Какие-то китайские иероглифы и реклама

[Stolyar]

Какие-то китайские иероглифы и реклама

Поставились какие-то программы с китайскими иероглифами, и периодически реклама выпадает

Помогите побороть, пожалуйста.
Спасибо!!!

 

[safety]

@Stolyar,
выполните скрипт в uVS из безопасного режима системы.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
sreg

delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\QQREPAIRCDA
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\QQREPAIRFIXSVC
delref %Sys32%\VSPROTECTPROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RZC\RSDEFENSE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RSD\RSMGRSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VIDEODOWNLOADER\VSUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HP DEFENDER\HHANDLER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QMUDISK64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QQPCHW-X64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QQSYSMONX64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\SOFTAAL64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\SREPAIRDRV
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\TS888X64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\TSDEFENSEBT64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\TSNETHLPX64.SYS
delref %Sys32%\DRIVERS\RSKTDI.SYS
delref %Sys32%\DRIVERS\RSUTILS.SYS
delref %Sys32%\DRIVERS\SYSMON.SYS
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1409928778&FROM=SKY&UID=WDCXWD5000AAKX-003CA0_WD-WCAYUEU9720597205
delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1409928778&FROM=SKY&UID=WDCXWD5000AAKX-003CA0_WD-WCAYUEU9720597205&Q={SEARCHTERMS}
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\APPLICATION\KOMETA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QQPCTRAY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RZC\RSTRAY.EXE
delref %SystemRoot%\SMS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\FORYOUGAIN\STUB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\TIMETASKS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\GAMEO\GAMEO.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RSD\POPWNDEXE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RZC\RSTURBOBALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RISING\RZC\RZCTRAY.EXE
delref HTTP://HAO.RISING.CN/?B=17
delref HTTP://SEARCH.GBOXAPP.COM/?AFF=P
delref HTTP://SMARTSPUTNIK.RU/?RI=1&UID=72751FFDCB9A0F6336B9E03641C59516&Q={SEARCHTERMS}
areg

перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска.

 

[Stolyar]

Вроде стало полегче на первый взгляд, но китайские программы в списке установленных остались...
Вот новый лог.

 

[safety]

главное, что в процессах нет.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\WSAUDIO.DLL
addsgn 79132211B9E9317E0AA1AB591A961205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A8FD8C9F323BB68F75B5E88D60628E2B3D88B15F070532F6 64 Stantinko.AM

zoo %SystemDrive%\PROGRAMDATA\{B7A18CAF-9023-1FB1-B7A1-18CAF90232BE}\HQGHUMEAYLNLF.EXE
addsgn 1A990B9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BECE59471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Adware.SpeedingUpMyPC

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\PANEL\KOMETALAUNCHPANEL.EXE
addsgn 1AB1909A5583C58CF42B254E3143FE86C99A7F8B99FA4C2ED2CC417A50D671B356034E1ACEBD7FA5D47F0FC24E93928F5A37374E55DA772C3B77A42F2F0E8A73 8 Win32/RuKometa.M

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\PANEL\1.0.0.775\PANELREMOVE.EXE
addsgn 1A612D9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B9C399271C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/Adware.ConvertAd

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\OPTIMIZER PRO

deldirex %SystemDrive%\PROGRAM FILES (X86)\RISING\RZC

delref TTDAS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KINIGCOIUPON\LNPE6WE7NRY9JV.DLL
del %SystemDrive%\PROGRAM FILES (X86)\KINIGCOIUPON\LNPE6WE7NRY9JV.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\TOPDEAAL\TLF38VCLZSH3FX.X64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\TOPDEAAL\TLF38VCLZSH3FX.X64.DLL

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\2.1.0.3086\EXPLUGIN

delref %SystemRoot%\MDM.EXE
del %SystemRoot%\MDM.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUAN\3.0.0.3971

delref %Sys32%\D3DADAPTER.DLL
del %Sys32%\D3DADAPTER.DLL

delref %Sys32%\IHCTRL32.DLL
del %Sys32%\IHCTRL32.DLL

delref %Sys32%\WLANMGR.DLL
del %Sys32%\WLANMGR.DLL

delref %Sys32%\WSAUDIO.DLL
del %Sys32%\WSAUDIO.DLL

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.1.9.1_0\СТАРТОВАЯ — ЯНДЕКС
deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\APPLICATION\48.0.2564.82

deldirex %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\2.1.0.3086

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217\QMTRAYPLUGIN\QMMOBILETRAYPLUGIN

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\131

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\APPLICATION

delref %Sys32%\DRIVERS\RSUTILS.SYS
del %Sys32%\DRIVERS\RSUTILS.SYS

delref %Sys32%\DRIVERS\SYSMON.SYS
del %Sys32%\DRIVERS\SYSMON.SYS

delref %Sys32%\DRIVERS\RSKTDI.SYS
del %Sys32%\DRIVERS\RSKTDI.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\RISING\RSD

del %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER0.BAT

del %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER4.BAT

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QMTRAYPLUGIN\QMAUTOTASKPLUGIN

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2

del %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER6.BAT

del %SystemDrive%\USERS\USER\APPDATA\LOCAL\BROWSERS\BROWSER0.BAT

regt 27
regt 28
regt 29
; istartsurf uninstall
exec  C:\Users\user\AppData\Roaming\istartsurf\UninstallManager.exe  -ptid=sky
; Remote Desktop Access (VuuPC)
exec  C:\Users\user\AppData\Roaming\VOPackage\uninstall.exe
; WebSecurity Extension version 16.40
exec  C:\Program Files (x86)\Microsoft Data\unins000.exe
; Zaxar Games Browser
exec  C:\Program Files (x86)\Zaxar\uninstall.exe
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

regt 35
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

 

[Stolyar]

Пишет что скрипт с ошибкой, и не хочет его выполнять....

 

[Stolyar]

Странно, скачивал Uvs с официального сайта, там оказывается старая версия, скачал по другой ссылке, получил файл uvs_latest, в нем скрипт запустился.... Сейчас напишу о результатах...

 

[safety]

да, так и есть. на оф. сайте релизная версия 3.87, (разработчик выкладывает только релизные версии...) в разработке же сейчас 3.87.6 с некоторыми новыми функциями.
можно скачать отсюда.
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

 

[Stolyar]

В Uvs скрипт отработал, далее поставил Малваребайтс, он все протестировал, обнаружил примерно 70-80 тысяч объектов и когда закончил тестировать просто завис, никакого лога так и не выдал, запустил тест повторно, такая же фигня, лог так получить и не смог. Причем ни предложение лечения, ни сам лог, ничего не дал. Что делать?

 

[safety]

далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

 

[Stolyar]

AdwCleaner тоже несколько раз в процессе удаления зависал, я его запускал заново и снова пытался удалять, с третьего раза все получилось Он там тоже очень много всего нашел. Но все таки он отработал.

Сейчас сделал логи FRST.

 

[Stolyar]

Кстати, попробовал запустить Малваребайтс, он таки нормально сделал лог. Вот тоже выкладываю.

 

[safety]

по логу мбам:
это оставьте

Процессы: 1
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2260, , [a2b5a0f84753082edb0a9ace936dbd43]
и это
Файлы: 177
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [a2b5a0f84753082edb0a9ace936dbd43],

остальное все найденное в малваребайт удалите.
перегрузите систему
далее,
....

 

[safety]

по логам FRST

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Extension: No Name - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\7q6rgx7m.default-1427389997933\extensions\sovetnik@metabar.ru.xpi [not found]
FF Extension: The Safe Surfing - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\7q6rgx7m.default-1427389997933\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2016-09-05] [not signed]
FF Extension: RoyaLLCoupioni - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\7q6rgx7m.default-1427389997933\Extensions\gsA@e.org [2015-09-17] [not signed]
FF Extension: WowCoUpon - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\7q6rgx7m.default-1427389997933\Extensions\LwJz@J2dXJa.org [2015-09-17] [not signed]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\eloiobpkhmhigoanlnojhnacenlkjaad [2015-09-01] [UpdateUrl: hxxp://stolenprivatevideos.pw/eebrs/update.xml] <==== ATTENTION
CHR Extension: (OkTools) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\jicldjademmddamblmdllfneeaeeclik [2016-09-05]
CHR Extension: (The Safe Surfing) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-09-05]
CHR Extension: (foryougain) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\naelaccnagmkchcckjjdggcjnajcapgo [2015-10-06]
CHR HKLM-x32\...\Chrome\Extension: [eloiobpkhmhigoanlnojhnacenlkjaad] - C:\Program Files (x86)\Flash\first.crx [2014-02-26]
OPR Extension: (The Safe Surfing) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-09-05]
NETSVCx32: KBDMAI -> no filepath.
NETSVCx32: d3dadapter -> no filepath.
NETSVCx32: ir16_32 -> no filepath.
NETSVCx32: wlanmgr -> no filepath.
EmptyTemp:
Reboot:

 

[Stolyar]

Вот этот файл:

 

[safety]

закрываем уязвимости, обновляем программы, наблюдаем за проблемой
http://www.tehnari.ru/f150/t81269/