Здравствуйте, вместо торрента загрузилась какая-то программа с квадратиками и иероглифами, удалить через cclenear не удалось. В итоге тормозит комп, идет перенаправление браузера или открытие нового окна, рекламные баннера, как это побороть.
Printable View
Здравствуйте, вместо торрента загрузилась какая-то программа с квадратиками и иероглифами, удалить через cclenear не удалось. В итоге тормозит комп, идет перенаправление браузера или открытие нового окна, рекламные баннера, как это побороть.
Уважаемый(ая) [B]annagrom[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Program Files\IQIYI Video\Common\Accelerator\IEHelper.dll','');
QuarantineFile('C:\Program Files\Application Installer\ServerCore.exe','');
QuarantineFile('C:\Documents and Settings\Slonik\Local Settings\Application Data\wincheck\wincheck.exe','');
QuarantineFile('C:\Documents and Settings\Slonik\Local Settings\Application Data\gmsd_ru_120\upgmsd_ru_120.exe','');
QuarantineFile('C:\Documents and Settings\Slonik\Application Data\Browsers\exe.xoferif.bat','');
QuarantineFile('C:\Documents and Settings\Slonik\Application Data\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Documents and Settings\Slonik\Application Data\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\WINDOWS\system32\drivers\wpnfd_1_10_0_6.sys','');
DeleteService('wpnfd_1_10_0_6');
SetServiceStart('tuquzini', 4);
DeleteService('tuquzini');
SetServiceStart('serversu', 4);
DeleteService('serversu');
SetServiceStart('serverjo', 4);
DeleteService('serverjo');
QuarantineFile('C:\Program Files\Application Installer\CoreWebServ.dll','');
TerminateProcessByName('c:\program files\application installer\servercore.exe');
QuarantineFile('c:\program files\application installer\servercore.exe','');
TerminateProcessByName('c:\documents and settings\slonik\application data\vopackage\nske3.tmp');
QuarantineFile('c:\documents and settings\slonik\application data\vopackage\nske3.tmp','');
TerminateProcessByName('c:\documents and settings\slonik\application data\softwareupdater\susrv.exe');
QuarantineFile('c:\documents and settings\slonik\application data\softwareupdater\susrv.exe','');
TerminateProcessByName('c:\documents and settings\slonik\application data\vopackage\josrv.exe');
QuarantineFile('c:\documents and settings\slonik\application data\vopackage\josrv.exe','');
DeleteFile('c:\documents and settings\slonik\application data\vopackage\josrv.exe','32');
DeleteFile('c:\documents and settings\slonik\application data\softwareupdater\susrv.exe','32');
DeleteFile('c:\documents and settings\slonik\application data\vopackage\nske3.tmp','32');
DeleteFile('c:\program files\application installer\servercore.exe','32');
DeleteFile('C:\Program Files\Application Installer\CoreWebServ.dll','32');
DeleteFile('C:\WINDOWS\system32\drivers\wpnfd_1_10_0_6.sys','32');
DeleteFile('C:\Documents and Settings\Slonik\Application Data\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Documents and Settings\Slonik\Application Data\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Documents and Settings\Slonik\Application Data\Browsers\exe.xoferif.bat','32');
DeleteFile('C:\Documents and Settings\Slonik\Local Settings\Application Data\gmsd_ru_120\upgmsd_ru_120.exe','32');
DeleteFile('C:\Documents and Settings\Slonik\Local Settings\Application Data\wincheck\wincheck.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upgmsd_ru_120.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ServerCore');
DeleteFile('C:\Program Files\Application Installer\ServerCore.exe','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]
после выполнения скрипта перезагрузки не было (комп не выключается , не перезагружается) принудительно отключила питание. Логи высылаю
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
Пофиксите в HiJack
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchruc.ru
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14240;https=127.0.0.1:14240
O2 - BHO: BlockAndSurf - {99F4F6D1-1187-DD7B-35C5-66B14DCAED5B} - C:\Program Files\ver3BlockAndSurf\188.dll
O2 - BHO: Cyti Web 1.0.0.7 - {aa2fac44-d24d-4fed-9e32-397d138365f1} - C:\Program Files\Cyti Web\CytiWebbho.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - Startup: SmartWeb.lnk = C:\Documents and Settings\Slonik\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe
O4 - Startup: ???PPS??.lnk
[/CODE]
Удалите вручную
[QUOTE]C:\Program Files\globalUpdate
C:\Program Files\SavePass 1.1
C:\Program Files\Cyti Web
C:\Program Files\AnyProtectEx
C:\Program Files\ver3BlockAndSurf
C:\Program Files\WordProser_1.10.0.6
C:\Documents and Settings\Slonik\Application Data\SmartWeb
C:\Documents and Settings\Slonik\Application Data\Torrent Search
C:\Documents and Settings\Slonik\Application Data\AnyProtectEx
:\Documents and Settings\Slonik\Application Data\omiga-plus
C:\Program Files\gmsd_ru_120
C:\Documents and Settings\Slonik\Application Data\SoftwareUpdater
C:\Program Files\Common Files\Tencent
C:\Program Files\Tencent
C:\Documents and Settings\Slonik\Application Data\Tencent
C:\Documents and Settings\All Users\Application Data\Tencent
C:\Documents and Settings\Slonik\Application Data\VOPackage
C:\Program Files\IQIYI Video
C:\Documents and Settings\Slonik\Application Data\IQIYI Video
C:\Documents and Settings\All Users\Application Data\QiYi
C:\Program Files\Application Installer
C:\Documents and Settings\Slonik\Application Data\Browsers[/QUOTE]
Поместите в карантин МВАМ все найденное
вручную не все папки удалось удалить, но внутренности почистила, а то что не удалялось переименовала
все что найдено поместила в карантин. Высылаю лог. Вроде работоспособность восстановлена.
Удалите МВАМ
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\wpnfd_1_10_0_6.sys - [B]not-a-virus:AdWare.Win64.Vitruvian.a[/B] ( DrWEB: Adware.Popad.10 )[/LIST][/LIST]