Касперский не удаляет все вирусы с ПК.

[Евгений Костин]

Ребят, помогите пожалуйста у меня проблемка. Дело в том, что когда я проснулся утром, до этого ночью сидели люди за ПК и включил компьютер, то после Приветствия т.е. "Добро Пожаловать" у меня минуты 2  был черный экран. После чего я наблюдаю На рабочем столе куча ненужный значков в том числе Амиго и т.д. ПК очень сильно тормозил, при том условии что такого никогда не было (ПК 1 год). Естественно 1м делом я зашел в касперский (Лицензия). И там уже было куча вирусов которые нужно было устранять и несколько раз перезагружал ПК т.к. это требовалось чтобы излечить. В итоге я удалил 20 с лишним вирусов. Да ПК перестал так сильно тормозить. Но дело в том, что черный экран остался. И когда захожу в какой либо браузер постоянно выплывает реклама на пол экрана. От которой не возможно избавиться на долгое время. К тому же касперкий все никак не может устранить 1 вирус, нажимаю кнопку "Устранить" Так ничего и не происходит... Хотя я удалил этот файл самостоятельно с диска. Запускал полную и быструю проверку раза 3 ничего не помогает. Помогите пожалуйста решить данную проблему.

CollectionLog-2016.07.06-20.17.zip

Изменено 6 июля, 2016 пользователем Евгений Костин

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Евгений Костин]

Извините, исправил.

[Sandor]

Здравствуйте!

 

1. Через Панель управления - Удаление программ - удалите нежелательное ПО (что сможете):

EasyHotspot version 1.0

Extended Update

FlvPlayer

HDSoft

HPDef

MediaGet

ModifyRegistry version 0.1

PennyBeeUpdate

Super Fast Download Manger Packages

TTWiFi 1.0.0.1

 

2. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\hpdef\homepagedefsrv.exe');
 TerminateProcessByName('c:\program files (x86)\xtex\gupdate\gupdate.exe');
 TerminateProcessByName('c:\programdata\cloudprinter\cloudprinter.exe');
 TerminateProcessByName('c:\program files (x86)\badu\uc.exe');
 StopService('KuaiZipDrive');
 StopService('HPDef Service');
 StopService('CloudPrinter');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','');
 QuarantineFile('C:\Windows\system32\drivers\KuaiZipDrive.sys','');
 QuarantineFile('C:\Program Files (x86)\Tiqichqehile\TiqichqehilecollectorSrv.html5','');
 QuarantineFile('C:\ProgramData\AppgnielbuoD\AppgnielbuoD.exe','');
 QuarantineFile('C:\Windows\System32\appdrvrem01.exe','');
 QuarantineFile('c:\program files (x86)\hpdef\homepagedefsrv.exe','');
 QuarantineFile('c:\program files (x86)\xtex\gupdate\gupdate.exe','');
 QuarantineFile('C:\ProgramData\AppgnielbuoD\Plus-Touch.dll','');
 QuarantineFile('C:\Program Files (x86)\sunnyday\otutnetwork.exe','');
 QuarantineFile('C:\Program Files (x86)\Hostify\idscservice.exe','');
 QuarantineFileF('c:\programdata\cloudprinter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\badu', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\админ\appdata\roaming\freevpn', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\programdata\cloudprinter\cloudprinter.exe', '');
 QuarantineFile('c:\program files (x86)\badu\uc.exe', '');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\THREADAPP.exe', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\FreeVPN\FreeVPN.exe', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Админ\Desktop\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk', '');
 DeleteFile('C:\Program Files (x86)\Hostify\idscservice.exe','32');
 DeleteFile('C:\Program Files (x86)\sunnyday\otutnetwork.exe','32');
 DeleteFile('C:\ProgramData\AppgnielbuoD\Plus-Touch.dll','32');
 DeleteFile('c:\program files (x86)\xtex\gupdate\gupdate.exe','32');
 DeleteFile('c:\program files (x86)\hpdef\homepagedefsrv.exe','32');
 DeleteFile('C:\Windows\System32\appdrvrem01.exe','32');
 DeleteFile('C:\ProgramData\AppgnielbuoD\AppgnielbuoD.exe','32');
 DeleteFile('C:\Program Files (x86)\Tiqichqehile\TiqichqehilecollectorSrv.html5','32');
 DeleteFile('C:\Windows\system32\drivers\KuaiZipDrive.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','32');
 DeleteFile('c:\programdata\cloudprinter\cloudprinter.exe', '32');
 DeleteFile('c:\program files (x86)\badu\uc.exe', '32');
 DeleteFile('C:\Windows\TEMP\clearcache.dll', '32');
 DeleteFile('C:\Users\Админ\AppData\Roaming\THREADAPP.exe', '32');
 DeleteFile('C:\Users\Админ\AppData\Roaming\FreeVPN\FreeVPN.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true);
 DeleteService('TS888x64');
 DeleteService('QMUdisk');
 DeleteService('MPCKpt');
 DeleteService('KuaiZipDrive');
 DeleteService('TiqichqehilecollectorSrv');
 DeleteService('AppgnielbuoD');
 DeleteService('appdrvrem01');
 DeleteService('HPDef Service');
 DeleteService('CloudPrinter');
 DeleteFileMask('c:\programdata\cloudprinter', '*', true);
 DeleteFileMask('c:\program files (x86)\badu', '*', true);
 DeleteFileMask('c:\users\админ\appdata\roaming\freevpn', '*', true);
 DeleteDirectory('c:\programdata\cloudprinter');
 DeleteDirectory('c:\program files (x86)\badu');
 DeleteDirectory('c:\users\админ\appdata\roaming\freevpn');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IDSCPRODUCT');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OTUTPRODUCT_13KJ7');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gupdate');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','EYAN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','apphide2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #1');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

3. Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

4.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Евгений Костин]

1-Файл "EasyHotspot version 1.0"- никак не могу удалить, при нажатии кнопку "удалить" ничего не происходит. Все остальные файлы были удалены.
2- [KLAN-4639683826]
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

KuaiZipDrive.sys,
TiqichqehilecollectorSrv.html5,
AppgnielbuoD.exe,
appdrvrem01.exe,
homepagedefsrv.exe,
gupdate.exe,
Plus-Touch.dll,
otutnetwork.exe,
idscservice.exe,
CloudPrinter.exe,
Bind.exe,
uc.exe,
unins000.exe,
clearcache.dll,
Intеrnеt Ехрlоrеr.lnk,
Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk,
Yаndех.lnk,
Gооglе Сhrоmе.lnk
FreeVPN.exe,
FreeVPN_0.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

Jackson.exe - not-a-virus:WebToolbar.Win32.Linkury.cb

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского
3- Файл прикрепил.
4- Повторил логи.

 

ClearLNK-06.07.2016_22-03.log

[Sandor]

4- Повторил логи.

Не вижу. Нужен повторный CollectionLog.

[Евгений Костин]

Всё сделал.

CollectionLog-2016.07.07-10.28.zip

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFileF('c:\users\админ\appdata\roaming\freevpn', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Админ\AppData\Roaming\FreeVPN\FreeVPN.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SystemRestore\FreeVPN" /F', 0, 15000, true);
 DeleteFile('C:\Users\Админ\AppData\Roaming\FreeVPN\FreeVPN.exe', '32');
 DeleteFileMask('c:\users\админ\appdata\roaming\freevpn', '*', true);
 DeleteDirectory('c:\users\админ\appdata\roaming\freevpn');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

2.

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Евгений Костин]

1- Так и не могут дать ответ, жду целый день.
2- Прикрепил.

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки и отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.