Перейти к содержанию
Правила раздела

Не могу удалить вирусы

Rarianth

Автор Rarianth
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Rarianth

Rarianth

Опубликовано
Опубликовано (изменено)

Месяц назад скачал программу и на компе появилось очень много программ и странных папок, ну и браузер добавилась всякая фигня. Я проверил 3 разными антивирусниками по 2-3 раза каждым они нашли пару файлов вредоносных и я подумал все норм тип, а сейчас как то они опять загрузились все те же файлы и программы одна из них маскит. Мне в вашей группе посоветовали скачать программу MalwareBytes и ей я нашел 263 вируса я их удалил и после еще раз нашел и он опять нашел вирусы штук 6 я их опять удалил и после очередной перезагрузки компьютера опять проверил и он нашел уже два вируса. И еще компьютер стал запускаться и открывать все те же программы которые были открыты, хотя я отключил быстрый запуск и гибернация не включена.

CollectionLog-2018.03.07-15.13.zip

post-49217-0-22619300-1520406899_thumb.jpg

Изменено пользователем Rarianth
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

2. Ярлыки

C:\Users\User\Desktop\Google Chrome.lnk

C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk

C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

3. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://r.orange.fr/r/Oodc_oi_odc?ref=O_OI_defaultPage_IEe64_w10e64_odc
O3-32 - HKLM\..\Toolbar: Duckgo - {96AF5545-BC30-4E5D-8E36-836D000A1455} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{28198a64-43aa-46a0-9669-933e9a0a5afe}: [NameServer] = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{a5fbb17c-7397-4005-844e-eb64e1625832}: [NameServer] = 35.177.46.238
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Job): (Not scheduled) UCBrowserUpdater.job - C:\Program Files (x86)\UCBrowser\Application\update_task.exe /update
O22 - Task (Job): (Not scheduled) UCBrowserUpdaterCore.job - C:\Program Files (x86)\UCBrowser\Application\update_task.exe /task=1
O22 - Task: (disabled) OHurYzwpfZsLsh - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\pBsTWTvYOXtU2\WtxbtxgkcxkGX.dll",#1
O22 - Task: (disabled) VTsFYYvpoVEusFPoU2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\eDQUsUcxIryKmPtCCUR\VuJeCpz.dll",#1
O22 - Task: (disabled) oWotDXBujaUxMpNAqmS2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\zKUGIuVeiGvyC\UilVrFf.dll",#1
O22 - Task: (disabled) wXkHuguozQzssiw2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\GveoMZenU\tbxkxG.dll",#1
O22 - Task: UCBrowserUpdater - C:\Program Files (x86)\UCBrowser\Application\update_task.exe /update (file missing)
O22 - Task: UCBrowserUpdaterCore - C:\Program Files (x86)\UCBrowser\Application\update_task.exe /task=1 (file missing)
4.
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • Согласен 1
Sandor

Sandor

Опубликовано
Опубликовано

Да, причем, таким образом:

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-332194504-2031309611-3720811571-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://r.orange.fr/r/Oodc_oi_odc?ref=O_OI_defaultPage_IEe64_w10e64_odc
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
HKU\S-1-5-21-332194504-2031309611-3720811571-1000\...\StartupApproved\Run: => "Zaxar"
HKU\S-1-5-21-332194504-2031309611-3720811571-1000\...\StartupApproved\Run: => "ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8"
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Rarianth

Rarianth

Опубликовано
  • Автор
Опубликовано

А надо было кудо то вставлять этот код Start::

CreateRestorePoint:
HKU\S-1-5-21-332194504-2031309611-3720811571-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://r.orange.fr/r/Oodc_oi_odc?ref=O_OI_defaultPage_IEe64_w10e64_odc
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
HKU\S-1-5-21-332194504-2031309611-3720811571-1000\...\StartupApproved\Run: => "Zaxar"
HKU\S-1-5-21-332194504-2031309611-3720811571-1000\...\StartupApproved\Run: => "ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8"
EmptyTemp:
Reboot:
End::

 

 

 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Нет, только скопировать. Вы все сделали правильно.

 

Что сейчас с проблемой?

Rarianth

Rarianth

Опубликовано
  • Автор
Опубликовано

Я так увидеть не могу, я эти вирусы видел только два раза, когда первый раз скачал программу и потом они сами загрузились через месяц опять и я удалил эти папки и программы как в прошлый раз и обратился к вам чтобы больше они не появлялись. Когда они загрузились второй раз я понял что вирус где то остался и я его не мог найти, если они опять загрузятся то я отпишусь и еще я проверил программой которой проверял MalwareBytes и она показал что не вирусов больше. Спасибо большое за помощь)

Sandor

Sandor

Опубликовано
Опубликовано

потом они сами загрузились через месяц опять

Чтобы не повторялось, выполните финальные рекомендации:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Контроль учётных записей пользователя включен (Уровень 2) - рекомендуемый уровень 3.

 

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

FileZilla Client 3.24.1 v.3.24.1 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.3.44358 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

 

 

Рекомендации после удаления вредоносного ПО

Sandor

Sandor

Опубликовано
Опубликовано

Да. С Malwarebytes' Anti-Malware будьте осторожны. Внимательно смотрите детект, могут быть ложные срабатывания.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 3545fire
      Какой-то вирус
      Автор 3545fire
      С недавних пор компьютер стал медленнее работать, в том числе и интернет. КВРТ выявил всякие вирусы, трояны, но при удалении выскакивало множество ошибок. Повторное сканирование результата не дало, но ощущения, будто что-то сломано
      CollectionLog-2025.11.11-12.58.zip
    • alesha_prado
      Подозрения на майнер или вирусы
      Автор alesha_prado
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
      CollectionLog-2025.11.10-11.40.zip
    • 3545firego
      [РЕШЕНО] Поймал майнер
      Автор 3545firego
      Словил майнер на компьютер. Использовал dr.web для обнаружения, но удалить майнер не получилось. Выдал ошибку cure error. Сейчас dr web перестал работать и не могу сканировать ничем. Нужна помощь
    • FL_Sasha
      Вирус по пути c:\programdata\google\chrome
      Автор FL_Sasha
      нашел сегодня вирус по пути C:\programdata\google\chrome, сам гугл не разу не устанавливал, антивирусы пытались удалить не один десяток раз, не увенчалось успехом, я пытался удалить вручную, папка вернулась на место, внутри пусто, антивирусы находя какие то файлы по типу updater.exe и другие, пытался открыть с помощью far manager, он тоже ничего не нашел, как только открываю диспетчер процессор с 40-70% падает на 5-20% (просмотрено по msi afterburner), подскажите что делать, заранее спасибо 
    • Ярослав1_1
      Кажется поймал вирус переименовавший мне некоторые службы из за чего не работает ццентр обновления виндовс
      Автор Ярослав1_1
      CollectionLog-2025.07.16-13.18.zipВот лог, надеюсь чир сможете помочь
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
      Похожая проблема 
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
×
×
  • Создать...