regist 617 Опубликовано 16 августа, 2017 Share Опубликовано 16 августа, 2017 Выполните скрипт в uVS ;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG zoo %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\QMUDISK.SYS delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\QMUDISK.SYS zoo %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\SOFTAAL.SYS delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\SOFTAAL.SYS zoo %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\PLUGINS\SREPAIRDRV delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\PLUGINS\SREPAIRDRV zoo %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\TSNETHLP.SYS delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.5.17490.219\TSNETHLP.SYS deldir %SystemDrive%\PROGRAM FILES\TENCENT\ delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B74E2B6F3-9CAA-4F07-8B26-43F8AD5C979C%7D&GP=811022 delref HTTP://GO.MAIL.RU/SEARCH?Q={SEARCHTERMS}&IEVERFIX=1&FR=IEVERFIX_DSE delref HTTP://MAIL.RU/CNT/10445?GP=811021 delref HTTP://UTROM.ORG/?SUBACC=3 delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.15_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JAOCGOKLEDFMFEBEFGBEOKDODBBDJHDD\1.262_0\«ÐизÑалÑнÑе Ðакладки» Ð¾Ñ MAIL.RU delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGKNPFANCPEAMEJMCOOEDLJJNADDLDHG\2.0.2_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CLPDGMDKDNIJJBGMNAJOLNBNJEJOEOGM\1.250_0\«ВИЗУАЛЬНЫЕ ЗАКЛАДКИ» ОТ MAIL.RU delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA\2.0.0.11_2\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.1.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\3.1_0\电脑管家上网防护 delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLL delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\WEBREP\FF delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCLPDGMDKDNIJJBGMNAJOLNBNJEJOEOGM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA1352\CH\MEDIAVIEWV1ALPHA1352.CRX delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA1352\CH\MEDIAVIEWV1ALPHA1352.CRX zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA1352\FF delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA1352\FF delref H:\AUTORUN.EXE delref L:\AUTORUN.EXE delref F:\AUTORUN.EXE apply czoo restart После этого проверьте есть ли улучшения и если получится соберите лог из обычного режима. Цитата Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 16 августа, 2017 Автор Share Опубликовано 16 августа, 2017 как мне тут карантин передать? сверху нет кнопки такой Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 августа, 2017 Share Опубликовано 16 августа, 2017 В данном случае карантин не нужен. Файлы в карантине от китайского антивируса, на который никто детекты добавлять не будет. А как следствие нет смысла их рассылать на анализ, так как ничего нового там нет. Цитата Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 16 августа, 2017 Автор Share Опубликовано 16 августа, 2017 с подключенным кабелем Ethernet не делался лог, сделал без кабеля CollectionLog-2017.08.16-13.11.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 августа, 2017 Share Опубликовано 16 августа, 2017 Вижу самочуствие уже намного лучше . O7 - TroubleShoot: HKLM\..\%TEMP% - C:\TEMP (environment value is altered) O7 - TroubleShoot: HKLM\..\%TMP% - C:\TEMP (environment value is altered) путь используемый для Temp сами поменяли? Download Master - как понимаю уже удалён? 1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 2) Удалите остатки avast, по инструкции в статье https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/ 3) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (file missing) O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (file missing) O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file) O8 - Extra context menu item: Закачать при помощи Download Master - (no file) O9 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) 4) Менеджер браузеров [20170321]-->MsiExec.exe /X{36E317A1-1384-4FC5-92CD-D4731B651859} советую удалить. 5) Сделайте свежий лог AdwCleaner-а и свежий лог uVS (уже из под живой системы). Пока ещё осталисть остатки от Tencent, надо добить его. Цитата Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 16 августа, 2017 Автор Share Опубликовано 16 августа, 2017 путь используемый для Temp сами поменяли? комп не мой, возможно и меняли https://virusinfo.info/virusdetector/report.php?md5=88C2C368CDA65D35229697D0D49BE9D1 avast удалил пофиксил Менеджер браузеров [20170321]-->MsiExec.exe /X{36E317A1-1384-4FC5-92CD-D4731B651859} удалить не могу, тк его нет в списке программ лог uVS так же не сохраняет. Пк до сих пор на перезагрузку не идет, нужно только выключать. AdwCleanerC0.txt AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 августа, 2017 Share Опубликовано 16 августа, 2017 так же не сохраняет. ок, тогда попробуем Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 16 августа, 2017 Автор Share Опубликовано 16 августа, 2017 готово. что же все же делать с обжорством оперативки и невозможностью перезагрузить компьютер? еще свойства системы не открываются. Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 августа, 2017 Share Опубликовано 16 августа, 2017 Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKU\S-1-5-21-1713242843-1804538326-512431306-1000\...\MountPoints2: {23ae37bb-6f67-11e7-90fe-001e907d421c} - H:\.\Driver\DriverInstaller.exe -eject HKU\S-1-5-21-1713242843-1804538326-512431306-1000\...\MountPoints2: {c24aab2f-b53b-11e6-bc0e-001e907d421c} - H:\timeUpdater.exe SearchScopes: HKLM -> 0633EE93-D776-472f-A0FF-E1416B8B2E3A URL = SearchScopes: HKU\S-1-5-21-1713242843-1804538326-512431306-1000 -> Software URL = ShortcutWithArgument: C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2b02036fb889104e\«Визуальные Закладки» от Mail.Ru.lnk -> C:\Users\USER\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mail.ru FirewallRules: [{A200BE84-3394-418F-8B02-211F22A7D2AA}] => (Allow) C:\TEMP\is-D3NOJ.tmp\thorn_setup.tmp FirewallRules: [{3DAF74A4-B381-4AFD-9597-A9EA896F35CC}] => (Allow) C:\TEMP\is-D3NOJ.tmp\thorn_setup.tmp FirewallRules: [{F372A8C3-990A-413D-920F-B2B3ABD152DE}] => (Allow) C:\TEMP\is-KARLN.tmp\thorn_setup.tmp FirewallRules: [{4DC423C2-F2F5-4C9E-BAED-29A78551315F}] => (Allow) C:\TEMP\is-KARLN.tmp\thorn_setup.tmp FirewallRules: [{740391FB-56FA-4806-8A8E-B2220A1CFC4B}] => (Allow) C:\Users\USER\AppData\Roaming\QB\QQBrowser.exe FirewallRules: [{2DE20198-CFC5-49AB-82DF-65D7D3589A6F}] => (Allow) C:\Users\USER\AppData\Roaming\QB\QQBrowser.exe FirewallRules: [{D6C08DE5-3640-4D55-B768-701634461FF6}] => (Allow) C:\Users\USER\AppData\Roaming\QB\BugReport.exe FirewallRules: [{B7C5E5FC-9DEC-42FE-8025-DFBD72AD8E52}] => (Allow) C:\Users\USER\AppData\Roaming\QB\BugReport.exe FirewallRules: [{36A6B41E-B14B-4B18-89EE-E4D15DAD517A}] => (Allow) C:\Users\USER\AppData\Roaming\QB\9.3.7387.400\qqbrowser.exe FirewallRules: [{0FF2393B-9D03-4C4C-BCB3-9F737C758BFD}] => (Allow) C:\Users\USER\AppData\Roaming\QB\9.3.7387.400\qqbrowser.exe FirewallRules: [{F2CB6A5B-5521-4F4D-8CC6-82CA433BAC80}] => (Allow) C:\program files\common files\tencent\qqdownload\131\tencentdl.exe EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.+ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); SetServiceStart('TSSK', 4); StopService('TSSK'); StopService('TsQBDrv'); DeleteFile('C:\Windows\system32\drivers\TsQBDrv.sys', '32'); DeleteFile('C:\Windows\system32\tssk.sys', '32'); DeleteService('TsQBDrv'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 16 августа, 2017 Автор Share Опубликовано 16 августа, 2017 готово FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 августа, 2017 Share Опубликовано 16 августа, 2017 я другое просил. Цитата Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 16 августа, 2017 Автор Share Опубликовано 16 августа, 2017 пардон CollectionLog-2017.08.16-21.07.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 августа, 2017 Share Опубликовано 16 августа, 2017 Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. а это где?+ Обязательно смените браузер по умолчанию. Мозиллу советую удалить с зачисткой профиля и поставить заново. Цитата Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 17 августа, 2017 Автор Share Опубликовано 17 августа, 2017 вот Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 17 августа, 2017 Share Опубликовано 17 августа, 2017 Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора". Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run) [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду: findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению. + проверьте можете создать точку восстановления системы? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.