• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Появляются ярлыки на рабочем столе

Статус
В этой теме нельзя размещать новые ответы.

idiscodancer

Новый пользователь
Сообщения
24
Симпатии
0
#1
Здравствуйте. Брат установил какую-то странную программу и не обратил внимание на галочки. Установилась целая куча программок, часть mail, остальные до сих пор нахожу. После чего стали появляться ярлыки ссылки на рабочем столе, сами собой появились программа мониторящие компьютер, сами собой меняются настройки системы, компьютер стал заходить при перезагрузке в другие профили, начал запрашивать пароль, который я отключил. Куда то исчезает оперативная память. Компьютер стал жить своей жизнью. Антивирус при глубоком сканировании не обнаружил проблем.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#2
PBot удалите через Установку программ.

Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\alexn\AppData\Local\PBot\uninstall.exe','');
 QuarantineFile('C:\ProgramData\RenewalService\Renewal.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
 QuarantineFile('C:\Users\alexn\AppData\Local\PBot\launchall.js','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\Users\alexn\AppData\Local\PBot\launchall.js','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\RenewalService','64');
 DeleteFile('C:\ProgramData\RenewalService\Renewal.exe','32');
 DeleteFile('C:\Users\alexn\AppData\Local\PBot\uninstall.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{1FFEA577-BB20-43B2-9F21-70724D78CCBD}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 

idiscodancer

Новый пользователь
Сообщения
24
Симпатии
0
#3
pbot не удалялся через unistaller, пришлось удалить вручную папку и почистить реестр.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#4
Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
 

idiscodancer

Новый пользователь
Сообщения
24
Симпатии
0
#5
Отчет во вложении
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#6
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
Tcpip\..\Interfaces\{6c6a296e-d22f-4a34-88d7-2a017d247a11}: [NameServer] 89.108.106.89,8.8.8.8
2016-08-23 21:07 - 2016-08-24 03:26 - 00000000 ____D C:\Users\alexn\AppData\Local\Kometa
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Forge of Empires.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Booking.com.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk
2016-08-15 20:19 - 2016-08-28 15:45 - 00000000 __SHD C:\Users\Все пользователи\KRB Updater Utility
2016-08-15 20:19 - 2016-08-28 15:45 - 00000000 __SHD C:\ProgramData\KRB Updater Utility
2016-08-15 20:19 - 2016-08-23 21:07 - 00000000 ____D C:\Users\alexn\AppData\Local\Amigo
2016-08-15 20:19 - 2016-08-15 20:19 - 00000000 ____D C:\Users\alexn\AppData\Local\Поиcк в Интeрнете
2016-08-15 20:18 - 2016-08-27 20:47 - 00000000 ____D C:\Program Files (x86)\Kinoroom Browser
C:\Users\alexn\AppData\Local\Temp\kernel32.dll
Task: {2B12731D-0B24-4312-8DA9-E8CEC0BCBAF5} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {8D6E8A9F-AE81-4E21-8978-0F6E5E9942A0} - \{1FFEA577-BB20-43B2-9F21-70724D78CCBD} -> No File <==== ATTENTION
Task: {F461453E-A801-427A-A4F0-D96BD1E8BF53} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
 

idiscodancer

Новый пользователь
Сообщения
24
Симпатии
0
#7
Еще почему-то у меня на компьютере вдруг стало два моих аккаунта и стал запрашиваться пароль при входе, хотя я его отключил
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#8
Ничего критического не трогали. Или это из первоначальных проблем? Что с исходной проблемой?
 

idiscodancer

Новый пользователь
Сообщения
24
Симпатии
0
#9
Ничего критического не трогали. Или это из первоначальных проблем? Что с исходной проблемой?
Ярлыки больше не появляются, спасибо. Но при загрузки системы вылетает сообщение отсутствует подключение к сети и требует ввести пароль, хотя ввод пароля везде отключен. Никаких изменений в системе не проиводил.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#10
Кажется понял, о чем речь :)

В настройках выхода в Интернет пропишите DNS-адреса, выданные Вам провайдером
 

idiscodancer

Новый пользователь
Сообщения
24
Симпатии
0
#11
Вчера появилась новая или продолжилась старая проблема. После загрузки Windows начинается постоянное обновление рабочего стола. Запустить могу только диспетчер задач и все что из него можно запустить. Восстановление не помогло. Антивирус запустить не могу, даже с флешки, флешку не видит. В безопасном режиме тоже самое. Может ли это быть вирус?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#14
Клавишу F5 попробуйте поклацать, ощущение, что она залипла
 

idiscodancer

Новый пользователь
Сообщения
24
Симпатии
0
#15
нет, не помогает. Писал в техподдержку Майкрософт, сказали, что вирус и он какие-то важные системные файлы уничтожил. Пришлось переустанавливать систему.
 

Кирилл

Команда форума
Администратор
Сообщения
13,027
Симпатии
5,639
#16
Значит проблема не актуальна,я полагаю?
 

idiscodancer

Новый пользователь
Сообщения
24
Симпатии
0
#17
да, уже не актуально. Спасибо за помощь
 

Кирилл

Команда форума
Администратор
Сообщения
13,027
Симпатии
5,639
#18
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.