Проблема с компьютером.

**Николай Николаич** · 08.09.2015, 13:30

Помогите пожалуйста!!! Видимо, что-то хватнул. При подключении интернета комп сам установил несколько программ, то ли китай, толи кракозябры какие и создал папку с кракозябрами на раб столе. Все почистил поудалял, папка на раб столе осталась, с ней делать ничего не дает, все вроде норм, но при подключении к нету снова подхватил те же проги и на раб столе появилась еще одна аналогичная по наименованию папка. Через документ енд сеттинг ее не видно, системные и скрытые включены. Поставил веба, он сейчас при включении какие-то два процесса ловит как подозрительные.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.09.2015, 13:32

Уважаемый(ая) Николай Николаич, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 08.09.2015, 14:02

Здравствуйте !!!

отключите антивирусную программу

Выполните скрипт в AVZ:

Код:

begin
 ExecuteAVUpdate;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\WINDOWS\MyApp.exe','');
  QuarantineFile('C:\Program Files\bmskb\bmskbPro.exe','');
  QuarantineFile('C:\Program Files\bmskb\bmskb.exe','');
  QuarantineFile('C:\Program Files\bfcmpa\bfcmpasrv.exe','');
  QuarantineFile('C:\Program Files\bfcloud\bfcloader.exe','');
  QuarantineFile('C:\Program Files\Y73ЦЦЧУЛСЛчЙсЖч\Y73Server.exe','');
  QuarantineFile('C:\Documents and Settings\User\AppData\Local\Baidu\BaiduClient\1.8.0.821\Baidu.exe','');
  QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QMUdisk.sys','');
  QuarantineFile('C:\Documents and Settings\All Users\Application Data\DatacardService\HWDeviceService.exe','');
  QuarantineFile('C:\Program Files\anote\anote.exe','');
  DeleteFile('C:\Program Files\anote\anote.exe','32');
  DeleteFile('C:\Documents and Settings\All Users\Application Data\DatacardService\HWDeviceService.exe','32');
  DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QMUdisk.sys','32');
  DeleteFile('C:\Documents and Settings\All Users\Application Data\sockd20158114\TablacusExplorer.exe','32');
  DeleteFile('C:\Documents and Settings\All Users\Application Data\zhibo20158144\MPlayer.exe','32');
  DeleteFile('C:\Documents and Settings\User\AppData\Local\Baidu\BaiduClient\1.8.0.821\Baidu.exe','32');
  DeleteFile('C:\Documents and Settings\User\Application Data\Ysac\mego.exe','32');
  DeleteFile('C:\Program Files\JiSuZhuShou\JSZS.exe','32');
  DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QQPCTray.exe','32');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sdkik','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HealthyHome','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Heexan','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\JiSuZhuShou','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MTview','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ QQPCTray','command');
  DeleteService('QMUdisk');
  DeleteService('HWDeviceService.exe');
  DeleteService('noteupdateservice');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

**Николай Николаич** · 08.09.2015, 15:03

При запуске скриптов несколько раз выходила ошибка "Exception Processing Massage c0000013 Parameters ...". Скрипты до конца выполнились.

**mrak74** · 08.09.2015, 15:45

Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

Сообщение от Николай Николаич

"Exception Processing Massage c0000013 Parameters ...".

Вероятно проблема с кардридером.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

**Николай Николаич** · 09.09.2015, 10:58

Профиксил. Просканировал. Перезагрузил. Не нашел такого отчета и еще раз просканировал. Выкладываю три файла, кроме карантина (он тоже сформировался). При загрузке ПК стало выходить окно с ошибкой загрузки спайдергейт и просит переустановить (раньше не было).

**mrak74** · 09.09.2015, 11:33

Смотрю уже все удалили в AdwCleaner-е.

Сообщение от Николай Николаич

При загрузке ПК стало выходить окно с ошибкой загрузки спайдергейт и просит переустановить (раньше не было).

Переустановите.

Что с основной проблемой ?

**Николай Николаич** · 09.09.2015, 11:42

Переустановлю конечно, не проблема. Просто для информации написал, вдруг важно. Папки с кракозябрами на рабочем столе остались, drweb постоянно при включении ловит два процесса подозрительных. Интернет пока не включал, вдруг раньше времени подхватит снова.

**mrak74** · 09.09.2015, 13:32

Сделайте логи RSIT

На какие процессы ругается drweb ?

**Николай Николаич** · 09.09.2015, 14:34

Готово

**mrak74** · 09.09.2015, 15:26

отключите антивирусную программу

Сделайте полный образ автозапуска uVS

**Николай Николаич** · 09.09.2015, 16:10

Антивирус переустановил и обновил базы до сегодняшней даты. Образ сделал, выкладываю.

Дополнено: но блин, возможно антивир после перезагрузки до создания образа включился. Образ переделать?

**mrak74** · 09.09.2015, 16:27

Сообщение от Николай Николаич

Образ переделать?

Нет.

- - - - -Добавлено - - - - -

Выполните скрипт в uVS Как выполнить скрипт в uVS

Код:

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\QQ浏览器.LNK
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\QQ浏览器.LNK
delref HTTP://HAO.360.CN/?SRC=LM&LS=N162F37FB94
delref HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q=
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\±ГГСБРІµК±ЇМ±Н.LNK
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ГАНЈДЇАА\ГАНЈДЇАА.LNK
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ГАНЈДЇАА.LNK
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ГАНЈДЇАА\Р¶ФШ.LNK
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ФЖ¶ЛЧАГЖ.LNK
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\百度.LNK
delref HTTP:\\WWW.DUBA.COM\?F=QUICKSTARTIE
delref HTTP:\\WWW.2345.COM\?31306
deltmp
delnfr
regt 28
restart
czoo

Сделайте новый полный образ автозапуска uVS.

**Николай Николаич** · 09.09.2015, 16:53

Ярлыки с кракозябрами остались (скрин приложил), drweb так же ловит два подозрительных файла. Образ без веба сделал.

**mrak74** · 10.09.2015, 10:01

Жду ответа в ЛС.

- - - - -Добавлено - - - - -

После создания образа.

Выполните скрипт в uVS Как выполнить скрипт в uVS

Код:

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
fixmbr MBR#1 [14,9GB]
zoo %Sys32%\TCPIPCON.DAT
delall %Sys32%\TCPIPCON.DAT
zoo %Sys32%\USB\UDISKI.SYS
czoo
restart

Сделайте новый полный образ автозапуска uVS.

**Николай Николаич** · 14.09.2015, 09:26

Здравствуйте. Скрипт выполнил, образ сделал. Изменений нет.

**mrak74** · 14.09.2015, 10:29

Как выполнить скрипт в uVS

6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)

Папку ZOO пришлите по ссылке.

- - - - -Добавлено - - - - -

+ Сделайте образ автозапуска uVS с Live CD