0 / 0 / 0
Регистрация: 02.04.2015
Сообщений: 27
|
|
1 | |
Китайский вирус\вредоносное ПО02.04.2015, 11:05. Показов 2182. Ответов 15
Метки нет (Все метки)
Доброго времени суток.
Я тут впервые.)) Прошу прощения если такая тема уже поднималась (именно про этот не нашла... возможно она и есть но я даже название вируса не знаю) Очень нужна ваша помощь! Возможно кто-то уже и сталкивался с этим паразитом. Дело было так: скачала эмулятор андроид-приложении, а установщик вытянул за собой каку(такую как амиго, ещё какая-то китайская ерунда и тд и тп...). Вроде бы ничего, я быстро расправилась с ними... а один китаец ни в какую не вылазит ((( я вижу его в контекстном меню корзины... там написано всё по-китайски(корейский, японский... понятия не имею, даже нажимать не рискую ). Я лично ни в процессах ни в службах его не вижу.. (даже в панели управления и следа нет). Подскажите пожалуйста! Как его выколупать, где искать? (конечно он не мешает работать, но глаз режет...) P.S. Антивирусы его не берут... Так же приложила лог. Надеюсь всё правильно сделала =)
0
|
02.04.2015, 11:05 | |
Ответы с готовыми решениями:
15
Вирус устанавливает на компьютер другие вирусы и прочее вредоносное ПО Китайский вирус Китайский вирус Китайский вирус |
0 / 0 / 0
Регистрация: 02.04.2015
Сообщений: 27
|
|
02.04.2015, 12:44 [ТС] | 2 |
Благодарю, что ответили. Я просмотрела эти темы и советы там не помогли... (Даже папок таких нигде нет, даже скрытых... зато были найдены записи в реестре Baidu и многие начинались с \??\C:\......)
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
02.04.2015, 12:59 | 3 |
Здравствуйте!
Внимание! Рекомендации написаны специально для пользователя Apple98. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________
0
|
0 / 0 / 0
Регистрация: 02.04.2015
Сообщений: 27
|
|
02.04.2015, 13:39 [ТС] | 4 |
Сделала как было сказано. Скрипт изменений не внёс (ну... по крайней мере видимых) Прикладываю отчёт
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
02.04.2015, 13:47 | 5 |
1. Выполните скрипт в UVS.
Код
;uVS v3.85.11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c BREG delall %SystemDrive%\USERS\APPLE\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE zoo %SystemDrive%\USERS\APPLE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\爱奇艺PPS影音.LNK bl 41B333C5F9FB72DD370FB499C3C2DE70 744 delall %SystemDrive%\USERS\APPLE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\爱奇艺PPS影音.LNK delall D:\IQIYI VIDEO\LSTYLE\QYCLIENT.EXE delall D:\IQIYI VIDEO\LSTYLE\NPCLIENT.DLL delall D:\IQIYI VIDEO\LSTYLE\NPWEBPLAYER.DLL delall %SystemDrive%\USERS\APPLE\APPDATA\LOCAL\AMIGO\APPLICATION\OK.EXE delall %SystemDrive%\USERS\APPLE\APPDATA\LOCAL\AMIGO\APPLICATION\VK.EXE zoo %SystemDrive%\USERS\APPLE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK bl 7DFB3EA1F4E9FAF308095F42AAF500EF 2175 delall %SystemDrive%\USERS\APPLE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK zoo %SystemDrive%\USERS\APPLE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ВКОНТАКТЕ.LNK bl 1153C71C8EBBB40B11F82F65876B9DA3 2212 delall %SystemDrive%\USERS\APPLE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ВКОНТАКТЕ.LNK zoo %SystemDrive%\USERS\APPLE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ОДНОКЛАССНИКИ.LNK bl E1697D9F1D9966FBCC115AD1DF4C1577 2212 delall %SystemDrive%\USERS\APPLE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ОДНОКЛАССНИКИ.LNK regt 27 regt 28 regt 29 czoo restart Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве.
0
|
0 / 0 / 0
Регистрация: 02.04.2015
Сообщений: 27
|
|
02.04.2015, 14:11 [ТС] | 6 |
Вот отчёты
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
02.04.2015, 14:30 | 7 |
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код
start CreateRestorePoint: HKU\S-1-5-21-1388636726-646842520-872451288-1000\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION BHO-x32: No Name -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> No File CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] CHR HKLM-x32\...\Chrome\Extension: [njabjmhinndphfnbjehdalkphpdmepli] - https://clients2.google.com/service/update2/crx 2015-04-02 18:58 - 2009-07-14 11:20 - 00000000 ___HD () C:\Windows\system32\GroupPolicy 2015-04-02 18:58 - 2009-07-14 11:20 - 00000000 ____D () C:\Windows\SysWOW64\GroupPolicy EmptyTemp: Reboot: end Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Видны следы Kaspersky Lab, а в списке установленных программ его нет. Утилита удаления продуктов ЛК - очистите.
0
|
0 / 0 / 0
Регистрация: 02.04.2015
Сообщений: 27
|
|
02.04.2015, 14:37 [ТС] | 8 |
Пока делаю, расскажу про Касперского.... Он действительно стоял. Но как-то свои обязанности не выполнял.. мне дали ключ якобы лицензия. Я установила его с этим ключом, а вместо того чтобы ловить вирусов, Каспер блокировал всё! вплоть до проигрывателя Windows Media. Я не могла ни в интернет попасть ни в программы ни в сам каспер.... В итоге удалялся в ручную через безопасный режим...
0
|
0 / 0 / 0
Регистрация: 02.04.2015
Сообщений: 27
|
|
02.04.2015, 14:50 [ТС] | 9 |
Вот отчёт. После нажатия FIX сразу слетел какой-то плагин в Mozila Firefox (вероятней вирусовский). Подчистила остатки от Каспера (если верить программке)
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
02.04.2015, 17:05 | 10 |
Что сейчас с проблемой?
0
|
0 / 0 / 0
Регистрация: 02.04.2015
Сообщений: 27
|
|
02.04.2015, 17:53 [ТС] | 11 |
Ноутбук работает как обычно, китайская бурда-дребудень никуда не делась(((
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
02.04.2015, 22:37 | 12 |
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код
CreateRestorePoint: 2015-03-17 22:57 - 2015-03-17 22:58 - 00000000 ____D () C:\Users\Все пользователи\Tencent 2015-03-17 22:57 - 2015-03-17 22:58 - 00000000 ____D () C:\ProgramData\Tencent 2015-03-17 22:57 - 2015-03-17 22:57 - 00000000 ____D () C:\Program Files (x86)\Tencent 2015-03-17 22:54 - 2015-03-17 22:54 - 00000000 ____D () C:\Users\Public\QiYi 2015-03-18 00:02 - 2015-03-18 00:02 - 00260876 _____ (VuuPC Limited) C:\Users\Apple\AppData\Local\nsg62CF.tmp OPR Extension: (Everysale.Net) - C:\Users\Apple\AppData\Roaming\Opera Software\Opera Stable\Extensions\iapdadaeaebaoigieglfababneoaifnf [2014-11-05] OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Apple\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-11-05] FF Extension: Аудио и видео скачивание - C:\Users\Apple\AppData\Roaming\Mozilla\Firefox\Profiles\y0cddm6l.default\Extensions\avdownloader-sk5@sk-sdk.com [2014-10-28] FF Extension: PhoenixGuard - C:\Users\Apple\AppData\Roaming\Mozilla\Firefox\Profiles\y0cddm6l.default\Extensions\jid1-mQ4tv5noZTml7A@jetpack.xpi [2014-11-05] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\QMGCShellExt64.dll (Tencent) FF Extension: Everysale.Net - C:\Users\Apple\AppData\Roaming\Mozilla\Firefox\Profiles\y0cddm6l.default\Extensions\{4d31e4c9-ce86-4b0f-8ffb-56345a8b5f6c}.xpi [2014-11-05] Reboot:
0
|
0 / 0 / 0
Регистрация: 02.04.2015
Сообщений: 27
|
|
03.04.2015, 07:10 [ТС] | 13 |
Божечки, спасибо вам огромное *__* наконец-то эта нечисть исчезла!!! но на всякий случай приложу отчёт.
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
03.04.2015, 08:20 | 14 |
Выполните скрипт в AVZ при наличии доступа в интернет:
Код
var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО
0
|
0 / 0 / 0
Регистрация: 02.04.2015
Сообщений: 27
|
|
03.04.2015, 09:22 [ТС] | 15 |
Спасибо вам огромное :3 всё прошло успешно, уязвимостей больше нет и китайца тоже
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
03.04.2015, 09:23 | 16 |
Удачи!
0
|
03.04.2015, 09:23 | |
03.04.2015, 09:23 | |
Помогаю со студенческими работами здесь
16
Китайский вирус Китайский вирус Китайский вирус Китайский вирус Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |