Закрыто Возвращение kido

Статус
В этой теме нельзя размещать новые ответы.

Аркалионариум

Новый пользователь
Сообщения
28
Реакции
0
Столкнулась с проблемой работы ноутбука.
Она один в один как проблемы с червем kido, что были в свое время в 2009 году.
Не закружаются сайты майкрософта и капсперского, ради интеркса проверила сайты аваста, нода и пр. Все тоже самое, не видит сайты айпи и плюс перестал загружать директ х.
Кто знает, как бороться с данной проблемой на windows 10,прошу помочь.
 
Столкнулась с проблемой работы ноутбука.
Она один в один как проблемы с червем kido, что были в свое время в 2009 году.
Не закружаются сайты майкрософта и капсперского, ради интеркса проверила сайты аваста, нода и пр. Все тоже самое, не видит сайты айпи и плюс перестал загружать директ х.
Кто знает, как бороться с данной проблемой на windows 10,прошу помочь.
прикрепила
 

Вложения

  • CollectionLog-2019.12.01-15.04.zip
    224.4 KB · Просмотры: 5
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetupAVZ('QrPWD=malware');
 QuarantineFile('C:\Program Files\Nahimic\Nahimic2\UserInterface\Nahimic2DevProps.dll', '');
 QuarantineFile('C:\Program Files\Nahimic\Nahimic2\UserInterface\Nahimic2OSD.dll', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Adobe\www.adobe.com.url', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\bcrypt.dll', '');
 QuarantineFile('C:\WINDOWS\System32\bcryptPrimitives.dll', '');
 QuarantineFile('C:\WINDOWS\System32\combase.dll', '');
 QuarantineFile('C:\WINDOWS\System32\gdi32full.dll', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\olepro32.dll', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\policymanager.dll', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\PROPSYS.dll', '');
 QuarantineFile('C:\WINDOWS\system32\RMCLIENT.dll', '');
 QuarantineFile('C:\WINDOWS\System32\windows.storage.dll', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winspool.drv', '');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Adobe\www.adobe.com.url','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Adobe Flash Player SU', 'x32');
ExecuteSysClean;
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\Users\Пользователь\AppData\Roaming\My-top-apps\Ali Express.lnk
C:\Users\Пользователь\AppData\Roaming\My-top-apps\Найти.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser\ZaxarGameBrowser.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser\ZaxarUpdate.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить Vampyr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить Vampyr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\ЗапуститьTropico 6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить Tropico 6.lnk
C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\_GOG~2.COM\8724~1.LNK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\光明记忆 [GOG.com]\Удалить 光明记忆.lnk
C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\_GOG~2.COM\5056~1.LNK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\光明记忆 [GOG.com]\光明记忆.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить Borderlands The Pre Sequel Remastered.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить Control.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить Borderlands The Pre Sequel Remastered.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\MediaGet.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить игру.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Vampyr.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить The Sims 3 The Complete Collection.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vambrace - Cold Soul\Vambrace - Cold Soul.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить The Sims 3 The Complete Collection.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Hamachi\LogMeIn Hamachi.lnk
C:\Users\Public\Desktop\Лавка Чудес 1.2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\The Wolf Among Us\Играть The Wolf Among Us.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить Blacksad - Under the Skin.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить Blacksad - Under the Skin.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить Control.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Cheat Engine 6.2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Cheat Engine 6.2 (32-bit).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Cheat Engine 6.2 (64-bit).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Cheat Engine tutorial.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Cheat Engine help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Kernel stuff\Unload kernel module.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Reset settings.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.2\Uninstall Cheat Engine.lnk

Профиксите в HijackThis
Код:
O4-32 - HKLM\..\Run: [LogMeIn Hamachi Ui] = D:\[R.G. Mechanics] Borderlands 2 RU\hamachi-2-ui.exe --auto-start (file missing)
O22 - Task: Dragon_Center_updater - C:\ProgramData\MSI\Dragon Center\DragonCenter_Updater.exe DragonCenter (file missing)
O22 - Task: MSI_Help_Desk_Agent - C:\Program Files (x86)\MSI\Help Desk\MSI Update Agent.exe (file missing)
O23 - Service S2: LogMeIn Hamachi Tunneling Engine - (Hamachi2Svc) - D:\[R.G. Mechanics] Borderlands 2 RU\x64\hamachi-2.exe -s (file missing)

Повторите логи по правилам.


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
И виндоус стоит какая-то сборка?
 
Сделайте написанное выше + к тому

Запустите HiJackThis (из папки .\AutoLogger\HiJackThis). Нажмите в меню "Tools" => "Files" => "Digital Signature Checker".
В поле вставьте строки:
Код:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fdPHost.dll
C:\Windows\System32\ntdll.dll
Нажмите Go.
Отчёт DigiSign.csv прикрепите в архиве.
 
Сделайте написанное выше + к тому

Запустите HiJackThis (из папки .\AutoLogger\HiJackThis). Нажмите в меню "Tools" => "Files" => "Digital Signature Checker".
В поле вставьте строки:
Код:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fdPHost.dll
C:\Windows\System32\ntdll.dll
Нажмите Go.
Отчёт DigiSign.csv прикрепите в архиве.

Вроде бы все сделала.

 

Вложения

  • ClearLNK-2019.12.01_16.47.23.log
    11.6 KB · Просмотры: 2
  • DigiSign.rar
    759 байт · Просмотры: 2
  • CollectionLog-2019.12.01-17.42.zip
    206 KB · Просмотры: 4
Последнее редактирование:
1) Деинсталируйте

Код:
MediaGet [20180408]-->C:\Users\Пользователь\AppData\Local\MediaGet2\mediaget-uninstaller.exe
Менеджер браузеров [2018/09/13 09:22:20]-->"C:\Users\Пользователь\AppData\Local\Package Cache\{95f0deb2-2099-4305-8cbe-a02c9fdd4dc2}\BrowserManagerInstaller.exe"  /uninstall
Менеджер браузеров [20180913]-->MsiExec.exe /X{C187DB08-7705-4616-834B-87B3087AE698}
Служба автоматического обновления программ [2019/08/19 08:08:39]-->C:\Users\Пользователь\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
VKMusic 4 [20181119]-->"C:\Program Files (x86)\VKMusic 4\unins000.exe"

2)
Код:
光明记忆 [20190704]-->"D:\dreamfall\Новая папка\Black Mirror by xatab\Black Mirror\Bright Memory_Early Access\unins000.exe"
вам знакомо? Если нет, то тоже деинсталируйте.

3)
Код:
Uplay [2018/06/06 20:21:12]-->C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe
Кнопка "Яндекс" на панели задач [2019/08/20 12:28:01]-->C:\Users\Пользователь\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall
Если сами не ставили (не пользуетесь), то тоже деинсталируйте.

4)
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
1) Деинсталируйте

Код:
MediaGet [20180408]-->C:\Users\Пользователь\AppData\Local\MediaGet2\mediaget-uninstaller.exe
Менеджер браузеров [2018/09/13 09:22:20]-->"C:\Users\Пользователь\AppData\Local\Package Cache\{95f0deb2-2099-4305-8cbe-a02c9fdd4dc2}\BrowserManagerInstaller.exe"  /uninstall
Менеджер браузеров [20180913]-->MsiExec.exe /X{C187DB08-7705-4616-834B-87B3087AE698}
Служба автоматического обновления программ [2019/08/19 08:08:39]-->C:\Users\Пользователь\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
VKMusic 4 [20181119]-->"C:\Program Files (x86)\VKMusic 4\unins000.exe"

2)
Код:
光明记忆 [20190704]-->"D:\dreamfall\Новая папка\Black Mirror by xatab\Black Mirror\Bright Memory_Early Access\unins000.exe"
вам знакомо? Если нет, то тоже деинсталируйте.

3)
Код:
Uplay [2018/06/06 20:21:12]-->C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe
Кнопка "Яндекс" на панели задач [2019/08/20 12:28:01]-->C:\Users\Пользователь\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall
Если сами не ставили (не пользуетесь), то тоже деинсталируйте.

4)
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Не вышло удалить пункт 2, так как диск D пуст. Как ещё можно найти файл?
 

Вложения

  • AdwCleaner[S00].txt
    4.2 KB · Просмотры: 2
  • CollectionLog-2019.12.01-20.39.zip
    210 KB · Просмотры: 4
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Что с проблемой?
 
1) Не надо заниматься оверквотингом, для быстрого ответа есть поле внизу.

2) Искать надо не на диске, а в установленных программах. Попробуйте её деинсталировать (хотя подозреваю, что если диска нет, то выдаст ошибку, но всё равно попробуйте).

3) Выполнять надо в той последовательности в которой написано.
По вашему логу вижу, что программы вы до сих пор не деинсталировали. Деинсталируйте, потом свежий лог AdwCleaner-а. А логи Автологера у вас сейчас не просили.
 
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Что с проблемой?
Уже удалило всё, что выдал ADWCleaner, даже два раза и оба раза была перезагрузка, но всё равно не загружает сайты касперского и майкрософта, как и другие подобные.
Не понимаю, что не так... Директ также не загружается...
 
Уже удалено всё, что только можно. Деинсталировала все перечисленные файлы, кроме того, что на диске Д.
Всё равно не загружает.
 

Вложения

  • AdwCleaner[S01].txt
    4.3 KB · Просмотры: 1
  • AdwCleaner[S00].txt
    4.2 KB · Просмотры: 0
  • AdwCleaner[C03].txt
    1.8 KB · Просмотры: 1
  • AdwCleaner[C02].txt
    1.7 KB · Просмотры: 1
  • AdwCleaner[C01].txt
    4 KB · Просмотры: 3
  • AdwCleaner[S02].txt
    1.5 KB · Просмотры: 0
  • AdwCleaner[S03].txt
    1.6 KB · Просмотры: 2
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Кнопка "Яндекс" на панели задач
Менеджер браузеров
если не удаляются стандартно через Панель управления - Удаление программ, удалите принудительно через Geek Uninstaller

Отчёт FRST.txt получился неполный. Переделайте, пожалуйста.
 
Также:

1. Скопируйте на рабочий стол папку "C:\Windows\System32\CatRoot"
Затем упакуйте её в архив и пришлите через файлообменник.

2. Сделайте экспорт
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates
 
catroot слишком большой. Не дает загрузить сюда.
 

Вложения

  • reestr.rar
    311.8 KB · Просмотры: 3
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу