Форум программистов, компьютерный форум, киберфорум
Наши страницы

Лечение компьютерных вирусов

Войти
Регистрация
Восстановить пароль
 
KOTEHOK_Myp
0 / 0 / 0
Регистрация: 28.03.2015
Сообщений: 100
#1

Продолжаю предыдущую тему с удалением - Удаление вирусов

14.05.2017, 13:30. Просмотров 511. Ответов 12
Метки нет (Все метки)

Дважды уже ловил синий экран. svchost грузит проц на 70%. В прошлый раз не всё удалилось видимо. mail и прочая нечисть остались.
0
Вложения
Тип файла: zip CollectionLog-2017.05.14-13.22.zip (130.7 Кб, 2 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
14.05.2017, 13:30
Я подобрал для вас темы с готовыми решениями и ответами на вопрос Продолжаю предыдущую тему с удалением (Удаление вирусов):

Баннеры в браузере,трудности с удалением - Удаление вирусов
Добрый вечер. Поведую вкратце о своей проблеме.пару месяцев как сильно беспокоят баннеры,причем во всех браузерах.Стандартные средства...

Продолжаю мучать Writer - Haskell
Доброе утро! Вот опять интересный вопрос по монаде Writer: Есть ли у нее возможность перед записью, получить свое некое текущее...

Code:: Blocks (не на тему программирования, а на тему настройки) - C++
доброе время суток сразу попрошу прощения за созданную тему в этом разделе, которая не совсем по теме тут, но подходящей темы я не...

Возврат на предыдущую Activity - Программирование Android
Ребят, не получается вернуться на предыдущую активность. В классах каждой активити прописал @Override public void onBackPressed()...

Определить предыдущую дату - QBasic
Вот сама задача: Даны 2 числа d-день и m-месяц Определить предыдущую дату... Я её сделал, но она работает не корректно. Принтует по...

Запрос на предыдущую запись - MS Access
Доброго времени суток! Подскажите пожалуйста, как в запросе сделать выборку так, чтобы показывало только предыдущую запись?

12
VexMD
Эксперт по компьютерным сетям
911 / 627 / 64
Регистрация: 15.07.2012
Сообщений: 2,125
14.05.2017, 13:54 #2
1) Удалите программы через "Программы и компоненты":
Код
YoutubeAdBlock
Служба автоматического обновления программ
Video and Audio Plugin UBar
setupsk
2) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО Как временно выгрузить антивирусный продукт?
Выполните скрипт в AVZ (Файл - Выполнить скрипт) Как выполнить скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe');
 TerminateProcessByName('c:\program files (x86)\youtubeadblockie\mi7_vxc.exe');
 TerminateProcessByName('c:\users\admin\appdata\roaming\setupsk\python\pythonw.exe');
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 TerminateProcessByName('c:\program files\ubar\ubar.exe');
 TerminateProcessByName('c:\program files\ubar\ubarservice.exe');

 SetServiceStart('Updater.Mail.Ru', 4);
 SetServiceStart('UbarPolicyProvider', 4);
 SetServiceStart('SvcHost Service Host', 4);
 StopService('Updater.Mail.Ru');
 StopService('UbarPolicyProvider');
 StopService('SvcHost Service Host');

 QuarantineFile('C:\Users\Admin\AppData\Local\etdctrl\etdctrl.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\wupdate\wupdate.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\SearchGo\searchgo.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Program Files (x86)\YoutubeAdBlockU\uHeff53.dll','');
 QuarantineFile('C:\Users\Admin\AppData\LocalLow\SearchGo\searchgo.dll','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\setupsk\ml.py','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\SETUPS~1\ml.py','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Mail.Ru\MailRuUpdater.exe','');
 QuarantineFile('C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe','');
 QuarantineFile('C:\Program Files\UBar\UbarService.exe','');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe','');
 QuarantineFile('C:\Program Files (x86)\YoutubeAdBlockIE\T88wd.dll','');
 QuarantineFile('C:\Program Files (x86)\YoutubeAdBlockIE\ks5HiJtY.dll','');
 QuarantineFile('c:\program files\ubar\ubarservice.exe','');
 QuarantineFile('c:\program files\ubar\ubar.exe','');
 QuarantineFile('c:\users\admin\appdata\roaming\setupsk\python\pythonw.exe','');
 QuarantineFile('c:\program files (x86)\youtubeadblockie\mi7_vxc.exe','');

 DeleteFile('c:\program files (x86)\youtubeadblockie\mi7_vxc.exe','32');
 DeleteFile('c:\users\admin\appdata\roaming\setupsk\python\pythonw.exe','32');
 DeleteFile('c:\windows\microsoft\svchost.exe','32');
 DeleteFile('c:\program files\ubar\ubar.exe','32');
 DeleteFile('c:\program files\ubar\ubarservice.exe','32');
 DeleteFile('C:\Program Files (x86)\YoutubeAdBlockIE\ks5HiJtY.dll','32');
 DeleteFile('C:\Program Files (x86)\YoutubeAdBlockIE\T88wd.dll','32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\Mail.Ru\MailRuUpdater.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\SETUPS~1\ml.py','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\Users\Admin\AppData\LocalLow\SearchGo\searchgo.dll','32');
 DeleteFile('C:\Users\Admin\AppData\Local\etdctrl\etdctrl.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\Program Files (x86)\YoutubeAdBlockU\uHeff53.dll','32');
 DeleteFile('C:\Users\Admin\AppData\Local\SearchGo\searchgo.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\wupdate\wupdate.exe','32');

 DeleteFile('C:\WINDOWS\Tasks\Update Service for E3605470-291B-44EB-8648-745EE356599A.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for E3605470-291B-44EB-8648-745EE356599A2.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\MailRuUpdater','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SearchGo Task','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for E3605470-291B-44EB-8648-745EE356599A','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for E3605470-291B-44EB-8648-745EE356599A2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\wupdate','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\etdctrl','64');

 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DelBHO('{E3605470-291B-44EB-8648-745EE356599A}');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');

 DeleteService('Updater.Mail.Ru');
 DeleteService('UbarPolicyProvider');
 DeleteService('SvcHost Service Host');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MailRuUpdater');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xosqzpfwid');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы.
К сообщению прикреплять файл quarantine.zip не нужно !

3) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK http://safezone.cc/resources/clearln...-jarlykov.102/
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

4) Подготовьте и приложите новый CollectionLog, повторно запустив Autologger.exe Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

5) Подготовьте и приложите лог сканирования AdwCleaner FAQ по работе с утилитой AdwCleaner
0
KOTEHOK_Myp
0 / 0 / 0
Регистрация: 28.03.2015
Сообщений: 100
14.05.2017, 14:52  [ТС] #3
-Скрипт выполнил
-файл отправил по форме
-clearLNK прикрепил
-новый лог прикрепил
-Лог сканирования +
0
Вложения
Тип файла: log ClearLNK-14.05.2017_14-30.log (2.8 Кб, 2 просмотров)
Тип файла: zip CollectionLog-2017.05.14-14.37.zip (118.8 Кб, 2 просмотров)
Тип файла: txt AdwCleaner[S0].txt (7.6 Кб, 11 просмотров)
VexMD
Эксперт по компьютерным сетям
911 / 627 / 64
Регистрация: 15.07.2012
Сообщений: 2,125
14.05.2017, 15:38 #4
1) Выполните скрипт в AVZ (Файл - Выполнить скрипт) Как выполнить скрипт в AVZ
Код
begin
 ExecuteFile('schtasks.exe', '/delete /TN "StartMenuCache" /F', 0, 15000, true);
 DeleteFile('C:\WINDOWS\system32\Tasks\StartMenuCache','64');
RebootWindows(true);
end.
Компьютер перезагрузится.

2) Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора.
Нажмите кнопку "Scan" ("Сканировать").
После окончания сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C*].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера !

3) Выполните полное сканирование в Malwarebytes Anti-malware FAQ по работе с Malwarebytes Anti-Malware v.2
Приложите лог, созданный при сканировании mbam-log-Дата_(Время).txt
0
KOTEHOK_Myp
0 / 0 / 0
Регистрация: 28.03.2015
Сообщений: 100
14.05.2017, 20:54  [ТС] #5
скрипт выполнил
0
Вложения
Тип файла: txt logvirus.txt (3.0 Кб, 2 просмотров)
Тип файла: txt AdwCleaner[C0].txt (8.6 Кб, 11 просмотров)
VexMD
Эксперт по компьютерным сетям
911 / 627 / 64
Регистрация: 15.07.2012
Сообщений: 2,125
15.05.2017, 17:53 #6
1) Повторите полное сканирование в Malwarebytes Anti-malware и удалите все найденное.
После перезагрузки запустите программу из меню "Пуск" - "Malwarebytes", перейдите на вкладку Отчеты, выберите последний отчет и нажмите кнопку Просмотреть отчет.
Нажмите кнопку Экспорт - Текстовый файл (*.txt) и сохраните файл отчета.
Приложите отчет к своему следующему сообщению.
Подробнее - FAQ по работе с Malwarebytes Anti-Malware v.3

2) Скачайте Farbar Recovery Scan Tool (FRST64.exe) http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ и сохраните на Рабочем столе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
В окне программы отметьте Shortcut.txt
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Упакуйте эти отчеты в один архив и приложите к своему следующему сообщению.
Подробнее читайте в этом руководстве FAQ по работе с утилитой Farbar Recovery Scan Tool
0
KOTEHOK_Myp
0 / 0 / 0
Регистрация: 28.03.2015
Сообщений: 100
17.05.2017, 00:25  [ТС] #7
Всё отправил
0
Вложения
Тип файла: rar FRST.rar (44.6 Кб, 2 просмотров)
Тип файла: txt malware.txt (3.0 Кб, 3 просмотров)
VexMD
Эксперт по компьютерным сетям
911 / 627 / 64
Регистрация: 15.07.2012
Сообщений: 2,125
17.05.2017, 17:20 #8
1) Удалите программу через "Программы и компоненты": UvConverter

2) Создайте текстовый файл fixlist.txt на рабочем столе, где расположен FRST64.exe.
Cкопируйте в него нижеследующий текст и сохраните:
Код
start
CreateRestorePoint:
Task: {0B920514-8E69-458E-A0AC-6DE836E2D250} - no filepath
Task: {25C469BA-72FA-46B0-A9D8-E5DC50F172E3} - no filepath
Task: {6A09ABB5-CF0B-47CA-AEBC-33DFAFA9EBE3} - \etdctrl -> No File <==== ATTENTION
Task: {A429DA10-F8D4-4B4C-9C5F-FDC617CD9AF5} - no filepath
Task: {AA2F69C9-5FB1-454C-ACE6-512C11EBC569} - no filepath
Task: {F49FBFDD-7183-464D-847B-B5B4539B12B4} - \MSI -> No File <==== ATTENTION
HKU\S-1-5-21-3543081068-801494975-2131232202-1001\...\StartupApproved\Run: => "mailruhomesearch_s1"
FirewallRules: [{5FAA34FF-0B72-4B79-8C85-D1CECBB3F9AB}] => (Allow) C:\Program Files\UBar\ubar.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HomePage: ChromeDefaultData2 -> inline.go.mail.ru/search?inline_comp=hp&fr=chhp11.0.30
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-05-14]
C:\Users\Admin\AppData\Local\etdctrl
C:\Users\Admin\AppData\Local\wupdate
C:\Windows\Microsoft
c:\program files\ubar
C:\ProgramData\mntemp
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите.
Программа создаст лог-файл Fixlog.txt.
Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
(Имейте ввиду, что из браузеров будут удалены страницы быстрого доступа).
Подробнее читайте в этом руководстве FAQ по работе с утилитой Farbar Recovery Scan Tool

3) Сообщите, какие остались проблемы.
0
VexMD
Эксперт по компьютерным сетям
911 / 627 / 64
Регистрация: 15.07.2012
Сообщений: 2,125
29.05.2017, 04:27 #9
KOTEHOK_Myp,
будете продолжать лечение ?
0
KOTEHOK_Myp
0 / 0 / 0
Регистрация: 28.03.2015
Сообщений: 100
29.05.2017, 18:59  [ТС] #10
Извините за задержку. Пока ошибок не наблюдается.
0
Вложения
Тип файла: txt Fixlog.txt (4.9 Кб, 3 просмотров)
VexMD
Эксперт по компьютерным сетям
911 / 627 / 64
Регистрация: 15.07.2012
Сообщений: 2,125
30.05.2017, 21:03 #11
Цитата Сообщение от KOTEHOK_Myp Посмотреть сообщение
Пока ошибок не наблюдается.
1) чтобы убедиться, что ничего вредоносного не осталось, подготовьте и приложите новый CollectionLog, повторно запустив Autologger.exe

2) Загрузите SecurityCheck by glax24 & Severnyj http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe и сохраните утилиту на Рабочем столе.
Запустите правой кнопкой мыши от имени администратора.
Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck - не блокируйте ее работу.
После окончания сканирования в блокноте откроется лог SecurityCheck.txt.
Прикрепите этот файл C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
0
KOTEHOK_Myp
0 / 0 / 0
Регистрация: 28.03.2015
Сообщений: 100
31.05.2017, 00:39  [ТС] #12
готово
0
Вложения
Тип файла: zip CollectionLog-2017.05.31-00.18.zip (131.7 Кб, 2 просмотров)
Тип файла: txt SecurityCheck.txt (10.6 Кб, 2 просмотров)
VexMD
Эксперт по компьютерным сетям
911 / 627 / 64
Регистрация: 15.07.2012
Сообщений: 2,125
31.05.2017, 05:21 #13
1) Рекомендуемые обновления:

VLC media player v.2.2.4 Внимание! Скачать обновления
WinRAR 5.31 beta 1 (64-bit) v.5.31.1 Внимание! Скачать обновления
Picasa 3 v.3.9.141.255 Данная программа больше не поддерживается разработчиком.
WinRAR 5.30 (32-разрядная) v.5.30.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.30 v.7.30.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ UnwantedApps ] -----------------------------
Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
UvConverter Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

2) Удалите программы использованные при лечении:

a) Запустите AdwCleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

b) Malwarebytes Anti-malware деинсталлируйте через "Программы и компоненты"

c) Остальные утилиты лечения (и папки, созданные утилитами C:\FRST, C:\SecurityCheck, ...\Autologger) можно просто удалить.

3) Выполняйте рекомендации - Рекомендации после удаления вредоносного ПО
0
31.05.2017, 05:21
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
31.05.2017, 05:21
Привет! Вот еще темы с ответами:

Возврат на предыдущую форму - Delphi
У меня есть порядка 10 форм, на одну из них (назовем ее REd) можно перейти с нескольких форм. Проблема, как вернуться на ту форму с...

Открыть предыдущую форму - Visual Basic
можно ли сделать команду на форме, которая будет возвращать на предыдущую, независимо от того какая она была. Me.Hide не сработает, т.к....

Найти предыдущую перестановку - C++
Собственно, есть перестановка, нужно найти N предыдущих и M следующих. Например для 132 предыдущей будет 123, а следующей 132. Мой...

Узнать предыдущую страницу - JavaScript
Здравствуйте. как можно узнать в javascript ссылку на страницу с которой пришел пользователь? referer не подходит-нужно получить ссылку...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
13
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru