Китайский "антивирус" Rising + майл программы

[nicgun]

Была запущена программа из стороннего архива. Касперский промолчал, но тут же самоустановились куча программ из группы mail.ru  и какие-то адские китайские программы. Завесили систему намертво. Китайские программы деинсталлировал, но в процессах остались висеть + в "программах" все так же сидят. Ну и маил.ру не удаляется...

CollectionLog-2015.09.19-19.54.zip

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[nicgun]

Сделал.

AdwCleanerS3.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[nicgun]

Вроде сделал.. правда во время сканирования Rising вытащил какое-то окно с восстановленными файлами. Не пойму - папка Rising Antivirus еще пока здравствует.

AdwCleanerC2.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[nicgun]

Сделал

Дико тормозит компьютер каждые 10-20 сек на минуту зависает...

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [RSDTRAY] => C:\Program Files (x86)\Rising\RSD\popwndexe.exe [126808 2012-09-25] (Beijing Rising Information Technology Co., Ltd.)

HKLM-x32\...\Run: [RavTRAY] => C:\Program Files (x86)\Rising\RAV\RSTRAY.EXE [111000 2014-05-15] (Beijing Rising Information Technology Co., Ltd.)

BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Marena\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll No File

FF Extension: Поиск@Mail.Ru - C:\Users\Marena\AppData\Roaming\Mozilla\Firefox\Profiles\wwtmtirg.default\Extensions\search@mail.ru [2015-09-19]

CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Marena\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-01-22]

2015-09-19 21:02 - 2015-09-19 21:02 - 00003318 _____ C:\Windows\System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}

2015-09-19 20:30 - 2015-09-19 20:24 - 00041784 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\hvm.sys

2015-09-19 17:24 - 2015-09-19 17:24 - 00000150 __RSH C:\rising.ini

2015-09-19 17:23 - 2015-09-19 20:19 - 00119168 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\sysmon.sys

2015-09-19 17:23 - 2015-09-19 17:23 - 00000134 _____ C:\Windows\SysWOW64\BsMain.ini

2015-09-19 17:23 - 2015-09-19 17:23 - 00000000 ___RD C:\RavBin

2015-09-19 17:23 - 2015-04-09 08:00 - 00071760 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsutils.sys

2015-09-19 17:23 - 2014-07-30 05:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll

2015-09-19 17:23 - 2014-01-02 10:37 - 00325400 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\ravext64.dll

2015-09-19 17:23 - 2013-12-30 10:33 - 00256280 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\ravext.dll

2015-09-19 17:23 - 2012-09-06 03:30 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\bsmain.exe

2015-09-19 17:23 - 2012-02-29 10:49 - 00011888 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsndisp.sys

2015-09-19 17:22 - 2015-09-19 20:53 - 00000000 ____D C:\Users\Все пользователи\Rising

2015-09-19 17:22 - 2015-09-19 20:53 - 00000000 ____D C:\ProgramData\Rising

2015-09-19 17:22 - 2015-09-19 17:22 - 00000000 ____D C:\Program Files (x86)\Rising

2015-09-19 17:16 - 2015-09-19 17:16 - 00000000 ____D C:\Users\Marena\AppData\Roaming\MailProducts

AV: Rising Antivirus (Enabled - Up to date) {ADB615F7-AE69-7E78-D0C7-B1F92C60FF03}

AS: Rising Antivirus (Enabled - Up to date) {16D7F413-8853-71F6-EA77-8A8B57E7B5BE}

Task: {C5229BC5-9CE9-4416-A271-B8F3922398FC} - System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => C:\PROGRAM FILES (X86)\RISING\RAV\rsdelaylauncher.exe [2014-05-15] (Beijing Rising Information Technology Co., Ltd.)

FirewallRules: [{63246406-1BA6-41DD-B94C-E641067FFC5A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe

FirewallRules: [{9F222440-9958-498D-9915-E6025E1B0E4A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe

FirewallRules: [{C4AD1C09-AA2D-40AC-B334-278DB43CDC82}] => (Allow) C:\Program Files (x86)\Rising\RAV\ravmond.exe

FirewallRules: [{0D3B0793-4850-47F7-AA11-10BE74187849}] => (Allow) C:\Program Files (x86)\Rising\RAV\ravmond.exe

EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

 

 

[nicgun]

Все сделал

Fixlog.txt

[mike 1]

Что с проблемой?

[nicgun]

Проблема вроде бы исчезла. Правда папка Rising показывалась в "Программах", но в Program Files ee не было. Удалил.

Спасибо большое!

[mike 1]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[nicgun]

Все сделал.

SecurityCheck.txt

[mike 1]

Обновите:

 

Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.5.41073 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления

^Скачайте javafx-2_2_21-windows-i586.exe^

Java 7 Update 9 v.7.0.90 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8

^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-i586.exe^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.3.2.0.2070 Внимание! Скачать обновления

Adobe Flash Player 18 ActiveX v.18.0.0.232

Adobe Flash Player 18 NPAPI v.18.0.0.232

------------------------------- [ Browser ] -------------------------------

Yandex v.15.7.2357.2877 Внимание! Скачать обновления

Google Chrome v.35.0.1916.114 Внимание! Скачать обновления

Mozilla Firefox 38.0.5 (x86 ru) v.38.0.5 Внимание! Скачать обновления

 

Kaspersky Internet Security v.15.0.2.361 - обновите до 16.0.0.614