• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Проблема с вирусом exe.rehcnual

Статус
В этой теме нельзя размещать новые ответы.

DeadTeacher

Активный пользователь
Сообщения
37
Реакции
1
Баллы
188
Обнаружил на компьютере неудаляемый ярлык. При попытке удаления ссылается на файл exe.rehcnual, который находится в папке C:\\...\AppData\roaming\browsers\ Файла я там не обнаружил и удалил всю папку, но проблема осталась. Прочистил программой AdwCleaner, но данный файл он не обнаружил.
 

DeadTeacher

Активный пользователь
Сообщения
37
Реакции
1
Баллы
188
Я прочитал правила, но какой файл прикреплять не знаю. Вроде разобрался, сейчас всё будет.
Вот архив с результатами
Проблема появилась предположительно после того, как я установил новую тему. При установке темы парралельно установилась куча левого софта, его удалил. В итоге удалил всё, что нашёл связанного с данной темой.
 

Вложения

  • CollectionLog-2015.05.13-22.12.zip
    74.3 KB · Просмотры: 6

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
Программы от mail.ru используете?

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Орerа.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnеt Eхplorеr Вrowsеr.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа (2).lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Eхрlorеr (No Аdd-ons).lnk
C:\Users\Public\Desktop\Sid Мeiеr's Civilizatiоn V - Completе Еdition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PROТанки MultiPack\МultiPасk Launсher.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sid Meier's Civilization V\Sid Мeier's Сivilizаtiоn V.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Sid Меiеr's Civilizаtion V - Сomplеtе Еditiоn.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\WОTLaunсher - Ярлык.lnk
C:\Users\Dez\Desktop\MultiPack Launcher.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Dez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

DeadTeacher

Активный пользователь
Сообщения
37
Реакции
1
Баллы
188
Пробовал прогонять программой AdwCleaner ещё вчера, поэтому отчёт уже R5.
 

Вложения

  • virusinfo_auto_METAL.zip
    1.5 MB · Просмотры: 1
  • AdwCleaner[R5].txt
    1.4 KB · Просмотры: 1
  • ClearLNK-14.05.2015_16-30.log
    6.5 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

DeadTeacher

Активный пользователь
Сообщения
37
Реакции
1
Баллы
188
Проблема с ярлыками ,кажется, осталась...
 

Вложения

  • AdwCleaner[S2].txt
    1.5 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

подробней напишите, какие проблемы остались.
 

DeadTeacher

Активный пользователь
Сообщения
37
Реакции
1
Баллы
188
Значок оперы на панели задач(конкретно тот, что отображает запущенный процесс) отображается белым листом. Так же медленно загружаются интернет-страницы, хотя закачка идёт в нормальном режиме. И ещё одно, хоть это вроде бы и не проблема, но непривычно: на некоторых файлах и ярлыках появился знак брандмауэра, а он у меня был включён и ранее. Настройки брандмауэра не изменились, проверил. Запрос на подтверждение данных приложений не появляется.
Так же множество всплывающих окон при использовании интернета и различной рекламы с автоперенаправлением на другие сайты. Благо поставил расширения AbGuard и uBlock
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
Значок оперы на панели задач(конкретно тот, что отображает запущенный процесс) отображается белым листом.
тут уже ничего не сделать, тем более что папку с иконкой вы удалили до обращения за помощью. Единственный вариант это удалить этот ярлык и на его месте создать новый.

А вот с рекламой повоюем.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

DeadTeacher

Активный пользователь
Сообщения
37
Реакции
1
Баллы
188
Пересоздание ярлыка не помогло. Переустановка программы поможет?
Вот отчёты сканирования
Так же заметил, что не закачивает и не устанавливает обозначенное дополнение в программе MultipakPro. Раньше этой проблемы не было.
Всегда слежу за компьютером и так вот вляпался...
 

Вложения

  • Addition.txt
    34.4 KB · Просмотры: 1
  • FRST.txt.txt
    51 KB · Просмотры: 1
  • Shortcut.txt
    76.5 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
HKU\S-1-5-21-2993746658-476218966-4216779025-1000\...\Run: [amigo] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2993746658-476218966-4216779025-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
OPR Extension: (Ge-Force) - C:\Users\Dez\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhongheibdpfhdpfccheljfcabgliidh [2015-05-13]
2015-05-13 19:38 - 2015-05-13 19:38 - 00000000 ____D () C:\Users\Public\Documents\ShopperPro
2015-05-13 19:36 - 2015-05-13 19:48 - 00000000 ____D () C:\Users\Public\Documents\GOOBZO
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

по поводу ярлыка подробней поясните, что не получилось? Создавали его от .exe файла?
 

DeadTeacher

Активный пользователь
Сообщения
37
Реакции
1
Баллы
188
Ярлык создавал от *.ехе файла. На рабочем столе отображается корректно, а на панели задач неопределённым белым листом, но программа с него запускается.
После фикса через FRST страницы стали загружаться более менее приемлемо, но задержки ещё есть. При запуске данной страницы AbGuard и uBlock показали по 5 заблокированных ссылок.
На рабочем столе отображается корректно, а на панели задач неопределённым белым листом, но программа с него запускается.
думаю просто вместе с папкой удалил и иконку для отображения на панели задач.
Ещё настораживает 2 процесса в диспетчере: dllhost.exe в описании указано COM Surrogate. Закрываются через несколько секунд после вызова диспетчера. Оба имеют одинаковое название, различие только в потребляемой памяти.
 

Вложения

  • Fixlog.txt
    1.9 KB · Просмотры: 1
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
Просто на панели задач также надо удалить ярлык и создать его заново (либо скопировать с рабочего стола, где уже пересоздали).

globalupdate Helper - посмотрите, такая программа в списке установленных есть? Если есть деинсталируйте. Какие проблемы остались?
Ещё настораживает 2 процесса в диспетчере: dllhost.exe в описании указано COM Surrogate.
это системные файлы.
 

DeadTeacher

Активный пользователь
Сообщения
37
Реакции
1
Баллы
188
С ярлыком разобрался, помогло создание с указанием пути. globalupdate Helper деинсталировал. В списке установленных программ есть UxStyle Core Beta. Раньше её не было и удаляться не хочет. Издатель The Within Network, LLC
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
есть UxStyle Core Beta. Раньше её не было и удаляться не хочет.
В коммандной строке попробуйте выполнить такую команду
Код:
MsiExec.exe /X{8E363055-15E5-4D8A-9C69-A0A9DE9A3337}
проблема решена?
 

DeadTeacher

Активный пользователь
Сообщения
37
Реакции
1
Баллы
188
Да, удалилось. Больше заноз не обнаружил)
Спасибо вам большое.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу