С наступающим Новым годом! Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.57/7: Рейтинг темы: голосов - 7, средняя оценка - 4.57
cooporose
0 / 0 / 0
Регистрация: 17.03.2016
Сообщений: 9
1

Схватил много вирусов

17.03.2016, 08:55. Просмотров 1314. Ответов 14
Метки нет (Все метки)

Добрый день.

Словил кучу пакости на машину одним разом. Кратко опишу симптомы:
  • весь пакет чудо-приложений от mail.ru,
  • подмена стартовых страниц в браузерах,
  • замена ярлыков Хрома,
  • удаление закладок из браузеров,
  • установка приложений,
  • баннеры на сайтах в каждом пустом пикселе,
  • пакет утилит от китайского медиагиганта Tensent,
  • установка кучи других программ и приложений.

Что-то частично победил антивирусами, утилитами и ручным удалением. Но большинство проблем возвращается вновь.

Рассчитываю на вашу помощь
0
Вложения
Тип файла: zip CollectionLog-2016.03.17-11.26.zip (127.2 Кб, 3 просмотров)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
17.03.2016, 08:55
Ответы с готовыми решениями:

много вирусов в пк
Здраствуйте, помогите очистить ПК от вирусов и фишинговых прог. сам почистил,...

Много вирусов
Компьютер сильно заражен. Но логи не могу сделать. Не запускается рабочий стол,...

Много вирусов

Много вирусов
Везде куча ошибок, вирусов и всплывающих окон, ни одна игра не запускается....

Много вирусов
У меня на компьтере засело очень много вирусов, помогите вилечить мои файлы. Не...

14
cooporose
0 / 0 / 0
Регистрация: 17.03.2016
Сообщений: 9
17.03.2016, 14:40  [ТС] 2
Уважаемые форумчане.

В соседних темах ответы есть, а я остался на том же этапе.

Подскажите, что я делаю не так?
0
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,380
17.03.2016, 17:32 3
Здравствуйте!

Наберитесь терпения. Это не основная наша работа, отвечаем по мере возможности.

Внимание! Рекомендации написаны специально для пользователя cooporose. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:
HDSoft
hohosearch Uninstall
Remote Desktop Access (VuuPC)
SpaceSoundPro
yessearches Uninstall

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\users\cooporose\appdata\local\temp\un.exe');
     QuarantineFile('C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe','');
     QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('c:\users\cooporose\appdata\local\temp\un.exe', '');
     QuarantineFile('C:\Program Files (x86)\07883B00-1458120409-11DB-B25A-001FC60CDB64\jnssE634.tmp', '');
     QuarantineFile('C:\Program Files (x86)\07883B00-1458120409-11DB-B25A-001FC60CDB64\knssC018.tmpfs', '');
     QuarantineFile('C:\Program Files (x86)\07883B00-1458120409-11DB-B25A-001FC60CDB64\hnscB04.tmp', '');
     QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
     QuarantineFile('C:\Program Files\SpaceSoundPro\idscservice.exe', '');
     QuarantineFile('C:\Users\Cooporose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk', '');
     QuarantineFile('C:\Users\Cooporose\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
     QuarantineFile('C:\Users\Public\Desktop\Mozilla Firefox.lnk', '');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk', '');
     QuarantineFile('C:\ProgramData\DbVxTXsTT\AuNhzUb5.exe', '');
     DeleteFile('C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe','32');
     DeleteFile('C:\ProgramData\DbVxTXsTT\AuNhzUb5.exe');
     DeleteFile('c:\users\cooporose\appdata\local\temp\un.exe', '32');
     DeleteFile('C:\Program Files (x86)\07883B00-1458120409-11DB-B25A-001FC60CDB64\jnssE634.tmp', '32');
     DeleteFile('C:\Program Files (x86)\07883B00-1458120409-11DB-B25A-001FC60CDB64\knssC018.tmpfs', '32');
     DeleteFile('C:\Program Files (x86)\07883B00-1458120409-11DB-B25A-001FC60CDB64\hnscB04.tmp', '32');
     DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
     DeleteFile('C:\Program Files\SpaceSoundPro\idscservice.exe', '32');
     ExecuteFile('schtasks.exe', '/delete /TN "WinTaske" /F', 0, 15000, true);
     DeleteService('gerocyni');
     DeleteService('juwohywyzbt');
     DeleteService('wucotusy');
     DeleteFileMask('c:\program files\spacesoundpro', '*', true);
     DeleteDirectory('c:\program files\spacesoundpro');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IDSCPRODUCT');
    ExecuteSysClean;
     ExecuteRepair(3);
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
    К сообщению прикреплять карантин не нужно!

  3. Файл CheckBrowserLnk.log
    из папки
    ...\AutoLogger\CheckBrowserLnk
    перетащите на утилиту ClearLNK.



    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  4. Подготовьте лог сканирования AdwCleaner.
0
cooporose
0 / 0 / 0
Регистрация: 17.03.2016
Сообщений: 9
18.03.2016, 07:43  [ТС] 4
Sandor, спасибо.
Я на самом деле сомневался, верно ли все сделал.

Карантин отправил, логи приложил (лог AdwCleaner превысил объем в 20 кБ, поэтому в архиве).
0
Вложения
Тип файла: log ClearLNK-18.03.2016_10-22.log (3.4 Кб, 1 просмотров)
Тип файла: rar AdwCleaner[S1].rar (4.0 Кб, 1 просмотров)
cooporose
0 / 0 / 0
Регистрация: 17.03.2016
Сообщений: 9
18.03.2016, 07:47  [ТС] 5
По этим программам:
Цитата Сообщение от Sandor Посмотреть сообщение
Через Панель управления - Удаление программ - удалите нежелательное ПО:
HDSoft
hohosearch Uninstall
Remote Desktop Access (VuuPC)
SpaceSoundPro
yessearches Uninstall
При удалении через панель управления по всем появлялось сообщение, что программы были удалены ранее.
0
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,380
18.03.2016, 10:22 6
1.
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\Program Files (x86)\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
cooporose
0 / 0 / 0
Регистрация: 17.03.2016
Сообщений: 9
18.03.2016, 11:06  [ТС] 7
Sandor, сделано.
0
Вложения
Тип файла: rar Логи Farbar.rar (27.6 Кб, 1 просмотров)
Тип файла: rar AdwCleaner[C1].rar (4.1 Кб, 1 просмотров)
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,380
18.03.2016, 11:32 8
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Windows Batch file
start
CreateRestorePoint:
FF NewTab: hxxp://www.hohosearch.com/?ts=AHEpC34mA34kA0..&v=20160315&uid=D6A535BC89CE1190A2D2937F75239B84&ptid=amz&mode=ffseng
FF DefaultSearchEngine: hohosearch
FF SelectedSearchEngine: hohosearch
FF Homepage: hxxp://www.hohosearch.com/?ts=AHEpC34mA34kA0..&v=20160315&uid=D6A535BC89CE1190A2D2937F75239B84&ptid=amz&mode=ffseng
FF Plugin-x32: @qq.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [No File]
FF user.js: detected! => C:\Users\Cooporose\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2016-03-16]
FF user.js: detected! => C:\Users\Cooporose\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\user.js [2016-03-16]
FF Extension: No Name - C:\Users\Cooporose\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
S2 QQRepair1768; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1768" [X]
S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\TSDefenseBT64.sys [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\TsNetHlpX64.sys [X]
2016-03-16 15:46 - 2016-03-18 10:13 - 00000000 ____D C:\Users\Все пользователи\DbVxTXsTT
2016-03-16 15:46 - 2016-03-18 10:13 - 00000000 ____D C:\ProgramData\DbVxTXsTT
2016-03-16 15:46 - 2016-03-16 15:46 - 00000000 ____D C:\Users\Cooporose\AppData\Local\zUzkFMwsA
2016-03-16 14:32 - 2016-03-18 13:57 - 00000000 ____D C:\Users\Все пользователи\Tencent
2016-03-16 14:32 - 2016-03-18 13:57 - 00000000 ____D C:\ProgramData\Tencent
2016-03-16 14:32 - 2016-03-16 14:32 - 00132344 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
2016-03-16 14:32 - 2016-03-16 14:32 - 00087800 ____N (电脑管家) C:\WINDOWS\system32\Drivers\TFsFltX64.sys
2016-03-16 14:32 - 2016-03-16 14:32 - 00000000 ____D C:\Program Files (x86)\Tencent
2016-03-16 14:26 - 2016-03-16 14:26 - 00000000 ____D C:\Users\Все пользователи\CmIyUBt
2016-03-16 14:26 - 2016-03-16 14:26 - 00000000 ____D C:\ProgramData\CmIyUBt
2016-03-16 14:25 - 2016-03-16 14:25 - 00000000 ____D C:\Users\Все пользователи\lMnFBNiPeq
2016-03-16 14:25 - 2016-03-16 14:25 - 00000000 ____D C:\ProgramData\lMnFBNiPeq
2016-03-16 14:24 - 2016-03-16 14:25 - 00000000 ____D C:\Users\Все пользователи\PXsOmWnM
2016-03-16 14:24 - 2016-03-16 14:25 - 00000000 ____D C:\ProgramData\PXsOmWnM
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Подготовьте лог uVS.
0
cooporose
0 / 0 / 0
Регистрация: 17.03.2016
Сообщений: 9
18.03.2016, 12:28  [ТС] 9
Sandor, сделано
0
Вложения
Тип файла: 7z COOPOROSE-PC_2016-03-18_15-18-22.7z (713.9 Кб, 1 просмотров)
Тип файла: txt Fixlog.txt (4.6 Кб, 1 просмотров)
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,380
18.03.2016, 12:35 10
Выполните скрипт в UVS.
Код
;uVS v3.87 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv10.0
v385c
BREG
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16908.217\QMCONTEXTSCAN.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16908.217\QMCONTEXTSCAN64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16908.217\QQPCTRAY.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\PLUGINS\SREPAIRDRV
delref [url]HTTP://TOP81.COM.CN[/url]
delref [url]HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/[/url]
delall %SystemDrive%\PROGRAMDATA\RENEWALSERVICE\SERVICE.EXE
delall %SystemDrive%\USERS\COOPOROSE\APPDATA\ROAMING\FREEVPN\FREEVPN.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT
restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.


Сообщите что с проблемой.
0
cooporose
0 / 0 / 0
Регистрация: 17.03.2016
Сообщений: 9
18.03.2016, 13:05  [ТС] 11
Проблемы ликвидированы. Все работает исправно
0
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,380
18.03.2016, 13:28 12
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

2.
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
0
cooporose
0 / 0 / 0
Регистрация: 17.03.2016
Сообщений: 9
18.03.2016, 13:36  [ТС] 13
Сделал.

Где оставить отзыв и как вас донатить?
0
Вложения
Тип файла: txt SecurityCheck.txt (8.1 Кб, 3 просмотров)
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,380
18.03.2016, 14:14 14
------------------------------- [ Windows ] -------------------------------
Автоматическое обновление отключено (-1)
Восстановление системы отключено
--------------------------- [ FirewallWindows ] ---------------------------
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.01 (64-bit) v.4.01.0 Внимание! Скачать обновления
WinRAR 4.01 (32-bit) v.4.01.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.18 v.7.18.109 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41865 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 66 (64-bit) v.8.0.660.18 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u74-windows-x64.exe)^
Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u74-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Yandex v.16.2.0.3539 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Mozilla Firefox 43.0.1 (x86 ru) v.43.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^


Прочтите и выполните Рекомендации после удаления вредоносного ПО


Книга отзывов.

Желающим поддержать проект.
(В адресной строке слово resources замените на threads)
0
cooporose
0 / 0 / 0
Регистрация: 17.03.2016
Сообщений: 9
21.03.2016, 07:24  [ТС] 15
Sandor, спасибо.
0
21.03.2016, 07:24
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
21.03.2016, 07:24

Поймал много вирусов
Жена скачивала какие то базы по работе и в результате нахватала кучу нечисти....

Много рекламы и вирусов
Здравствуйте. На компьютере рабочем увидел очень много странных вещей....

Поймал много вирусов
1. Непонятный китайский вирус Tescent 2. Не устанавливается стартовая...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru