Перейти к содержанию

Вирусяки


Рекомендуемые сообщения

Просканировал ноут утилитой Dr.Web CureIt! и нашел 9 вредоносностей. Прошу модераторов обьеденить эту тему с этой . Здесь вопросы по тому же ноутбуку.

 

На даный момент мои действия: 

- удалил несовместимое ПО Microsoft Antimalware, Microsoft Antimalware Service RU-RU Language Packи, Microsoft Security Essentials

- просканировал Dr.Web CureIt! и удалил этой же программой 9 вот таких вредоносностей 

post-20482-0-14011800-1395256329_thumb.png

- удалил видеодрайвера, потому что после загрузки виндовс выдавало вот такую ошибку 

post-20482-0-67031100-1395256412_thumb.png

- установил новые. Правда есть подозрения что стали криво, потому что после установки в Диспетчере устройств показало драйвера AMD Radeon 6300M, хотя видеокарта 6370М. Поесли нажатия "обновить драйвер", ноутбука долго плющило и после перегрузки показывает то что надо. 

post-20482-0-67242800-1395256601_thumb.png

Но что такое Intel® HD Graphics Family? Не должна ли быть Драйвер дискретной графической системы ATI ?

 

Попрошу консультантов:

1. проверьте логи нету ли еще каких то зловредов ?

2. как мне избавиться вот такого окна с ошибкой? 

post-20482-0-67461000-1395256764_thumb.png

3. написать другие ваши замечания, если есть.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем neotrance
Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте:

Тут недорого version 2.8-->"C:\Windows\unins000.exe"
Speed Test 127-->C:\Program Files (x86)\Speed Test 127\uninst.exe
PC Performer-->"C:\Program Files (x86)\Uninstall Information\97\4258\uninstall.exe" /PUninstall="HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\PC Performer_is1" /reg=32
Free Games 111-->C:\Program Files (x86)\Free Games 111\uninst.exe

 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Пользователь\appdata\roaming\digita~1\update~1\update~1.exe','');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
 DeleteFile('C:\Windows\Tasks\PC Performer_DEFAULT.job','64');
 DeleteFile('C:\Windows\Tasks\PC Performer_UPDATES.job','64');
 DeleteFile('C:\Windows\Tasks\SaveSense.job','64');
 DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job','64');
 DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job','64');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer_DEFAULT','64');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer','64');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer_UPDATES','64');
 DeleteFile('C:\Windows\system32\Tasks\SaveSense','64');
 DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineUA','64');
 DelBHO('{C45EC9F0-8333-465D-9728-074BD41985C9}');
 DelBHO('{11C8C9C0-D918-44C0-8B5E-D297DA42F2C7}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);  
 DeleteFileMask('C:\Program Files (x86)\fnic', '*', true, ' ');
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\nsmls', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\fnic');     
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\nsmls');  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
 ExecuteRepair(1);    
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://la1mida.ru/
O2 - BHO: Speed Test 127 - {11C8C9C0-D918-44C0-8B5E-D297DA42F2C7} - C:\Program Files (x86)\Speed Test 127\ScriptHost.dll
O2 - BHO: Free Games 111 - {C45EC9F0-8333-465D-9728-074BD41985C9} - C:\Program Files (x86)\Free Games 111\ScriptHost.dll
 
Пересоздайте ярлыки для браузеров.
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
Деинсталировал указаыне программы.

Выполнил первый скрипт в АВЗ

Сделал второй скрипт в АВЗ для отправки в ЛК, папка quarantine.zip не создалась, есть простая папка quarantine и внутри 2 файла. Можно самому архивировать или должна сделать программа АВЗ?

Профиксил только первый пункт, другого и третьего не было.

Скачал AdwCleaner и прикрепил лог  

Скачал Malwarebytes' Anti-Malware и прикрепил лог 

AdwCleanerR0.txt

MBAM-log-2014-03-19 (23-03-09).txt

Изменено пользователем neotrance
Ссылка на сообщение
Поделиться на другие сайты
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".
  • По окончанию сканирования снимите галочки со следующих строк:
***** [ Files / Folders ] *****
Folder Found C:\Program Files (x86)\Yandex
Folder Found C:\ProgramData\Yandex
Folder Found C:\Users\Пользователь\AppData\Local\Mail.Ru
Folder Found C:\Users\Пользователь\AppData\Local\Yandex
Folder Found C:\Users\Пользователь\AppData\LocalLow\Yandex
Folder Found C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
Folder Found C:\Users\Пользователь\AppData\Roaming\Yandex
 
***** [ Registry ] *****
Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
  • Нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 

В MBAM удалите все кроме:
 
Подробнее читайте в руководстве
 
Обнаруженные файлы:
C:\Users\Пользователь\Desktop\Revo Uninstaller Pro 3.0.5\revo.uninstaller.pro.3.x.(x64)-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
C:\Users\Пользователь\Desktop\Revo Uninstaller Pro 3.0.5\revo.uninstaller.pro.3.x.(x86)-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
 
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 

 

Ссылка на сообщение
Поделиться на другие сайты

деинсталлируйте MBAM

 

 

Для устранения уязвимостей выполните в AVZ скрипт из файла ScanVuln.txt
Откройте файл avz_log.txt из подпапки LOG (AVZ4\LOG\avz_log.txt) или из корня диска С (С:\avz_log.txt).
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Важно: обратите внимание, при установке сервис-паков и обновлении ОС может потребоваться повторная активация Windows.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

При запуске Гугл Хром открываються посторонние сайты c рекламой. Как избавится от их загрузки?

Изменено пользователем neotrance
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...