Решена Проблема с вирусом exe.rehcnual

Статус
В этой теме нельзя размещать новые ответы.

DeadTeacher

Пользователь
Сообщения
37
Реакции
1
Обнаружил на компьютере неудаляемый ярлык. При попытке удаления ссылается на файл exe.rehcnual, который находится в папке C:\\...\AppData\roaming\browsers\ Файла я там не обнаружил и удалил всю папку, но проблема осталась. Прочистил программой AdwCleaner, но данный файл он не обнаружил.
 

DeadTeacher

Пользователь
Сообщения
37
Реакции
1
Я прочитал правила, но какой файл прикреплять не знаю. Вроде разобрался, сейчас всё будет.
Вот архив с результатами
Проблема появилась предположительно после того, как я установил новую тему. При установке темы парралельно установилась куча левого софта, его удалил. В итоге удалил всё, что нашёл связанного с данной темой.
 

Вложения

  • CollectionLog-2015.05.13-22.12.zip
    74.3 KB · Просмотры: 6

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
Программы от mail.ru используете?

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Орerа.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnеt Eхplorеr Вrowsеr.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа (2).lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Eхрlorеr (No Аdd-ons).lnk
C:\Users\Public\Desktop\Sid Мeiеr's Civilizatiоn V - Completе Еdition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PROТанки MultiPack\МultiPасk Launсher.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sid Meier's Civilization V\Sid Мeier's Сivilizаtiоn V.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Sid Меiеr's Civilizаtion V - Сomplеtе Еditiоn.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\WОTLaunсher - Ярлык.lnk
C:\Users\Dez\Desktop\MultiPack Launcher.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

DeadTeacher

Пользователь
Сообщения
37
Реакции
1
Пробовал прогонять программой AdwCleaner ещё вчера, поэтому отчёт уже R5.
 

Вложения

  • virusinfo_auto_METAL.zip
    1.5 MB · Просмотры: 1
  • AdwCleaner[R5].txt
    1.4 KB · Просмотры: 1
  • ClearLNK-14.05.2015_16-30.log
    6.5 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

DeadTeacher

Пользователь
Сообщения
37
Реакции
1
Проблема с ярлыками ,кажется, осталась...
 

Вложения

  • AdwCleaner[S2].txt
    1.5 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

подробней напишите, какие проблемы остались.
 

DeadTeacher

Пользователь
Сообщения
37
Реакции
1
Значок оперы на панели задач(конкретно тот, что отображает запущенный процесс) отображается белым листом. Так же медленно загружаются интернет-страницы, хотя закачка идёт в нормальном режиме. И ещё одно, хоть это вроде бы и не проблема, но непривычно: на некоторых файлах и ярлыках появился знак брандмауэра, а он у меня был включён и ранее. Настройки брандмауэра не изменились, проверил. Запрос на подтверждение данных приложений не появляется.
Так же множество всплывающих окон при использовании интернета и различной рекламы с автоперенаправлением на другие сайты. Благо поставил расширения AbGuard и uBlock
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
Значок оперы на панели задач(конкретно тот, что отображает запущенный процесс) отображается белым листом.
тут уже ничего не сделать, тем более что папку с иконкой вы удалили до обращения за помощью. Единственный вариант это удалить этот ярлык и на его месте создать новый.

А вот с рекламой повоюем.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

DeadTeacher

Пользователь
Сообщения
37
Реакции
1
Пересоздание ярлыка не помогло. Переустановка программы поможет?
Вот отчёты сканирования
Так же заметил, что не закачивает и не устанавливает обозначенное дополнение в программе MultipakPro. Раньше этой проблемы не было.
Всегда слежу за компьютером и так вот вляпался...
 

Вложения

  • Addition.txt
    34.4 KB · Просмотры: 1
  • FRST.txt.txt
    51 KB · Просмотры: 1
  • Shortcut.txt
    76.5 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
HKU\S-1-5-21-2993746658-476218966-4216779025-1000\...\Run: [amigo] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2993746658-476218966-4216779025-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
OPR Extension: (Ge-Force) - C:\Users\Dez\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhongheibdpfhdpfccheljfcabgliidh [2015-05-13]
2015-05-13 19:38 - 2015-05-13 19:38 - 00000000 ____D () C:\Users\Public\Documents\ShopperPro
2015-05-13 19:36 - 2015-05-13 19:48 - 00000000 ____D () C:\Users\Public\Documents\GOOBZO
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

по поводу ярлыка подробней поясните, что не получилось? Создавали его от .exe файла?
 

DeadTeacher

Пользователь
Сообщения
37
Реакции
1
Ярлык создавал от *.ехе файла. На рабочем столе отображается корректно, а на панели задач неопределённым белым листом, но программа с него запускается.
После фикса через FRST страницы стали загружаться более менее приемлемо, но задержки ещё есть. При запуске данной страницы AbGuard и uBlock показали по 5 заблокированных ссылок.
На рабочем столе отображается корректно, а на панели задач неопределённым белым листом, но программа с него запускается.
думаю просто вместе с папкой удалил и иконку для отображения на панели задач.
Ещё настораживает 2 процесса в диспетчере: dllhost.exe в описании указано COM Surrogate. Закрываются через несколько секунд после вызова диспетчера. Оба имеют одинаковое название, различие только в потребляемой памяти.
 

Вложения

  • Fixlog.txt
    1.9 KB · Просмотры: 1
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
Просто на панели задач также надо удалить ярлык и создать его заново (либо скопировать с рабочего стола, где уже пересоздали).

globalupdate Helper - посмотрите, такая программа в списке установленных есть? Если есть деинсталируйте. Какие проблемы остались?
Ещё настораживает 2 процесса в диспетчере: dllhost.exe в описании указано COM Surrogate.
это системные файлы.
 

DeadTeacher

Пользователь
Сообщения
37
Реакции
1
С ярлыком разобрался, помогло создание с указанием пути. globalupdate Helper деинсталировал. В списке установленных программ есть UxStyle Core Beta. Раньше её не было и удаляться не хочет. Издатель The Within Network, LLC
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
есть UxStyle Core Beta. Раньше её не было и удаляться не хочет.
В коммандной строке попробуйте выполнить такую команду
Код:
MsiExec.exe /X{8E363055-15E5-4D8A-9C69-A0A9DE9A3337}
проблема решена?
 

DeadTeacher

Пользователь
Сообщения
37
Реакции
1
Да, удалилось. Больше заноз не обнаружил)
Спасибо вам большое.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу