Riply Опубликовано 6 декабря, 2014 Опубликовано 6 декабря, 2014 Здравствуйте. Помогите удалить эти программы. CollectionLog-2014.12.06-15.57.zip
mike 1 Опубликовано 6 декабря, 2014 Опубликовано 6 декабря, 2014 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\users\Администратор\appdata\roaming\vopackage\vosrv.exe'); SetServiceStart('servervo', 4); StopService('servervo'); QuarantineFile('C:\Users\Администратор\AppData\Local\Yandex\browser.bat',''); QuarantineFile('c:\users\Администратор\appdata\roaming\vopackage\vosrv.exe',''); DeleteFile('C:\Users\Администратор\AppData\Roaming\VOPackage\VOsrv.exe','32'); DeleteFile('C:\Users\Администратор\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\Searchya','64'); DeleteFile('C:\Windows\system32\Tasks\FF Watcher {12851B19-4101-49F6-9BB5-5AECB65C6430}','64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DeleteService('servervo'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text= O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) Исправьте ярлыки: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Creative\Sound Blaster X-Fi MB\Сrеаtivе Соnsоlе Lаunсhеr.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Таnks.lnk C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Wоrld оf Таnks.lnk C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk C:\Users\Администратор\Desktop\Оpеrа.lnk C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks - Common Test\Wоrld оf Таnks - Соmmоn Теst.lnk C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr (2).lnk C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr (3).lnk C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr (64-bit).lnk C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Riply Опубликовано 6 декабря, 2014 Автор Опубликовано 6 декабря, 2014 всё сделал. ClearLNK-06.12.2014_21-52.rar FRST.txt Addition.txt
mike 1 Опубликовано 6 декабря, 2014 Опубликовано 6 декабря, 2014 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита: SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=syd91&cd=2XzuyEtN2Y1L1QzutDtDtByDtBtByByE0C0D0DzyzyyEtCyCtN0D0Tzu0CyCyCzytN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu0D0S1L2Z1P1B0T1P1B2Z&cr=1520118147&ir= SearchScopes: HKLM -> {20852F4D-6AD3-AFFA-E9A7-57D3208267FE} URL = http://start.qone8.com/web/?type=ds&ts=1383103911&from=cor&uid=SAMSUNGXHD103SJ_S246J9GZB02597&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=syd91&cd=2XzuyEtN2Y1L1QzutDtDtByDtBtByByE0C0D0DzyzyyEtCyCtN0D0Tzu0CyCyCzytN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu0D0S1L2Z1P1B0T1P1B2Z&cr=1520118147&ir= SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=syd91&cd=2XzuyEtN2Y1L1QzutDtDtByDtBtByByE0C0D0DzyzyyEtCyCtN0D0Tzu0CyCyCzytN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu0D0S1L2Z1P1B0T1P1B2Z&cr=1520118147&ir= SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=syd91&cd=2XzuyEtN2Y1L1QzutDtDtByDtBtByByE0C0D0DzyzyyEtCyCtN0D0Tzu0CyCyCzytN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu0D0S1L2Z1P1B0T1P1B2Z&cr=1520118147&ir= SearchScopes: HKLM-x32 -> {4E987AD9-A64D-DC9C-9930-37DE23C08793} URL = http://start.qone8.com/web/?type=ds&ts=1383103911&from=cor&uid=SAMSUNGXHD103SJ_S246J9GZB02597&q={searchTerms} SearchScopes: HKU\S-1-5-21-1185348339-1552538087-22422384-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text={searchTerms} SearchScopes: HKU\S-1-5-21-1185348339-1552538087-22422384-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text= SearchScopes: HKU\S-1-5-21-1185348339-1552538087-22422384-500 -> {20852F4D-6AD3-AFFA-E9A7-57D3208267FE} URL = http://start.qone8.com/web/?type=ds&ts=1383103911&from=cor&uid=SAMSUNGXHD103SJ_S246J9GZB02597&q={searchTerms} BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-1185348339-1552538087-22422384-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-1185348339-1552538087-22422384-500 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF HKLM\...\Firefox\Extensions: [{21EAF666-26B3-4a3c-ABD0-CA2F5A326744}] - C:\Program Files\V-bates\Firefox FF HKLM-x32\...\Firefox\Extensions: [{21EAF666-26B3-4a3c-ABD0-CA2F5A326744}] - C:\Program Files\V-bates\Firefox CHR Extension: (Переводчик для Chrome 2) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlbjncdgjeocebhnmkbbbdekmmmcbfjd [2014-11-25] S2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-11-17] (Baidu) S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] S1 bd0003; system32\DRIVERS\bd0003.sys [X] S1 bd0004; system32\DRIVERS\bd0004.sys [X] S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X] S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X] S1 qknfd; system32\drivers\qknfd.sys [X] S1 {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64; system32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys [X] S1 {55dce8ba-9dec-4013-937e-adbf9317d990}w64; system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys [X] 2014-12-05 21:36 - 2014-12-05 21:34 - 00144712 _____ (Baidu Technology) C:\Windows\SysWOW64\Drivers\BDArKit.sys 2014-12-05 07:32 - 2014-11-17 13:15 - 00181072 _____ (Baidu) C:\Windows\system32\Drivers\bd0001_1.sys 2014-12-03 00:36 - 2014-12-03 07:14 - 00000000 ____D () C:\Program Files (x86)\Baidu 2014-11-25 23:47 - 2014-11-25 23:47 - 00000376 _____ () C:\Windows\Tasks\APSnotifierPP3.job 2014-11-25 23:47 - 2014-11-25 23:47 - 00000376 _____ () C:\Windows\Tasks\APSnotifierPP2.job 2014-11-25 23:45 - 2014-10-17 21:16 - 00023752 _____ (360????) C:\Windows\SysWOW64\Drivers\efimon.sys 2014-11-25 19:26 - 2014-12-06 09:48 - 00000520 _____ () C:\Windows\SysWOW64\an.bat 2014-11-25 19:25 - 2014-12-06 09:47 - 00000520 _____ () C:\Windows\SysWOW64\sd.bat 2014-11-25 14:15 - 2014-11-25 14:15 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup 2014-11-25 14:14 - 2014-11-25 14:14 - 00000000 __SHD () C:\Users\Администратор\AppData\Roaming\AnyProtectEx 2014-11-25 13:13 - 2014-11-25 13:13 - 00000000 ____D () C:\Users\Администратор\AppData\Local\Baidu 2014-11-25 13:13 - 2014-11-17 13:15 - 00048968 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys 2014-11-25 13:09 - 2014-12-02 21:17 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Baidu 2014-11-25 13:08 - 2014-12-06 09:53 - 00000000 ____D () C:\Users\Все пользователи\Baidu 2014-11-25 13:07 - 2014-11-25 13:07 - 00000095 ____H () C:\WOTLauncher.bat 2014-11-25 13:07 - 2014-11-25 13:07 - 00000092 ____H () C:\opera.bat 2014-11-25 13:07 - 2014-11-25 13:07 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage 2014-11-25 13:07 - 2014-09-30 19:20 - 09041264 ____H (Wargaming.net) C:\WОТLаunсhеr.bаt.exe 2014-11-25 13:07 - 2013-08-26 19:31 - 00879456 ____H (Opera Software) C:\оpеrа.bаt.exe 2014-11-25 13:07 - 2012-07-27 06:16 - 00748664 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe 2014-11-25 13:06 - 2014-12-06 21:15 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\VOPackage 2014-11-25 13:06 - 2014-12-06 10:50 - 00000000 ____D () C:\Program Files (x86)\BaiduEx 2014-11-25 13:05 - 2014-11-25 22:47 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\eTranslator 2014-12-06 21:36 - 2014-04-27 13:36 - 00000298 _____ () C:\Windows\Tasks\FF Watcher {12851B19-4101-49F6-9BB5-5AECB65C6430}.job 2014-12-06 21:36 - 2013-10-30 13:36 - 00000310 _____ () C:\Windows\Tasks\Searchya.job 2014-11-29 00:39 - 2014-04-27 13:33 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\InstallW 2014-11-29 00:39 - 2014-01-21 07:07 - 00000000 ____D () C:\Users\Администратор\AppData\Local\genienext 2014-11-29 00:39 - 2014-01-21 07:07 - 00000000 ____D () C:\Program Files (x86)\Mobogenie Task: {1B55C333-9BB5-4A66-90CC-F7957B702102} - \FF Watcher {12851B19-4101-49F6-9BB5-5AECB65C6430} No Task File <==== ATTENTION Task: {1ED0AA28-994C-4508-97CE-6902D40F14A5} - \Searchya No Task File <==== ATTENTION Task: {D4E2BA50-4C71-49BB-88B5-47B714D333D9} - \APSnotifierPP2 No Task File <==== ATTENTION Task: {E543B4DA-8159-4824-98FF-5AA63309B40A} - \APSnotifierPP3 No Task File <==== ATTENTION Task: C:\Windows\Tasks\APSnotifierPP2.job => ? <==== ATTENTION Task: C:\Windows\Tasks\APSnotifierPP3.job => ? <==== ATTENTION Task: C:\Windows\Tasks\FF Watcher {12851B19-4101-49F6-9BB5-5AECB65C6430}.job => C:\Program Files\V-bates\PrefHelper.exe <==== ATTENTION Task: C:\Windows\Tasks\Searchya.job => C:\Users\836D~1\AppData\Roaming\Searchya\UPDATE~1\UPDATE~1.EXE <==== ATTENTION EmptyTemp: Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Riply Опубликовано 6 декабря, 2014 Автор Опубликовано 6 декабря, 2014 В блокноте не сохраняются иероглифы (30 строчка). продолжить? иероглифы были заменены на ????? AdwCleanerR0.txt
mike 1 Опубликовано 6 декабря, 2014 Опубликовано 6 декабря, 2014 В блокноте не сохраняются иероглифы (30 строчка). продолжить? Да. Лог AdwCleaner нужен после выполнения скрипта.
mike 1 Опубликовано 6 декабря, 2014 Опубликовано 6 декабря, 2014 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Riply Опубликовано 6 декабря, 2014 Автор Опубликовано 6 декабря, 2014 а как удалить? AdwCleanerS0.txt
mike 1 Опубликовано 6 декабря, 2014 Опубликовано 6 декабря, 2014 Уже удалили. Сделайте новые логи Автологгером.
Riply Опубликовано 7 декабря, 2014 Автор Опубликовано 7 декабря, 2014 автологи CollectionLog-2014.12.07-13.58.zip
Roman_Five Опубликовано 7 декабря, 2014 Опубликовано 7 декабря, 2014 Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить >> Нарушение ассоциации REG файлов >> Таймаут завершения процессов находится за пределами допустимых значений >> Таймаут завершения служб находится за пределами допустимых значений >> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений >> Разрешен автозапуск со сменных носителей >> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду c:\ComboFix.exe /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Для устранения уязвимостей выполните в AVZ скрипт из файла ScanVuln.txt Откройте файл avz_log.txt из подпапки LOG (AVZ4\LOG\avz_log.txt) или из корня диска С (С:\avz_log.txt). Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. Важно: обратите внимание, при установке сервис-паков и обновлении ОС может потребоваться повторная активация Windows. Перезагрузите компьютер. Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены. на этом всё.
Riply Опубликовано 7 декабря, 2014 Автор Опубликовано 7 декабря, 2014 Большое спасибо! Система летает как новенькая. только ComboFix не удалил, не найден файл.
mike 1 Опубликовано 7 декабря, 2014 Опубликовано 7 декабря, 2014 Скачайте DelFix и сохраните утилиту на Рабочем столе Запустите DelFix Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup Нажмите на кнопку Run После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt Прикрепите этот отчет в вашей теме.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти