Вирусяки

[neotrance]

Просканировал ноут утилитой Dr.Web CureIt! и нашел 9 вредоносностей. Прошу модераторов обьеденить эту тему с этой . Здесь вопросы по тому же ноутбуку.

 

На даный момент мои действия: 

- удалил несовместимое ПО Microsoft Antimalware, Microsoft Antimalware Service RU-RU Language Packи, Microsoft Security Essentials

- просканировал Dr.Web CureIt! и удалил этой же программой 9 вот таких вредоносностей 

- удалил видеодрайвера, потому что после загрузки виндовс выдавало вот такую ошибку 

- установил новые. Правда есть подозрения что стали криво, потому что после установки в Диспетчере устройств показало драйвера AMD Radeon 6300M, хотя видеокарта 6370М. Поесли нажатия "обновить драйвер", ноутбука долго плющило и после перегрузки показывает то что надо. 

Но что такое Intel® HD Graphics Family? Не должна ли быть Драйвер дискретной графической системы ATI ?

 

Попрошу консультантов:

1. проверьте логи нету ли еще каких то зловредов ?

2. как мне избавиться вот такого окна с ошибкой? 

3. написать другие ваши замечания, если есть.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 19 марта, 2014 пользователем neotrance

[mike 1]

Деинсталлируйте:

Тут недорого version 2.8-->"C:\Windows\unins000.exe"
Speed Test 127-->C:\Program Files (x86)\Speed Test 127\uninst.exe
PC Performer-->"C:\Program Files (x86)\Uninstall Information\97\4258\uninstall.exe" /PUninstall="HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\PC Performer_is1" /reg=32
Free Games 111-->C:\Program Files (x86)\Free Games 111\uninst.exe

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Пользователь\appdata\roaming\digita~1\update~1\update~1.exe','');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
 DeleteFile('C:\Windows\Tasks\PC Performer_DEFAULT.job','64');
 DeleteFile('C:\Windows\Tasks\PC Performer_UPDATES.job','64');
 DeleteFile('C:\Windows\Tasks\SaveSense.job','64');
 DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job','64');
 DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job','64');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer_DEFAULT','64');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer','64');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer_UPDATES','64');
 DeleteFile('C:\Windows\system32\Tasks\SaveSense','64');
 DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineUA','64');
 DelBHO('{C45EC9F0-8333-465D-9728-074BD41985C9}');
 DelBHO('{11C8C9C0-D918-44C0-8B5E-D297DA42F2C7}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);  
 DeleteFileMask('C:\Program Files (x86)\fnic', '*', true, ' ');
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\nsmls', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\fnic');     
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\nsmls');  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
 ExecuteRepair(1);    
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://la1mida.ru/
O2 - BHO: Speed Test 127 - {11C8C9C0-D918-44C0-8B5E-D297DA42F2C7} - C:\Program Files (x86)\Speed Test 127\ScriptHost.dll
O2 - BHO: Free Games 111 - {C45EC9F0-8333-465D-9728-074BD41985C9} - C:\Program Files (x86)\Free Games 111\ScriptHost.dll

 

Пересоздайте ярлыки для браузеров.

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

Изменено 19 марта, 2014 пользователем mike 1

[neotrance]

Деинсталировал указаыне программы.

Выполнил первый скрипт в АВЗ

Сделал второй скрипт в АВЗ для отправки в ЛК, папка quarantine.zip не создалась, есть простая папка quarantine и внутри 2 файла. Можно самому архивировать или должна сделать программа АВЗ?

Профиксил только первый пункт, другого и третьего не было.

Скачал AdwCleaner и прикрепил лог  

Скачал Malwarebytes' Anti-Malware и прикрепил лог 

AdwCleanerR0.txt

MBAM-log-2014-03-19 (23-03-09).txt

Изменено 19 марта, 2014 пользователем neotrance

[mike 1]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

• По окончанию сканирования снимите галочки со следующих строк:

***** [ Files / Folders ] *****
Folder Found C:\Program Files (x86)\Yandex
Folder Found C:\ProgramData\Yandex
Folder Found C:\Users\Пользователь\AppData\Local\Mail.Ru
Folder Found C:\Users\Пользователь\AppData\Local\Yandex
Folder Found C:\Users\Пользователь\AppData\LocalLow\Yandex
Folder Found C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
Folder Found C:\Users\Пользователь\AppData\Roaming\Yandex
 
***** [ Registry ] *****
Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}

• Нажмите кнопку "Clean" и дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

В MBAM удалите все кроме:

 

Подробнее читайте в руководстве

 

Обнаруженные файлы:
C:\Users\Пользователь\Desktop\Revo Uninstaller Pro 3.0.5\revo.uninstaller.pro.3.x.(x64)-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
C:\Users\Пользователь\Desktop\Revo Uninstaller Pro 3.0.5\revo.uninstaller.pro.3.x.(x86)-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.

 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

 

[neotrance]

Новые логи

MBAM-log-2014-03-20 (09-27-19).txt

AdwCleanerS0.txt

[Roman_Five]

деинсталлируйте MBAM

 

 

Для устранения уязвимостей выполните в AVZ скрипт из файла ScanVuln.txt
Откройте файл avz_log.txt из подпапки LOG (AVZ4\LOG\avz_log.txt) или из корня диска С (С:\avz_log.txt).
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Важно: обратите внимание, при установке сервис-паков и обновлении ОС может потребоваться повторная активация Windows.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

[neotrance]

При запуске Гугл Хром открываються посторонние сайты c рекламой. Как избавится от их загрузки?

Изменено 20 марта, 2014 пользователем neotrance

[mike 1]

А ярлыки для браузера пересоздали? 

[neotrance]

@mike 1, помогло! 

[mike 1]

Проблема решена?

[neotrance]

@mike 1, да. всем Спасибо + отдельное  спс mike 1.