-
Пока просто в карантин возьму, посмотрим поближе.
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('c:\users\acer\appdata\roaming\gemware\node-webkit.exe', '');
QuarantineFile('C:\Program Files (x86)\Patriot Server\vsrvevents.DLL', '');
QuarantineFile('C:\Program Files (x86)\Patriot Server\vsrvodetect.DLL', '');
QuarantineFile('c:\program files (x86)\patriot server\vserver.exe', '');
QuarantineFileF('c:\users\acer\appdata\roaming\gemware\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteRepair(3);
ExecuteRepair(4);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
+
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Настройки[/b] отметьте:
[list][*]Сброс политик IE[*]Сброс политик Chrome[/list][*]Нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
-
Vserver.exe это система видеонаблюдения Патриот, файлы в её папке DLL ещё 2009 и 2012 г. Это не вирус!
Остальное прислал
-
Что с проблемой?
Если осталась, то попробуйте переименовать файл
[CODE]c:\users\acer\appdata\roaming\gemware\node-webkit.exe[/CODE]
и снова понаблюдать за проблемой.
-
Переименовал в безопасном режиме, а потом изменил расширение на *txt [COLOR=#555555]ккк.exe[/COLOR]
В Хроме выскакивает окно [CODE][COLOR=#000000][FONT=Segoe UI]Как отремонтировать Windows 7[/FONT][/COLOR][COLOR=#000000][FONT=Segoe UI][B]Проблема:[/B] Если Ваша система заражена вирусами, шпионскими, или вредоносными программами, это необходимо исправить. Запатентованная технология Reimage является единственной программой в своем роде, которая может компенсировать ущерб, причиненный операционной системе. Этот процесс отменяет необходимость переустановки системы.
[B]Решение:[/B] Сканирование, диагностика и ремонт любого повреждения, причиненного Вашему ПК, с помощью мощной технологии, которая не просто исправляет операционную систему Windows, а также заменяет уже поврежденные файлы на исправные из нашей базы данных.
[/FONT][/COLOR]
[COLOR=#000000][FONT=Segoe UI][URL="http://cdnrep.reimage.com/"]Скачать инструмент для ремонта Windows 7[/URL][/FONT][/COLOR]
[/CODE]
Естественно что это вирусные ссылки, нельзя их открывать
А также в поисковике google встраивается часть не родная в начале с ссылками на какие-то странные ресурсы и надпись [COLOR=#AAAAAA][FONT=arial]Ads by Lyrics[/FONT][/COLOR]
Вот эта везде есть в Хроме [B]Ads by Lyrics[/B]
-
[URL="http://www.opera-usb.com/ru/"]скачайте отсюда Оперу[/URL] и проверьте проблему в ней.
-
Нет, проблем в Опере нет, я скачал [URL="http://www.opera.com/ru/computer/windows"]полную версию[/URL].
В Мозиле тоже нет, только мозила у меня установилась [URL="https://mozilla-russia.org/products/firefox/history.html"]русская ночная сборка[/URL], там синенький значёк - [B][COLOR="#0000CD"]Developer Edition[/COLOR][/B] 64 bit.
Проблема только в Хроме. Можно его снести и не жалеть, а то только заразы цепляет, как полностью удалить хром и вместе с ним заразу которая там выскакивает?
-
[quote="Plate;1358005"]Опере нет, я скачал полную версию.[/quote]
это уже не Опера а Хромоног, от Оперы там только название и иконка :(, а сейчас и это продали китайцам. Но главное, что в ней проблем нет.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
-
-
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]start
CreateRestorePoint:
HKU\S-1-5-21-2767043735-2799654105-3416073425-1000\...\MountPoints2: {2edb6bf6-0b3d-11e4-b5e0-7054d251b98b} - J:\start.exe
HKU\S-1-5-21-2767043735-2799654105-3416073425-1000\...\MountPoints2: {2edb6bf9-0b3d-11e4-b5e0-7054d251b98b} - I:\setup.exe
HKU\S-1-5-21-2767043735-2799654105-3416073425-1000\...\MountPoints2: {543de832-6d72-11e4-9747-7054d251b98b} - G:\AutoRun.exe
HKU\S-1-5-21-2767043735-2799654105-3416073425-1000\...\MountPoints2: {94c6f3a2-8ed8-11e4-a26f-7054d251b98b} - H:\start.exe
HKU\S-1-5-21-2767043735-2799654105-3416073425-1000\...\MountPoints2: {d5bf0895-0b3b-11e4-b640-7054d251b98b} - G:\start.exe
Startup: C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OrbitumUpdate.lnk [2015-11-29]
ShortcutTarget: OrbitumUpdate.lnk -> (No File)
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKU\S-1-5-21-2767043735-2799654105-3416073425-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.top8844.com?oem=mbtkv6&uid=Z1E2NMNG_ST2000DM001-1CH164&tm=1443754719
SearchScopes: HKU\S-1-5-21-2767043735-2799654105-3416073425-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&ieverfix=1&fr=ieverfix_dse
SearchScopes: HKU\S-1-5-21-2767043735-2799654105-3416073425-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&ieverfix=1&fr=ieverfix_dse
FF Plugin-x32: @qq.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [No File]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-11-01] <==== ATTENTION (Points to *.cfg file)
CHR HomePage: Default -> mail.ru/cnt/11956636?gp=800000
CHR StartupUrls: Default -> "hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}&fr=xtn9
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Easy Search) - C:\Users\Acer\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdnadicfhkbpdafdildanpbjapjlmkab [2016-02-12]
FirewallRules: [{B10F402E-BEC7-4158-9F7C-7B28DED7D2C5}] => (Allow) C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
FirewallRules: [{A0B712CA-998E-437B-93CE-C8BCA160B82B}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{EEC2D117-B032-4F4C-A051-17F71183551A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{E1FCCE50-3737-46EB-83CC-9DDF4F41D3C6}] => (Allow) C:\Users\Acer\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{AEC3D3F2-4082-441E-8571-C9EEA32B46AF}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{00EAF897-F9E1-4392-AA61-9269D665BA11}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
EmptyTemp:
Reboot:
end[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
-
Спасибо огромное, все визуальные проблемы ушли)) даже в Хроме. Буду периодически антивирусом проверять систему.
-
папку C:\FRST удалите.
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.01019 seconds with 10 queries