-
Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.
Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.
Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.
Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.Задать вопрос Новые сообщения Как правильно спроситьЕсли пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.
Какие-то китайские иероглифы и реклама
- Автор темы Stolyar
- Дата начала
@Stolyar,
выполните скрипт в uVS из безопасного режима системы.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска.
выполните скрипт в uVS из безопасного режима системы.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
sreg
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\QQREPAIRCDA
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\QQREPAIRFIXSVC
delref %Sys32%\VSPROTECTPROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RZC\RSDEFENSE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RSD\RSMGRSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VIDEODOWNLOADER\VSUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HP DEFENDER\HHANDLER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QMUDISK64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QQPCHW-X64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QQSYSMONX64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\SOFTAAL64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\SREPAIRDRV
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\TS888X64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\TSDEFENSEBT64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\TSNETHLPX64.SYS
delref %Sys32%\DRIVERS\RSKTDI.SYS
delref %Sys32%\DRIVERS\RSUTILS.SYS
delref %Sys32%\DRIVERS\SYSMON.SYS
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1409928778&FROM=SKY&UID=WDCXWD5000AAKX-003CA0_WD-WCAYUEU9720597205
delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1409928778&FROM=SKY&UID=WDCXWD5000AAKX-003CA0_WD-WCAYUEU9720597205&Q={SEARCHTERMS}
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\APPLICATION\KOMETA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QQPCTRAY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RZC\RSTRAY.EXE
delref %SystemRoot%\SMS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\FORYOUGAIN\STUB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\TIMETASKS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\GAMEO\GAMEO.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RSD\POPWNDEXE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RZC\RSTURBOBALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RZC\RZCTRAY.EXE
delref HTTP://HAO.RISING.CN/?B=17
delref HTTP://SEARCH.GBOXAPP.COM/?AFF=P
delref HTTP://SMARTSPUTNIK.RU/?RI=1&UID=72751FFDCB9A0F6336B9E03641C59516&Q={SEARCHTERMS}
areg----------
+
добавьте новый образ автозапуска.
главное, что в процессах нет.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\WSAUDIO.DLL
addsgn 79132211B9E9317E0AA1AB591A961205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A8FD8C9F323BB68F75B5E88D60628E2B3D88B15F070532F6 64 Stantinko.AM
zoo %SystemDrive%\PROGRAMDATA\{B7A18CAF-9023-1FB1-B7A1-18CAF90232BE}\HQGHUMEAYLNLF.EXE
addsgn 1A990B9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BECE59471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Adware.SpeedingUpMyPC
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\PANEL\KOMETALAUNCHPANEL.EXE
addsgn 1AB1909A5583C58CF42B254E3143FE86C99A7F8B99FA4C2ED2CC417A50D671B356034E1ACEBD7FA5D47F0FC24E93928F5A37374E55DA772C3B77A42F2F0E8A73 8 Win32/RuKometa.M
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\PANEL\1.0.0.775\PANELREMOVE.EXE
addsgn 1A612D9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B9C399271C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/Adware.ConvertAd
;------------------------autoscript---------------------------
chklst
delvir
deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
deldirex %SystemDrive%\PROGRAM FILES (X86)\OPTIMIZER PRO
deldirex %SystemDrive%\PROGRAM FILES (X86)\RISING\RZC
delref TTDAS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KINIGCOIUPON\LNPE6WE7NRY9JV.DLL
del %SystemDrive%\PROGRAM FILES (X86)\KINIGCOIUPON\LNPE6WE7NRY9JV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TOPDEAAL\TLF38VCLZSH3FX.X64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\TOPDEAAL\TLF38VCLZSH3FX.X64.DLL
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
deldirex %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\2.1.0.3086\EXPLUGIN
delref %SystemRoot%\MDM.EXE
del %SystemRoot%\MDM.EXE
deldirex %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUAN\3.0.0.3971
delref %Sys32%\D3DADAPTER.DLL
del %Sys32%\D3DADAPTER.DLL
delref %Sys32%\IHCTRL32.DLL
del %Sys32%\IHCTRL32.DLL
delref %Sys32%\WLANMGR.DLL
del %Sys32%\WLANMGR.DLL
delref %Sys32%\WSAUDIO.DLL
del %Sys32%\WSAUDIO.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.1.9.1_0\СТАРТОВАЯ — ЯНДЕКС
deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\APPLICATION\48.0.2564.82
deldirex %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\2.1.0.3086
deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222
deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QMTRAYPLUGIN\QMMOBILETRAYPLUGIN
deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108
deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\131
deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\APPLICATION
delref %Sys32%\DRIVERS\RSUTILS.SYS
del %Sys32%\DRIVERS\RSUTILS.SYS
delref %Sys32%\DRIVERS\SYSMON.SYS
del %Sys32%\DRIVERS\SYSMON.SYS
delref %Sys32%\DRIVERS\RSKTDI.SYS
del %Sys32%\DRIVERS\RSKTDI.SYS
deldirex %SystemDrive%\PROGRAM FILES (X86)\RISING\RSD
del %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER0.BAT
del %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER4.BAT
deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QMTRAYPLUGIN\QMAUTOTASKPLUGIN
deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2
del %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER6.BAT
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\BROWSERS\BROWSER0.BAT
regt 27
regt 28
regt 29
; istartsurf uninstall
exec C:\Users\user\AppData\Roaming\istartsurf\UninstallManager.exe -ptid=sky
; Remote Desktop Access (VuuPC)
exec C:\Users\user\AppData\Roaming\VOPackage\uninstall.exe
; WebSecurity Extension version 16.40
exec C:\Program Files (x86)\Microsoft Data\unins000.exe
; Zaxar Games Browser
exec C:\Program Files (x86)\Zaxar\uninstall.exe
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------
regt 35
restart----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
да, так и есть. на оф. сайте релизная версия 3.87, (разработчик выкладывает только релизные версии...) в разработке же сейчас 3.87.6 с некоторыми новыми функциями.
можно скачать отсюда.
http://chklst.ru/data/uVS%20latest/uvs_latest.zip
можно скачать отсюда.
http://chklst.ru/data/uVS%20latest/uvs_latest.zip
В Uvs скрипт отработал, далее поставил Малваребайтс, он все протестировал, обнаружил примерно 70-80 тысяч объектов и когда закончил тестировать просто завис, никакого лога так и не выдал, запустил тест повторно, такая же фигня, лог так получить и не смог. 
Причем ни предложение лечения, ни сам лог, ничего не дал. Что делать?
Причем ни предложение лечения, ни сам лог, ничего не дал. Что делать?далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/
*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,
5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/
*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,
5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/
AdwCleaner тоже несколько раз в процессе удаления зависал, я его запускал заново и снова пытался удалять, с третьего раза все получилось Он там тоже очень много всего нашел. Но все таки он отработал.
Сейчас сделал логи FRST.
Сейчас сделал логи FRST.
по логам FRST
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Код:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Extension: No Name - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\7q6rgx7m.default-1427389997933\extensions\sovetnik@metabar.ru.xpi [not found]
FF Extension: The Safe Surfing - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\7q6rgx7m.default-1427389997933\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2016-09-05] [not signed]
FF Extension: RoyaLLCoupioni - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\7q6rgx7m.default-1427389997933\Extensions\gsA@e.org [2015-09-17] [not signed]
FF Extension: WowCoUpon - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\7q6rgx7m.default-1427389997933\Extensions\LwJz@J2dXJa.org [2015-09-17] [not signed]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\eloiobpkhmhigoanlnojhnacenlkjaad [2015-09-01] [UpdateUrl: hxxp://stolenprivatevideos.pw/eebrs/update.xml] <==== ATTENTION
CHR Extension: (OkTools) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\jicldjademmddamblmdllfneeaeeclik [2016-09-05]
CHR Extension: (The Safe Surfing) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-09-05]
CHR Extension: (foryougain) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\naelaccnagmkchcckjjdggcjnajcapgo [2015-10-06]
CHR HKLM-x32\...\Chrome\Extension: [eloiobpkhmhigoanlnojhnacenlkjaad] - C:\Program Files (x86)\Flash\first.crx [2014-02-26]
OPR Extension: (The Safe Surfing) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-09-05]
NETSVCx32: KBDMAI -> no filepath.
NETSVCx32: d3dadapter -> no filepath.
NETSVCx32: ir16_32 -> no filepath.
NETSVCx32: wlanmgr -> no filepath.
EmptyTemp:
Reboot:закрываем уязвимости, обновляем программы, наблюдаем за проблемой
http://www.tehnari.ru/f150/t81269/
http://www.tehnari.ru/f150/t81269/
Похожие темы
