Здравствуйте, по смотрите пж логи на пк китайский вирус. c:\Program Files\Tencent\QQPCMgr\11.1.16923.222\Uninst.exe удалял после перезагрузки он снова есть
Здравствуйте, по смотрите пж логи на пк китайский вирус. c:\Program Files\Tencent\QQPCMgr\11.1.16923.222\Uninst.exe удалял после перезагрузки он снова есть
Уважаемый(ая) RubichekS, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\admin\local settings\temp\pps-qq-19.exe'); TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.1.16923.222\qmgamespeedup.exe'); TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.1.16923.222\taoframe.exe'); StopService('QMIEProtect'); StopService('QMUdisk'); StopService('TAOAccelerator'); StopService('TAOKernelDriver'); StopService('TFsFlt'); StopService('TsFltMgr'); QuarantineFile('c:\documents and settings\admin\local settings\temp\pps-qq-19.exe', ''); QuarantineFile('c:\program files\tencent\qqpcmgr\11.1.16923.222\qmgamespeedup.exe', ''); QuarantineFile('c:\program files\tencent\qqpcmgr\11.1.16923.222\taoframe.exe', ''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMIEProtect.sys', ''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMUdisk.sys', ''); QuarantineFile('C:\WINDOWS\system32\Drivers\TAOAccelerator.sys', ''); QuarantineFile('C:\WINDOWS\system32\Drivers\TAOKernelXP.sys', ''); QuarantineFile('C:\WINDOWS\system32\Drivers\TFsFlt.sys', ''); QuarantineFile('C:\WINDOWS\system32\drivers\TsFltMgr.sys', ''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\MyDesktop\linkme0604.exe', ''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\1346923465.exe', ''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe', ''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\OpenMin\wincheck.vbs', ''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\FreeVPN\FreeVPN.exe', ''); DeleteFile('c:\documents and settings\admin\local settings\temp\pps-qq-19.exe', '32'); DeleteFile('c:\program files\tencent\qqpcmgr\11.1.16923.222\qmgamespeedup.exe', '32'); DeleteFile('c:\program files\tencent\qqpcmgr\11.1.16923.222\taoframe.exe', '32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Tencent\TSVulFw\TSVulFW.DAT', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMIEsafeDll.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMBrowserSafe.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMContextUninstall.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\plugins\FileSmash\QMSoftExt.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\GameSpeedupAppPlugins\QMGameAcceleratePlugin\QMGameAcceleratePlugin.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\GameSpeedupAppPlugins\QMGameUpgradePlugin\QMGameUpgradePlugin.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\GameSpeedupAppPlugins\QMHardwareDetectPlugin\QMHardwareDetectPlugin.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\GameSpeedupAppPlugins\QMGamePackagePlugin\QMGamePackagePlugin.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\ProcessManager.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\oDayProtect.dll', '32'); DeleteFile('c:\program files\tencent\qqpcmgr\11.1.16923.222\qmsysrepprov.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\plugins\QMCloudInter\QMCloudInter.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMRtpCheck.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QQPCFIXATDLL.DLL', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMInfoEng.DLL', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\tpk\2.0.11144.2072\tpkcom.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\tpk\2.0.11144.2072\tpktt.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\tpk\2.0.11144.2072\tpkreport.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMMain.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMPluginMgr.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\Plugins\HPScanUIPlugin\HPScanUIPlugin.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\SoftMgr\PCSoftMgrToolsDll.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\MobileSoftMgr.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\qmtrayplugin\QMTrojanPlugin\QMTrojanPlugin.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\qmtrayplugin\QMWebFWCtrl\QMWebFWCtrl.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\qmtrayplugin\QMTPIEStartPage\QMTPIEStartPage.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMIEProtectIo.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\NetflowMgr.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\qmtrayplugin\QMUDiskMgr\QMUDiskMgr.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMTrayPlugin\QMAutoTaskPlugin\SubPlugins\GameSpeedupGiftBagMgr.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\AndroidServer\1.0.0.512\Sdkclient.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\AndroidServer\1.0.0.512\QQPMIpc.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\AndroidServer\1.0.0.512\AndroidDevice.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\AndroidServer\1.0.0.512\NetworkMgr.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\AndroidServer\1.0.0.512\DownloadMgr.dll', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMIEProtect.sys', '32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\QMUdisk.sys', '32'); DeleteFile('C:\WINDOWS\system32\Drivers\TAOAccelerator.sys', '32'); DeleteFile('C:\WINDOWS\system32\Drivers\TAOKernelXP.sys', '32'); DeleteFile('C:\WINDOWS\system32\Drivers\TFsFlt.sys', '32'); DeleteFile('C:\WINDOWS\system32\drivers\TsFltMgr.sys', '32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\MyDesktop\linkme0604.exe', '32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\1346923465.exe', '32'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe', '32'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\OpenMin\wincheck.vbs', '32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\FreeVPN\FreeVPN.exe', '32'); DeleteService('QMIEProtect'); DeleteService('QMUdisk'); DeleteService('TAOAccelerator'); DeleteService('TAOKernelDriver'); DeleteService('TFsFlt'); DeleteService('TsFltMgr'); DeleteFileMask('c:\program files\tencent', '*', true); DeleteFileMask('c:\documents and settings\all users\application data\tencent', '*', true); DeleteFileMask('c:\documents and settings\admin\application data\mydesktop', '*', true); DeleteFileMask('c:\documents and settings\admin\local settings\application data\mail.ru', '*', true); DeleteFileMask('c:\documents and settings\admin\application data\freevpn', '*', true); DeleteDirectory('c:\program files\tencent'); DeleteDirectory('c:\documents and settings\all users\application data\tencent'); DeleteDirectory('c:\documents and settings\admin\application data\mydesktop'); DeleteDirectory('c:\documents and settings\admin\local settings\application data\mail.ru'); DeleteDirectory('c:\documents and settings\admin\application data\freevpn'); ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true); DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}'); DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}'); DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'pps-qq-19'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MyDesktop'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1DFAGX', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OpenMin', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{754DF2CE-51E8-4895-B53C-6381418B84AE}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Panel'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('QMIEProtect'); BC_DeleteSvc('QMUdisk'); BC_DeleteSvc('TAOAccelerator'); BC_DeleteSvc('TAOKernelDriver'); BC_DeleteSvc('TFsFlt'); BC_DeleteSvc('TsFltMgr'); BC_DeleteSvc('TSSK'); ExecuteRepair(3); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
в безопасном можно выполнить скрипт вирус блочит запуск скрипта?
Давайте в безопасном.
WBR,
Vadim
карантин отправил
Дальше.
WBR,
Vadim
Отчет AdwCleaner
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
WBR,
Vadim
После окончания удаления после перезагрузки и входа в систему открылся отчёт AdwCleaner - файл AdwCleaner[C2].txt Прикрепляю AdwCleaner[C1].txt и AdwCleaner[C2].txt
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
отчеты FRST.txt, Addition.txt
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: Winlogon\Notify\WgaLogon: HKLM\...\Policies\Explorer: [3212083974] 0x504B03047ECDE67B068374BFB5110000004000003B52047F42E5F13FFC79C52065C1BE89B50CD7B4769F60289BFBD984D14110F2D01270B16FC2706B1EDA5D73993A9F916003041E5B35D296126857F9E7251C73D3EFC09701D8D7ADC4610818404E80E342F284FC326FAFF9639EBA1E04B3742F5A9CFF01382A0C43DD64F0C5C72F17491D19AA604C54BAFD81DAB7660098606BC53B2CCFAFCC763E85AF893E2EC927770A5A8FBD749F1FADC9CAC3E32ED081F17F670C361341DCA6E6AAB22F35F8A01BF20D6F281379604DDF2B2D3AAB0475420EA35140CBD4850B5B37D2E0E582569D37AC0AEBFD63622E501F2BF5152FCF27CAACEFC4626FB241DBDA40EF0B12DD6F0AD67E93DFDC1861004081B9D72C75BB44BE9D1E27106103C35A24C81ABFA9A1F77CED3C0382BB7B0CD5005CFD4D9C12BAA0359AFBEE313FE071AFE8703BD92ABE22A0D51F3044C7410D9D6C7AA0337D9B7BBD1F3442DABD7B34DCF6888C18894965A7AC6702C9711F3905F590405B7002133BE6023C1376BB44873357A9555695625CD61A62343DC8928E685FEAE8E040D066B19FAE8E6B1F52EC94EB23382A36F982A5FE7B913C1707AA98145196E1168940B87181ECC84A3D074875B1AA306314B7D0FD77AC5602E656A4FE5F7D1276767A2614E2DE7E291B7729A58732F442E9C09842E7D8E44EB4B81D4A33BB5A0EE4A734289B6D99E87C21BF0248F522B38F8E69C3229F88BE9B8747500A03FE71AF6356476805E77DA5ACF4597917CD0632C1E257EA8EB53847066E8108E99D0FB556B2BF72BB5BED5792373C6486720619E15B5D9810F5783760949E5343C6DD4877637867BEFD768B439297D7E821CFC4BA3980F1CA2279A2E6A459470C6FF28FA2CA7236E81B6E2A1B5C349BCF4729C24388385F42302C6F8475F44F7BA90A1B7E1E10A48047D41BC1136DC51B40CFC85C09AE83F8BA3B01E359FB0241367E5168F48EFC6AF1EF1DC6B0DF6E69B29323CC1CBE73E39F3069C15AB38087A2FDB508518193F867710C6B378AF2F25A8DDCE72F0D61E19E47877F68B78B3E8AF452B22CC5BEA2AC107474689639D23E2789E4D34FD424BEDA096ED4F091B9CCF2E3D041FD6606795D3A09CD04B5ED2AF5BA71F4A01CAE89A4933FB1E08B129138CED63229F7ED9574131F0C0ECE1C5928ED9D4376DE50DDF379DBFC33DC0EB000B6098DE6F92BCE503ADFC75541BF4A6BEC97B298773EF65B60B177214313FC1508ABE30FDE7B48836D334F61047CF5BFF2093E8F380A7986AD8FFA5AC6A8EDB4392968ACAEEA2B0F2889A80D78B30648B4612E6DF2311CBF0FC50B7CAAF81E3E531A821B2A072D2FD2A9BF12170EA48EE2039A61EC4DC1671BDF2B2817786BF981D04F8CCA7771F08808CC38E04856FA22716B10F175786CD6B2E2AFF3B638F4C411E3C0851232DB04FDCBF6648EBAC7169FB7FC75C9D8AF98133F8DAA18E26BCA983977CE3B322106050FF575C707B8808C8A51DD02758ABF52B1DD5101562D5B93BB2461FFE9DCE06E52E2B27E8488DDB006F2783460F435CDF3CB6D1371A91F65497DE6E9B81D63064AF1E5AB31BE290B80A530DE6B094F5042726BF8AA46CD4652B9CB71F89CDD25CA682E6C9E25023C06FA538CA4F3DBC7738F35C0C0912C9CB16F43C8CFFB97981C0032F0C745974F620339D7CBE4C59ADEA630F92D6E6990532F427E795D4D2F6BB18FC35798B4948CAF7E2864D81ADABF22C1AB59AACD406454BAF9FFF5FFC88A35BDE96672513C1A297BA6E16BA1B7805392373FCBA9A2F3FDDA7D165B57560ADAA570693659196630B6519EE9012B76BF73FDBE807085BE5FDEB9EDC93E574396113A80ED04FCA4F572AE01EB8279A4DC9F902BD5CD206223C98DA8FC6F80EDAD25254B831B176CFCB7B83C74F63D1279EC6C69E208B3DD8B30D279ACA6238820E794D7AFED9DE063B8F9B88AC294D08E650CE9B617F6904821BFC7BE177583A90A88AA450FA2E35F6619AA39CF29632DB166D56361E17D5845C71E43B7B2EA63EADE16377FDFC5D51AB1F31CC78D9C1F31D0816C78A25A8A68BA87070B732D9F315E454DCA738C2370B5019765CAADB6B4E8226E83439487DAFBA93EA941E3B7FCB9029F846CA2D702153AC85B91BB8CB296A29662EA2617AF463DC719588CFB7A4E2E68D165ACF08EA0477376661AA1D5377931FBBFB2673C01F7573D2C8201DE8F82810FC456F633D00CA6281F8E991A75979227D2CEDF7400C9D3022CA75278518FAA2CDC4921EC58C2B1EF1D305ADD4C5DD65572F8934F5FD610B3C9DD0DBA0CABC93D46D489B7FA5E676E6A4ED2A5884D179125B9DBCE16A0D8893FCA9DB16DBDE23927CF5711A9917F5FA99DAB133665CA5648BCB61EC2B0EE013944F619E8D14B77D18B489EEBDCA6A57328B40F2C3B2562EEEBE8D67AA29C9884BE2FC81299EB03D257F1CBD26ECAB2C9BA1C843CDFE266BFFE68FE6D2A621FB08319D4D8C78EF4D32322593FB7F8D31B8B19B6CE0D6F0F23BB677643E385EA4F790CF9C6027D8635E95C3EC8AB6D45CBF86D7F2E90D4CD6604DAD3A7AEC95A9CD4621E8668B6D23559044C318528DE2358561CC518E8F2DB291705B5F28B55F0D4FFB19C0B674C84EA3944F0B3F2DAC4A4424ED634B3C93061AA252B1CF059ACE6BD182252F78B21B4416FF9317B04AE61E96EBD96519FC17C5E7612B61554D407AAFDA3799134C8AF4D3EE71354275C769E200DB6FA418CC1C7F3FACBBDEEE35A09E7922525D3CD8BF905678982FD350C19E2EFAB677CB7E465D307FA45BA289532B05BC1DB528C37A61682A555796E61ABE00771D9E9084DF6E5226405522276C7C4AD732A47FD2D0AD1312F71C87021D6E6C07CEB88F53A02EA382957A40FF9CDA815A07298BB3FB48396EE4A1E09894FED5D323267720A369652E125DF77777C75C063FE5C4A4FB18EA9501EF64D82894CE9917BC2D43F10EA1ABCDA1895CCEBA18D1DD0501F63045F0D21E3E1C815FF7B5801CF57A1CB02E4B08742721F172BC756FC4D04BCC6D1C7F1C52BEA83915AF2BF303545A55FF3E601E90AE848CC2AEFBD6880300FBD986A78DA992AD85FB75DA1DAA397DF86E9FE1DBD314AFBF27CBB03BF73D772E7F51EC3D0EB33B50000F1A632245394E0FE98B46891623E6334A4A849E0C5CC9403CC053FD5DA65453B895A0A023F9A4EC8955A41E8F951AE2204DE5FFFB571B2DD29C098B3E7577106F40D39C900E5A1A950330394C8FDDFDC48E6CCAD178B475F440373B950F2BE32CE823F39B2C7AEB524F264460557F26A82211B154B31DFF46765C478AE98E2363F21E28A763CB47BD9CFE4BDAC59B82D7F8BB04D94D65390961B359D61214612E95EEE709CB43CF5F004C54AFDFE78CF7520E3F84EF06F358531EB1D84F49D60ECAF1D4F38AE648EE978B60C6C81B8C833245D0D9F843B7C18C69FA242FD62858779119C115BF332B8DCDE8B66BA55F4175594E1AD2301AF04EC66A9BB71B20FFAD342FBE5E9689142E44C6DDA4BD5929CCF37D5C2B49BEF503B1BC229101123B21772EF939277024CEF39498C44C7FC3E6B7C01C7CDD4A247E758D3AD00D56031A5C7F8ED6DD3F944EF95CB8A98C9F129FDDFB75B2E6E4EB68CC6668AE9706623C58201CF12F027FA0532CB3DA087246E907CA3E3E6CB920FDB3196D404DBB97A667634E67580E231D92D097406F3EC39F62C356B6829FB46DDAB514A4EC7C05B40A4345ED0CC1E003C64EF5173F0771956613397CD5B1D3FAE80F856021BBE38D5B34AB0E476B91FA9A5304B6F38280429930394ACFDBBD4EBDC433E520197142BACF7B87BBDC05CB40FED6BEC2D700D940AF55112506FF365D97CF7B7E9F7A008981DA053C04F3742A6624772D3B6408936C1E3D7704B8BB2A3DF870D468979C46BD733CAA71CAE29010BE57953E149C7C10B81A2690DE5F873C3795BC04ADC4341EE5A5627AB85B70F08F32F1B361BCC834BEFBB3DEE2133EDF1761555CF48E826481D71161955E35094AD217909373981FEF5621176D54C69E4CC72262928E061600C95928D683CD7490E26A8E5AA1AB37AF0D440AC85D26F3557A02FB26BD48DEE04290E3D7B9FEBEBB59294FB0F6E06FED08145856BF52F806C83867EE6B7768DA5F7D6B5787422A3B62EDC670DF90CEB18144D37F549C234DF7E7679D7E00A52CCB77D426881C5E4B3AE86217764664777C0FE81F4AEFD1814C2F66B1F28823F5CB8E6F8F993343D2FD5F9FF88582957460D3EFAFEB5429D23573809BFB2AEB29AB44C2E1EAD93B11EAFAEE46E2888DC1CC2105C6A7999979741486E8D0FFB88D6CD7634E80800A09294EBAC8B4766DC02E2EAC4E6A8330D978C275E19D2C64C48D3162B29A71921449745F9E0BC7CF55CDEE56989ADE2BBB2791BB431833A05D59434DE364B750A2DAE8A37782428EFB41030702FC277181070503D90B230F5807684AC38E4A9C3000B71A8D6CA83F9AB864344269C559DBDFA36766787A3996E496AACB4CA56EDAB9C2BFD92BFF2414AFD0CBF5FB69E6649FAAC544AAEC33C1BE404D50703BC57ECBA53CEBF665AB7A6DE87051F6F9DC47AF14018CBF7878E03522F87B58EB82056BD4853EB3DF2ABF7D14ADD5ED7325E58EF12F4EF6BC7D158AC2CB07CD3CA032E2AA8D99BB31F4FA8DCB37415B61E71DD8E09F2F079E31797A209C65D617B108FE82F95DDD79A5B91BDB076CE8F11E8D07ED92D17B908DC9389C6CE92A48B8335E4C1E8F6EE4DDB207B15DC20E04E50FC5489E060E3BD114BB7AA16A755685A6061C308A46A3ACC746542C0228897C4B203B85B4ACAA87AA134E07CBEDA2EB4284A6CFE35EB3516C4E4739DCA0A8358BB5FD96A636BAF2B962819FE2591011B3158CD54E5972206D26D7D5B31613791B3A805D75771D70015A63F9C3D9FE9DB6561445B8C7F2D051F88C72FB3D57847D3E75EC58F3FE4F8C7F7C1721456E1AEAA943347F8D3D30D1F205AC288FC86CCF6F722A63D710583790C66D698A11BD2889869E37E641B5FAAD681252767ED8D48035F805CBE899130D0C22287E91E6377E9A06BD27E778C0E68589963748773161DFC1D214C53A8B37496D3E6702B1EF6F1FA7FA009C8ABA5D11DFA7D9D89E0C4F29DF89273AD5E8EB6C69FDB236286F86996FFE2CD493184E99A48753A80A57A6ED9B28AAAC9901BC9EFA931C9DC2E6EB1CD4C49A3CF90D76F915C8A41F22D14CC8122A767AC5051030C480DC214F2255FAA48E10A372422399DBA6BBA46A1ACB6DC72505916AE43C326EDE92ADA89898854D27D06843C7814C205F0005E2A03838271920A17C019D68AA34E751FE59762999DAAE538683933705EA529F6863B814D744E6C9FD170CAA646405DDEAE7831566CF81005B832B1B972DEFBB78058BE3657B63A3334AB61B5D465EB355C04585024E42F67725FEE76142830CED8CF98AFA05FBB9FC572E8F7155F2F963574BD49FC9EC34186BA3D48BD99EF8D2DD8C437D0EB2B147236B055B6E6A2CADCC28DC64AEAE270A9749AE7647938502067DB5FAB277880A62F064CD12688752D3B24079DE9BD985C1F16E9B5EAC46EF5D79827B69865BBF8B652A5C2161B9C718AEF0E1F19F8247F5B2247622191FD22B12D0EEA5CB4D957273585257897858F91DBA76405BEA196A7E59B488CA122F4FC4314E611193A20AB08D9CBFEA80F48D3CBDF04346DB79CD1ED4EB7DC3C8EED4CE316516C5596C7DC204A9A0CA08A4E587ECE00E75B0CEAA9F26EAE9C039A6A3F7DB0572050AA864A1E4E233F59101BA22BE52717F6CA23AA4CE2AA11518F8D512F91AFEA3CF3B22443A4A0BF2ACAC8EF572E2667C7EAC01C62C9D111061400F119FFDE950602E3074BAF80699D9A3DA96F8AFF97A407040CDEC110212A8963A5669BFAF90851C56AE1C226C1A8F630A635D1343E3E4446DB83599F913C0619B7913EEAD173075C32C301526503261CA4416FBC8BA7BEE960D98C4C244FDE30DDF5ABB3163E82ACD44A44ED24E74B3F98B29E6C481B3410BA08A39D3BF22D9B47114E04AA21A7D73B4A90F983231C0A7384B159AB760B923A548A7D0D925E76A35EF302B7859D8E40FB77B7C04A6F2CC7B08481CA35545A2D6C4D606EB1100F03C9083A5F957561920B930685C4E6FD049C30C8BEE18D8867B00BFA4F8432F05EAA5780E6DB2E4D3D767E9DBF1CE28D987DEB1C7F1AE21117B6BF6A32537C8457693C04F8802B57743A9DDD821F10098FE3EAB3934356FC8C24C0C35F92865C62F62DE06EAC6ED8884AA38351A2F5E8FB6E8D22DE672871416C2BA4E44C477EC25D04C35F549356DC20BE1CC0F44771C22366914304B08E6B5C3AEFA2D019E3E74B5D2F4724F71F47CD6548CF3FCC4DED193D9A2F57FD8CCCD94786885043F4721FFEA6277AAF2EC46B61432C3BD4881B6D9CD83983625627495D69 HKU\S-1-5-19\...\Run: [VistaIcon] => C:\Program Files\VistaDriveIcon\VistaDrv.exe BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File 2016-04-07 09:36 - 2016-04-07 09:36 - 00000000 ____D C:\Program Files\Free VPN 2016-04-07 09:36 - 2016-04-07 09:36 - 00000000 ____D C:\Documents and Settings\All Users\Главное меню\Программы\Free VPN AV: 电脑管家系统防护 (Enabled - Up to date) {9AAC524A-BF34-49b0-91D2-71838CBB8110} StandardProfile\AuthorizedApplications: [C:\WINDOWS\system32\svchost.exe] => Enabled:KMylxifzcndshMCfJurkyfQKqN StandardProfile\AuthorizedApplications: [UpdateSvchost] => C:\Documents and Settings\Admin\Application Data\nightupdate\svchost.exe:*:Enabled:svchost StandardProfile\AuthorizedApplications: [C:\WINDOWS\explorer.exe] => Enabled:KMylxifzcndshMCfJurkyfQKqN Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pps-qq-19" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\VPN_is1" /f EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Удалите Java(TM) 6 Update 17, это устаревшая версия со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 77.
Необновлённый и устаревшей версии антивирус - хуже, чем никакого.AV: ESET NOD32 Antivirus 6.0 (Enabled - Out of date)
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
лог-файл (Fixlog.txt)
- - - - -Добавлено - - - - -
avz_log.txt
- - - - -Добавлено - - - - -
Java и ESET NOD32 удалил
Скачивайте по ссылкам обновления и устанавливайте.Поиск критических уязвимостей
Жизненный цикл Windows XP закончился
Не используйте Internet Explorer в Windows XP!
Уязвимости в протоколе SMB делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...B-3FD4FE217987
Уязвимости в Microsoft DirectShow делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...c-3ed41d8736ff
Накопительное обновление безопасности для браузера Internet Explorer
https://cloud.mail.ru/public/2kfg/McWzCiMzF
Накопительное обновление системы безопасности для битов аннулирования ActiveX
http://www.microsoft.com/downloads/d...5-6b65f1da5799
Уязвимость в Центре справки и поддержки Windows
http://www.microsoft.com/downloads/d...A-6FB862F603C5
Уязвимость обработки графики в оболочке Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...3-A40325FD2DE3
Уязвимость в службе диспетчера очереди печати делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...7-A012BBF56B13
Уязвимость драйверов режима ядра Windows, делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...e-2141a04a321e
Уязвимости в ядре Windows могут привести к несанкционированному получению прав
http://www.microsoft.com/downloads/d...5-9D97390DE7D1
Уязвимости в Windows Media делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...b-470213c028ac
Несанкционированные цифровые сертификаты делают возможным подмену содержимого
http://www.microsoft.com/ru-ru/downl....aspx?id=29975 (требуется лицензионный Windows) или
http://download.microsoft.com/downlo...04-x86-RUS.exe
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...1-93fb25058866
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...9-335d5feee55b
Уязвимости драйверов режима ядра Windows делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...e-abc147ca8f5f
Уязвимость в ядре Windows может допустить повышение уровня полномочий
http://www.microsoft.com/downloads/d...5-b4c1d7c0865c
Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...7-125e0e7320ae
Установлен Adobe Reader версии 11.0.00. Опасно использовать версии до 11.0.08
http://ardownload.adobe.com/pub/adob...drUpd11014.msp
Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\local settings\temp\pps-qq-19.exe - Trojan.Win32.Autorun.ecf
Уважаемый(ая) RubichekS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.