Китайская зараза

[DronYa]

Китайская зараза

Всем привет.Поймал китайскую заразу 2345soft.В диспетчере задач несколько процессов с китайскими иероглифами,остановить процессы не удается-нет доступа.Обычное удаление
вызывает китайское контекстное меню...не разумею.Касперский ничего не видит,МАМБ обнаружил 200 пнп с 2345.com,удалил,ребут все осталось на месте. Что крутить,куда вертеть?

 

[DronYa]

примерно такие закарючки.

 

[highman3]

Почитать это http://www.tehnari.ru/f35/t113762/
Тема переносится в нужный раздел

 

[prima]

Обычное удаление
вызывает китайское контекстное меню...не разумею

Не нашёл, а ведь выкладывал... Удалялка от мелкомягких, которую они очень давно удалили со своих сайтов. Слишком мощный инструмент оказался )))
Устанавливаешь, находишь в списке и удаляешь.

 

[mike 1]

Не нашёл, а ведь выкладывал... Удалялка от мелкомягких, которую они очень давно удалили со своих сайтов. Слишком мощный инструмент оказался )))
Устанавливаешь, находишь в списке и удаляешь.

Пожалуйста изучите правила данного раздела перед тем как писать какие-то сообщения в данном разделе. Не знание правил не освобождает от ответственности.

 

[prima]

Пожалуйста изучите правила данного раздела перед тем как писать какие-то сообщения в данном разделе. Не знание правил не освобождает от ответственности.

Пожалуйста, не говорите мне, что делать, и я не скажу, куда вам идти!
Человек не может удалить программу из-за незнания языка. Я предлагаю штатное средство удаления подобных вещей от Microsoft, и не имеет значения, в каком разделе тема.

 

[mike 1]

Цитата:
Сообщение от mike 1
Пожалуйста изучите правила данного раздела перед тем как писать какие-то сообщения в данном разделе. Не знание правил не освобождает от ответственности.
Пожалуйста, не говорите мне, что делать, и я не скажу, куда вам идти!
Человек не может удалить программу из-за незнания языка. Я предлагаю штатное средство удаления подобных вещей от Microsoft, и не имеет значения, в каком разделе тема.

Что-то не вижу вас в списке людей, которые имеют право оказывать расширенную помощь в удалении вредоносных программ в данном разделе. Так что будьте любезны всё таки соблюдать правила данного раздела.

 

[DronYa]

закрывайте тему.вроде избавился

 

[mike 1]

Уверены, что кусков не осталось?

 

[DronYa]

нет, не уверен...но пока в ДЗ пусто и так, визуально не наблюдаю

 

[prima]

А как избавился?

 

[AlexZir]

DronYa
Сделайте лог автозапуска для проверки. Лог сделайте актуальной версией uVS. Актуальную версию можно скачать отсюда Редактор субтитров DSRT, uVS и прочий бесплатный софт

 

[DronYa]

prima revouninstaller.com/revo_uninstaller_free_download.html

 

[DronYa]

AlexZir
образ автозапуска в uVS

 

[prima]

Вот интересная штучка: https://geekuninstaller.com/ru

 

[DronYa]

tehno040 похоже аналогичного действия

 

[AlexZir]

Да, ничего особо подозрительного не вижу в логе, кроме измененного HOSTS. Может, Михаил что-нибудь скажет.

 

[mike 1]

Здравствуйте.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.23 [http://dsrt.dyndns.org]
   ;Target OS: NTv5.1
   v400c
   breg
   
   exec C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKDKFNBDDPDPIDBPNLJCOCPJEAAFNGDB%26INSTALLSOURCE%3DONDEMAND%26UC
   delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\UNINSTALL.EXE
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[DronYa]

mike 1 отчет Addition.txt и FRST.txt создался параллельно

 

[mike 1]

Включите восстановление системы и создайте точку восстановления.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   

   CreateRestorePoint:
   CloseProcesses:
   HKU\S-1-5-21-1935655697-1592454029-682003330-500\...\Policies\Explorer: [] 
   HKU\S-1-5-21-1935655697-1592454029-682003330-500\...\MountPoints2: I - I:\AutoRun.exe
   HKU\S-1-5-21-1935655697-1592454029-682003330-500\...\MountPoints2: {3efc14c7-c7db-11e7-8acd-001c256dbf03} - G:\AutoRun.exe
   HKU\S-1-5-21-1935655697-1592454029-682003330-500\...\MountPoints2: {3efc14f4-c7db-11e7-8acd-08002700f459} - I:\AutoRun.exe
   HKU\S-1-5-21-1935655697-1592454029-682003330-500\...\MountPoints2: {4d8160fb-5c44-11e8-a288-001c256dbf03} - I:\AutoRun.exe
   HKU\S-1-5-21-1935655697-1592454029-682003330-500\...\MountPoints2: {5cf0aa95-d84e-11e8-a50b-001c256dbf03} - L:\autorun.exe
   HKU\S-1-5-21-1935655697-1592454029-682003330-500\...\MountPoints2: {67b60b87-d0b8-11e8-a9c8-001e101f6c46} - I:\AutoRun.exe
   HKU\S-1-5-21-1935655697-1592454029-682003330-500\...\MountPoints2: {884c49bf-1ebb-11e8-ac0c-001e101ffb86} - K:\autorun.exe
   HKU\S-1-5-21-1935655697-1592454029-682003330-500\...\MountPoints2: {fcbd6539-28fe-11e8-b39c-001c256dbf03} - I:\AutoRun.exe
   Toolbar: HKU\S-1-5-21-1935655697-1592454029-682003330-500 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
   2018-01-09 21:06 - 2018-01-09 21:07 - 000000128 ____H () C:\Documents and Settings\Admin\Application Data\d9135c394decbfc1cfce595848be5701eeb798e2
   2018-01-09 21:06 - 2018-01-09 21:06 - 000000128 ____H () C:\Documents and Settings\Admin\Application Data\ecf00c38dc807e105d881c433a6b455dd2c606b6
   2018-01-09 21:06 - 2018-01-09 21:07 - 000000128 ____H () C:\Documents and Settings\All Users\Application Data\d9135c394decbfc1cfce595848be5701eeb798e2
   2018-01-09 21:06 - 2018-01-09 21:06 - 000000128 ____H () C:\Documents and Settings\All Users\Application Data\ecf00c38dc807e105d881c433a6b455dd2c606b6
   StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Admin\Local Settings\Application Data\MediaGet2\mediaget.exe] => Enabled:MediaGet

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.