• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

В работе Возвращение kido

Аркалионариум

Новый пользователь
Сообщения
28
Реакции
0
Баллы
1
Столкнулась с проблемой работы ноутбука.
Она один в один как проблемы с червем kido, что были в свое время в 2009 году.
Не закружаются сайты майкрософта и капсперского, ради интеркса проверила сайты аваста, нода и пр. Все тоже самое, не видит сайты айпи и плюс перестал загружать директ х.
Кто знает, как бороться с данной проблемой на windows 10,прошу помочь.
 

Аркалионариум

Новый пользователь
Сообщения
28
Реакции
0
Баллы
1
Столкнулась с проблемой работы ноутбука.
Она один в один как проблемы с червем kido, что были в свое время в 2009 году.
Не закружаются сайты майкрософта и капсперского, ради интеркса проверила сайты аваста, нода и пр. Все тоже самое, не видит сайты айпи и плюс перестал загружать директ х.
Кто знает, как бороться с данной проблемой на windows 10,прошу помочь.
прикрепила
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetupAVZ('QrPWD=malware');
 QuarantineFile('C:\Program Files\Nahimic\Nahimic2\UserInterface\Nahimic2DevProps.dll', '');
 QuarantineFile('C:\Program Files\Nahimic\Nahimic2\UserInterface\Nahimic2OSD.dll', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Adobe\www.adobe.com.url', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\bcrypt.dll', '');
 QuarantineFile('C:\WINDOWS\System32\bcryptPrimitives.dll', '');
 QuarantineFile('C:\WINDOWS\System32\combase.dll', '');
 QuarantineFile('C:\WINDOWS\System32\gdi32full.dll', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\olepro32.dll', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\policymanager.dll', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\PROPSYS.dll', '');
 QuarantineFile('C:\WINDOWS\system32\RMCLIENT.dll', '');
 QuarantineFile('C:\WINDOWS\System32\windows.storage.dll', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winspool.drv', '');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Adobe\www.adobe.com.url','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Adobe Flash Player SU', 'x32');
ExecuteSysClean;
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\Users\Пользователь\AppData\Roaming\My-top-apps\Ali Express.lnk
C:\Users\Пользователь\AppData\Roaming\My-top-apps\Найти.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser\ZaxarGameBrowser.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser\ZaxarUpdate.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить Vampyr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить Vampyr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\ЗапуститьTropico 6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить Tropico 6.lnk
C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\_GOG~2.COM\8724~1.LNK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\光明记忆 [GOG.com]\Удалить 光明记忆.lnk
C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\_GOG~2.COM\5056~1.LNK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\光明记忆 [GOG.com]\光明记忆.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить Borderlands The Pre Sequel Remastered.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить Control.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить Borderlands The Pre Sequel Remastered.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\MediaGet.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить игру.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Vampyr.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить The Sims 3 The Complete Collection.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vambrace - Cold Soul\Vambrace - Cold Soul.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить The Sims 3 The Complete Collection.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Hamachi\LogMeIn Hamachi.lnk
C:\Users\Public\Desktop\Лавка Чудес 1.2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\The Wolf Among Us\Играть The Wolf Among Us.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить Blacksad - Under the Skin.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить Blacksad - Under the Skin.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить Control.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Cheat Engine 6.2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Cheat Engine 6.2 (32-bit).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Cheat Engine 6.2 (64-bit).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Cheat Engine tutorial.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Cheat Engine help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Kernel stuff\Unload kernel module.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Reset settings.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Uninstall Cheat Engine.lnk
Профиксите в HijackThis
Код:
O4-32 - HKLM\..\Run: [LogMeIn Hamachi Ui] = D:\[R.G. Mechanics] Borderlands 2 RU\hamachi-2-ui.exe --auto-start (file missing)
O22 - Task: Dragon_Center_updater - C:\ProgramData\MSI\Dragon Center\DragonCenter_Updater.exe DragonCenter (file missing)
O22 - Task: MSI_Help_Desk_Agent - C:\Program Files (x86)\MSI\Help Desk\MSI Update Agent.exe (file missing)
O23 - Service S2: LogMeIn Hamachi Tunneling Engine - (Hamachi2Svc) - D:\[R.G. Mechanics] Borderlands 2 RU\x64\hamachi-2.exe -s (file missing)
Повторите логи по правилам.


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
И виндоус стоит какая-то сборка?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Сделайте написанное выше + к тому

Запустите HiJackThis (из папки .\AutoLogger\HiJackThis). Нажмите в меню "Tools" => "Files" => "Digital Signature Checker".
В поле вставьте строки:
Код:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fdPHost.dll
C:\Windows\System32\ntdll.dll
Нажмите Go.
Отчёт DigiSign.csv прикрепите в архиве.
 

Аркалионариум

Новый пользователь
Сообщения
28
Реакции
0
Баллы
1
Сделайте написанное выше + к тому

Запустите HiJackThis (из папки .\AutoLogger\HiJackThis). Нажмите в меню "Tools" => "Files" => "Digital Signature Checker".
В поле вставьте строки:
Код:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fdPHost.dll
C:\Windows\System32\ntdll.dll
Нажмите Go.
Отчёт DigiSign.csv прикрепите в архиве.
Вроде бы все сделала.

 

Вложения

Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
1) Деинсталируйте

Код:
MediaGet [20180408]-->C:\Users\Пользователь\AppData\Local\MediaGet2\mediaget-uninstaller.exe
Менеджер браузеров [2018/09/13 09:22:20]-->"C:\Users\Пользователь\AppData\Local\Package Cache\{95f0deb2-2099-4305-8cbe-a02c9fdd4dc2}\BrowserManagerInstaller.exe"  /uninstall
Менеджер браузеров [20180913]-->MsiExec.exe /X{C187DB08-7705-4616-834B-87B3087AE698}
Служба автоматического обновления программ [2019/08/19 08:08:39]-->C:\Users\Пользователь\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
VKMusic 4 [20181119]-->"C:\Program Files (x86)\VKMusic 4\unins000.exe"
2)
Код:
光明记忆 [20190704]-->"D:\dreamfall\Новая папка\Black Mirror by xatab\Black Mirror\Bright Memory_Early Access\unins000.exe"
вам знакомо? Если нет, то тоже деинсталируйте.

3)
Код:
Uplay [2018/06/06 20:21:12]-->C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe
Кнопка "Яндекс" на панели задач [2019/08/20 12:28:01]-->C:\Users\Пользователь\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall
Если сами не ставили (не пользуетесь), то тоже деинсталируйте.

4)
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.
 

Аркалионариум

Новый пользователь
Сообщения
28
Реакции
0
Баллы
1
1) Деинсталируйте

Код:
MediaGet [20180408]-->C:\Users\Пользователь\AppData\Local\MediaGet2\mediaget-uninstaller.exe
Менеджер браузеров [2018/09/13 09:22:20]-->"C:\Users\Пользователь\AppData\Local\Package Cache\{95f0deb2-2099-4305-8cbe-a02c9fdd4dc2}\BrowserManagerInstaller.exe"  /uninstall
Менеджер браузеров [20180913]-->MsiExec.exe /X{C187DB08-7705-4616-834B-87B3087AE698}
Служба автоматического обновления программ [2019/08/19 08:08:39]-->C:\Users\Пользователь\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
VKMusic 4 [20181119]-->"C:\Program Files (x86)\VKMusic 4\unins000.exe"
2)
Код:
光明记忆 [20190704]-->"D:\dreamfall\Новая папка\Black Mirror by xatab\Black Mirror\Bright Memory_Early Access\unins000.exe"
вам знакомо? Если нет, то тоже деинсталируйте.

3)
Код:
Uplay [2018/06/06 20:21:12]-->C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe
Кнопка "Яндекс" на панели задач [2019/08/20 12:28:01]-->C:\Users\Пользователь\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall
Если сами не ставили (не пользуетесь), то тоже деинсталируйте.

4)
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.
Не вышло удалить пункт 2, так как диск D пуст. Как ещё можно найти файл?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Что с проблемой?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
1) Не надо заниматься оверквотингом, для быстрого ответа есть поле внизу.

2) Искать надо не на диске, а в установленных программах. Попробуйте её деинсталировать (хотя подозреваю, что если диска нет, то выдаст ошибку, но всё равно попробуйте).

3) Выполнять надо в той последовательности в которой написано.
По вашему логу вижу, что программы вы до сих пор не деинсталировали. Деинсталируйте, потом свежий лог AdwCleaner-а. А логи Автологера у вас сейчас не просили.
 

Аркалионариум

Новый пользователь
Сообщения
28
Реакции
0
Баллы
1
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Что с проблемой?
Уже удалило всё, что выдал ADWCleaner, даже два раза и оба раза была перезагрузка, но всё равно не загружает сайты касперского и майкрософта, как и другие подобные.
Не понимаю, что не так... Директ также не загружается...
 

Аркалионариум

Новый пользователь
Сообщения
28
Реакции
0
Баллы
1
Уже удалено всё, что только можно. Деинсталировала все перечисленные файлы, кроме того, что на диске Д.
Всё равно не загружает.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Кнопка "Яндекс" на панели задач
Менеджер браузеров
если не удаляются стандартно через Панель управления - Удаление программ, удалите принудительно через Geek Uninstaller

Отчёт FRST.txt получился неполный. Переделайте, пожалуйста.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,140
Реакции
5,913
Баллы
648
Также:

1. Скопируйте на рабочий стол папку "C:\Windows\System32\CatRoot"
Затем упакуйте её в архив и пришлите через файлообменник.

2. Сделайте экспорт
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates
 
Сверху Снизу