Женщина с работы попросила глянуть ее компьютер. Медленно работает, китайцев есть там. IE тоже китайский был.
Что мог руками удалил и почистил, но по виду этого недостаточно - там полно мусора и некоторый вижу впервые и не знаю, норм или нет программы. Что-то осталось.
Помогите разобраться. Если есть лишние запчасти ненужные, то их бы тоже удалить.
Ей племянник компьютер замусорил.
Буду очень благодарен за помощь!
* Лог №3 не доделался - вылезла ошибка (скрин приклеил)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) об.261, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1428256219&from=wpc&uid=HitachiXHDS721050CLA362_JP8521HE39A6XV39A6XVX R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1428256219&from=wpc&uid=HitachiXHDS721050CLA362_JP8521HE39A6XV39A6XVX&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1428256219&from=wpc&uid=HitachiXHDS721050CLA362_JP8521HE39A6XV39A6XVX&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=unchie O4 - HKLM\..\Run: [11-20150313-154741] C:\Users\user2\AppData\Local\Temp\11-20150313-154741.exe O4 - HKCU\..\Run: [gtmkayaoht] cmd /c start http://foretuned.com/ O4 - HKCU\..\RunOnce: [Application Restart #3] C:\Users\user2\AppData\Local\Pokki\Engine\pokki.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-client-side-phishing-detection --enable-file-cookies --disable-sync --disable-breakpad --disable-bundled-ppapi-flash --disable-sync-tabs --disable-speech-input --disable-custom-jumplist --process-per-tab --debug-devtools-frontend="C:\Users\user2\AppData\Local\Pokki\Engine\inspector" --no-first-run --lang=en-US --disable-component-update --disable-prompt-on-repost --no-startup-window --disable-translate --disable-logging --disable-desktop-notifications --disable-gpu-process-prelaunch --flag-switches-begin --flag-switches-end --restore-last-session
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\program files (x86)\movies app\datamngr\datamngrcoordinator.exe'); StopService('F06DEFF2-5B9C-490D-910F-35D3A9119622'); StopService('DatamngrCoordinator'); QuarantineFile('C:\Windows\system32\d3dadapter.dll',''); QuarantineFile('C:\Users\user\AppData\Roaming\istartsurf\UninstallManager.exe',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\FileSmash\QMSoftExt.dll',''); QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll',''); QuarantineFile('C:\Users\user2\AppData\Local\Temp\11-20150313-154741.exe',''); QuarantineFile('C:\Users\user2\AppData\Local\Pokki\Engine\Launcher.dll',''); QuarantineFile('C:\Users\user2\AppData\Local\Pokki\Engine\pokki.exe',''); QuarantineFile('C:\Users\user2\AppData\Local\Kometa\kometaup.exe',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TsDefenseBT64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys',''); QuarantineFile('C:\Windows\system32\drivers\ksapi64.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCRtp.exe',''); QuarantineFileF('C:\Windows\temp\PCGuangjia\PCGuangjia','*', true,'',0 ,0); QuarantineFile('C:\Program Files (x86)\Movies App\Datamngr\x64\setmgrc3.cfg',''); QuarantineFile('c:\program files (x86)\movies app\datamngr\datamngrcoordinator.exe',''); QuarantineFileF('C:\Windows\temp\PCGuangjia\15761','*', true,'',0 ,0); DeleteFile('C:\Program Files (x86)\Movies App\Datamngr\x64\setmgrc3.cfg','32'); DeleteFile('C:\Program Files (x86)\Movies App\Datamngr\DatamngrCoordinator.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCRtp.exe','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32'); DeleteFile('C:\Windows\system32\drivers\ksapi64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TsDefenseBT64.sys','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\baiduAnTray.exe','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\baidusdTray.exe','32'); DeleteFile('C:\Users\user2\AppData\Local\Kometa\kometaup.exe','32'); DeleteFile('C:\Users\user2\AppData\Local\MediaGet2\mediaget.exe','32'); DeleteFile('C:\Users\user2\AppData\Local\Temp\11-20150313-154741.exe','32'); DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\FileSmash\QMSoftExt.dll','32'); DeleteFile('C:\Users\user\AppData\Roaming\istartsurf\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{5B07C2DF-EB5D-4185-A521-68F507614F9C}','64'); DeleteFile('C:\Windows\system32\Tasks\{EEFC7EF1-795E-4ECB-B531-FC7500B2797D}','64'); DeleteFile('C:\Windows\system32\d3dadapter.dll','32'); DelBHO('{05bf0e05-a298-4d0a-b6eb-f55b30a2e662}'); DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baiduAnTray','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidusdTray','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','11-20150313-154741'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gtmkayaoht'); DeleteService('TsDefenseBt'); DeleteService('TS888x64'); DeleteService('QMUdisk'); DeleteService('ksapi64'); DeleteService('bd0004'); DeleteService('F06DEFF2-5B9C-490D-910F-35D3A9119622'); DeleteService('QQPCRTP'); DeleteService('DatamngrCoordinator'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Я так полагаю, что по какой-то причине AVZ все-таки не работает. Опять проблема при выполнении скрипта №3, как на скрине в первом посте. В чем проблема непонятно.
Файл сохранён как 150408_183506_virus_55253c9ab7651.zip
Размер файла 1703500
MD5 a93f68afb569addad7057a6c83c9e28f
Лог UVS не влез, может он что прояснит. Там ссылка, где его скачать.
Мейлру тоже не нужен - его бы тоже удалить.
Вот еще 1 карантин, но вроде тот же - это за вчерашний день карантин. Видимо, что попало при проверке вчера. А выше - это сегодняшний карантин по скрипту вашему.
Файл сохранён как 150408_190737_virus_5525443a0133d.zip
Размер файла 161609
MD5 5bba50ee6789f16b3323701ea5f46ec1
В целом женщина вас благодарит, говорит, что диск С разгрузился - компьютер быстрее стал работать.
Странно, что AVZ показывает в логе...
Какие еще будут рекомендации? Может еще чем проверить? Вопрос чем...
Последний раз редактировалось об.261; 08.04.2015 в 19:17.
Выполните скрипт в uVS Как выполнить скрипт в uVS
Сделайте новый полный образ автозапуска uVS.Код:;uVS v3.85.16 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\COUPSEEK\COUPSEEK.EXE delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\TEMP\01EFB\TEMP\DOWNLOADER_FOR_DOUBLE DRAGON III JAP.EXE zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\B8C8\TEMP\DOWNLOAD INTERSTELLAR (2014) BDRIP_ IMAX EDITION_DUAL AUDIO 5.1[ENG-RUS] TORRENT - KICKASSTORRENTS.EXE delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\B8C8\TEMP\DOWNLOAD INTERSTELLAR (2014) BDRIP_ IMAX EDITION_DUAL AUDIO 5.1[ENG-RUS] TORRENT - KICKASSTORRENTS.EXE delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\M6 PROCESSING\M6.EXE delref %SystemDrive%\USERS\USER2\DESKTOP\THE TRUTH ABOUT SUCCESS - WHY YOU SHOULD RATHER DIE THAN MISS A DAY IN THE GYM.MP3.EXE delref %SystemDrive%\PROGRAM FILES (X86)\TVERSITY CODEC PACK\TVERSITY CODEC PACK.URL delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\M6 PROCESSING\VM6.EXE delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\WEBPLAYER\APPSHAT\WEBPLAYER.EXE delref %SystemDrive%\USERS\ILIYA איליה\APPDATA\LOCAL\WEBPLAYER\APPSHAT\WEBPLAYER.EXE delref HTTP://127.0.0.1:54321/PROXY.PAC delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1428256219&FROM=WPC&UID=HITACHIXHDS721050CLA362_JP8521HE39A6XV39A6XVX delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1428256219&FROM=WPC&UID=HITACHIXHDS721050CLA362_JP8521HE39A6XV39A6XVX&Q={SEARCHTERMS} delref %SystemDrive%\PROGRAM FILES (X86)\OPTIMIZER PRO\OPTPROLAUNCHER.EXE delref %SystemDrive%\PROGRA~2\RAPTR\RAPTRSTUB.EXE delref %SystemDrive%\PROGRAM FILES (X86)\PC SPEED MAXIMIZER\SPMLAUNCHER.EXE zoo %SystemDrive%\USERS\USER2\DOWNLOADS\МЕЧЕТЬ ПАРИЖСКОЙ БОГОМАТЕРИ (АУДИОКНИГА)-7357251-3.EXE delall %SystemDrive%\USERS\USER2\DOWNLOADS\МЕЧЕТЬ ПАРИЖСКОЙ БОГОМАТЕРИ (АУДИОКНИГА)-7357251-3.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ABC\ABC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ASHAMPOO\ASHAMPOO BURNING STUDIO 10\ASHDRIVERSETUPBUILDER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\VUZE\AZUREUS.EXE delref D:\PROGRAMS\DIAMOND SPIDER.EXE delref %SystemDrive%\USERS\USER\DESKTOP\DOOM\DOOM (SHAREWARE) INSTALLER FOR WINDOWS X64.EXE deltmp restart czoo
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Добрался до компьютера того. Скрипт НЕ выполняется, появляется сообщение об ошибке и что выполнение таких скриптов запрещено...
Полагаю, что тот windows там убитый вконец. Раз скрипты не отрабатываются. Поставят всякие оптимизаторы, что система нормально работать даже не может
Сказал ей переустановить windows + из чистой windows сделать копию-образ на будующее для быстрого отката.
Спасибо за помощь.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) об.261, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
