnk', '');
QuarantineFile('C:\Users\Лера\Downloads\AutoLogger\AutoLogger\AVZ\avz.exe.lnk', '');
DeleteService('QiyiService');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QyClient');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4)
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    ***** [ Папки ] *****
    
    Папка Найдено : C:\Program Files\FlvPlayer
    Папка Найдено : C:\Program Files\Mail.Ru
    Папка Найдено : C:\ProgramData\Mail.Ru
    Папка Найдено : C:\Users\Лера\AppData\Local\Mail.Ru
    Папка Найдено : C:\Users\Лера\AppData\Local\MailRu
    Папка Найдено : C:\Users\Лера\AppData\LocalLow\Mail.Ru
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

5) Сделайте свежий лог HijackThis и отпишитесь, что с проблемой.
 
Гугл Хром удалил полностью, так как не было его иконок а в установленных программах он числился. Я не пытался в него зайти. Пользовался Opera. В Опере сбросил настройки, очистив полностью папки профиля и кеша.
globalupdate Helper []-->MsiExec.exe не смог найти и удалить , в установленных программах он не числится, в programБ file его тоже не нашёл
Когда фиксил, то 22 пунктов не был о. Наверное потому , что инстал Zona я отправил в корзину.
Сейчас, С БЛАГОДАРНОСТЬЮ сообщаю, что ни разу никто не атаковал адресную стоку. Всё работает прекрасно!!!
Созрел Вопрос.Раньше на нетбуке не печатал. У меня почему то курсор убегает и я печатаю в уже напечатанном или даже во вставленном тексте. Это не Вирус???
 

Вложения

Когда фиксил, то 22 пунктов не был о.
Потому что вы воспользовались старой версией HijackThis. Свежий лежит в отдельной папке ..\AutoLogger\HiJackThis

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Выполните в AVZ скрипт:
Код:
begin
ExpRegKey('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall','HKLM_Uninstall.txt');
ExpRegKey('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall','HKCU_Uninstall.txt');
end.
Файлы:

HKLM_Uninstall.txt
HKCU_Uninstall.txt

из папки с AVZ упакуйте в архив и прикрепите к своему следующему сообщению.

Созрел Вопрос.Раньше на нетбуке не печатал. У меня почему то курсор убегает и я печатаю в уже напечатанном или даже во вставленном тексте. Это не Вирус???
нет, скорее вы цепляете сенсорную панель когда печаете или что-то подобное. По этой проблеме лучше создайте отдельную тему в разделе Решение проблем с железом.
 
22 пункты профиксил. с вопросом по вирусу тоже понял. Всё работает Великолепно! Спасибо!!!
 

Вложения

7-Zip 9.20 - желательно бы обновить.

Ключи реестра
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Zona)\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}\
Удалите вручную.

Код:
C:\Users\Лера\Downloads\SudokuBeautifulMindRus_19513.exe
Это что за программа? Как понимаю вы её когда-то ставили, но уже удалили? Если да, то также удалите ещё и тот ключ
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{16782E9C-E344-47BD-A045-B9BA79870632}\


_______________
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
ключи реестра удалил. avz тоже.AVZ Log высылаю. Но HijackThis старой версии не нашёл удаления. Кроме этого остались папки uVS, Autologger, ClearLnc, Check Browsesr LNC, LOG. Их просто удаляем?
 

Вложения

Куча Благодарностей и Огромное Вам спасибо за Ваш бесценный труд и высокий Профессионализм! Вам тоже Удачи и Достижений! Спасибо!!!:Thank You::Thank You::Thank You:
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу