Всем привет. Сломался компьютер, мне собрали новый. Оказалось что он был заражённый. Браузер открывается сам и показывает рекламы. Скачал AdwCleaner и почистил комп. Рекламы появились опять. Поставил NOD. Почистил им и не помогло. Пришёл сюда.
Printable View
Всем привет. Сломался компьютер, мне собрали новый. Оказалось что он был заражённый. Браузер открывается сам и показывает рекламы. Скачал AdwCleaner и почистил комп. Рекламы появились опять. Поставил NOD. Почистил им и не помогло. Пришёл сюда.
Уважаемый(ая) [B]Kingston[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
мне ничего больше делать не надо?
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\DiskP\1ODYA.exe', '');
QuarantineFile('C:\Users\x\AppData\Roaming\WinSnare\WinSnare.dll', '');
QuarantineFile('C:\Program Files\Jahipy Module\local32spl.dll', '');
QuarantineFile('C:\Program Files\BikaQRss\BikaQ.exe', '');
QuarantineFile('C:\Program Files\Dudusyplesoch\pebaph.exe', '');
QuarantineFile('"C:\Program Files\MIO\MIO.exe" -bindurl http://api.suibianmaimaicom.com/maxtorxstm3160215as_6ra3lnvcxxxx6ra3lnvc.dat cmd=', '');
DeleteFile('C:\Program Files\DiskP\1ODYA.exe', '32');
DeleteFile('C:\Users\x\AppData\Roaming\WinSnare\WinSnare.dll', '32');
DeleteFile('C:\Program Files\Jahipy Module\local32spl.dll', '32');
DeleteFile('C:\Program Files\BikaQRss\BikaQ.exe', '32');
DeleteFile('C:\Program Files\Dudusyplesoch\pebaph.exe', '32');
DeleteFile('"C:\Program Files\MIO\MIO.exe" -bindurl http://api.suibianmaimaicom.com/maxtorxstm3160215as_6ra3lnvcxxxx6ra3lnvc.dat cmd=', '32');
DeleteFileMask('c:\program files\diskp', '*', true);
DeleteFileMask('c:\users\x\appdata\roaming\winsnare', '*', true);
DeleteFileMask('c:\program files\jahipy module', '*', true);
DeleteFileMask('c:\program files\bikaqrss', '*', true);
DeleteFileMask('c:\program files\dudusyplesoch', '*', true);
DeleteFileMask('"c:\program files\mio', '*', true);
DeleteDirectory('c:\program files\diskp');
DeleteDirectory('c:\users\x\appdata\roaming\winsnare');
DeleteDirectory('c:\program files\jahipy module');
DeleteDirectory('c:\program files\bikaqrss');
DeleteDirectory('c:\program files\dudusyplesoch');
DeleteDirectory('"c:\program files\mio');
ExecuteFile('schtasks.exe', '/delete /TN "BikaQ_FetchAndUpgrade_CanBeDel" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Jahipy Module" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'KUY5TULSYA');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
попробовал открыть файл quarantine.zip и мне пишет что архив пустой. послать его не смог.
файлы от программы Farbar Recovery Scan Tool прикрепляю.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
IFEO\taskmgr.exe: [Debugger]
2017-03-01 10:36 - 2017-03-15 10:33 - 00000000 ____D C:\Program Files\kgkskf64
Task: {99B9073D-4D05-4459-B261-1F04E306802A} - System32\Tasks\Milimili => C:\Program Files\MIO\MIO.exe [2017-02-07] ()
2017-03-13 12:42 - 2017-03-13 12:42 - 00000000 ____D C:\Program Files\MIO
Task: {E5C5AF18-9A8E-4B61-988B-C2A6ADFB8249} - System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => C:\Program Files\BikaQRss\BikaQ.exe <==== ATTENTION
Task: {EA565390-CE36-4625-B2FB-A83520897629} - System32\Tasks\Jahipy Module => C:\Program Files\Dudusyplesoch\pebaph.exe
FirewallRules: [{96ACC2C1-D1F1-4597-8965-EED6A88C562A}] => (Allow) C:\Program Files\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{CD81998D-C6CE-4F82-A71D-D9D000FA5D74}] => (Allow) C:\Program Files\Firefox\Firefox.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{623E5902-DD76-4739-853D-16EC184C7B23}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{78A2D999-4673-4FCC-818E-57B0AF8F3B70}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3BD7934C-85C3-4993-8784-587D3F3F9F88}" /f
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемой.
не пойму как отключить нод так чтобы он не показывал окно где говорит "опасный файл такой то такой то удалён". вроде всё выключил но окошко всё равно появляется.
Значит, есть с чем бороться, ищем дальше. fixlist.txt прикрепите.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Вот такое окошко вылазит на данный момент :hmm:
[IMG]http://oi66.tinypic.com/10p0ebt.jpg[/IMG]
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v3.87.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
OFFSGNSAVE
; C:\PROGRAMDATA\APPLE\APPLE APPLICATION\DEVICECFG.DLL
addsgn A7679B1928664D070E3CFDB564C8ED70357589FA768F17903B3D3A43D3127D11E11BC302B5B9CBB65E880F6EAE4E49FA7D18EEDA74DBA0A7EB29F9EDC306A112 24 PUA.Downloader [Symantec]
zoo %SystemDrive%\PROGRAMDATA\APPLE\APPLE APPLICATION\DEVICECFG.DLL
chklst
delvir
del %SystemDrive%\USERS\X\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\INTERNET EXPLORER.LNK
delref %SystemDrive%\USERS\X\DESKTOP\PHOTOSHOPCS2\PS902.EXE
deltmp
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сообщите, что с проблемой.
пока не ругается НОД, если что то напишу.
запускаю программу adwcleaner и на этом моменте зависает
[IMG]http://oi64.tinypic.com/25082ef.jpg[/IMG]
когда комп долго не трогаю и монитор выключается. когда я трогаю мышь, далее на windows 10 там нужно ещё пару раз кликать чтобы попасть на рабочий стол. когда кликаю и открывается рабочий стол то вижу что запустился explorer на этой странице
[IMG]http://oi67.tinypic.com/33xtzpz.jpg[/IMG]
NOD больше не ругается.
Дождитесь, когда откроется это оно, и, не закрывая его, сделайте новый полный образ автозапуска uVS. Загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в личном сообщении.
Обновите UVS [URL="https://yadi.sk/d/sMLgZKzK3GRwUZ"]отсюда[/URL] и в нём выполните скрипт:[CODE];uVS v4.0b10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
regt 36
deltmp
apply
restart[/CODE]
Открывался сайт, кстати, не в explorer и не в Internet Explorer, а в MS Edge. После выполнения скрипта и перезагрузки попробуйте его запустить - какая стартовая откроется в нём?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]