• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Подцепил бациллу AdAntiHS

А

Андрей Ш

Новые
Регистрация
5 Дек 2016
Сообщения
17
Реакции
0
Баллы
0
Подцепил бациллу AdAntiHS

Добрый день. Подцепил бациллу. Создается в папке C:\Users\User\AppData\Roaming папка AdAnti и в ней файл AdantiHS.dll. Пока не создастся (20-30) мин после старта ПК (2-х,4-х перезагрузок) вместо рабочего стола чёрный экран. Где-то в "запускном" (конфигурационном) файле бацилла прописала создание этого файла. Найти бы и удалить. Правильный ход мыслей или дилетантский? Подскажите плз.
 
из безопасного режима системы SAfe mode сделайте образ автозапуска системы.
http://www.tehnari.ru/f150/t81269/
посмотрим, что там есть.
 
Добрый день. Сделал образ автозапуска. Кстати при безопасной загрузке, как только открылся рабочий стол файл, создаваемый бациллой, уже на месте.
 

Вложения

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код: 
;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
del %SystemDrive%\$RECYCLE.BIN\S-1-5-21-28574037-2342348525-3242120845-1000\$I9XC0TJ.EXE

del %SystemDrive%\$RECYCLE.BIN\S-1-5-21-28574037-2342348525-3242120845-1000\$I4N7780.EXE

del %SystemDrive%\$RECYCLE.BIN\S-1-5-21-28574037-2342348525-3242120845-1000\$ILJ13DM.EXE

del %SystemDrive%\$RECYCLE.BIN\S-1-5-21-28574037-2342348525-3242120845-1000\$I2QTL7H.EXE

delref %Sys32%\DRIVERS\QPJWLP.SYS
del %Sys32%\DRIVERS\QPJWLP.SYS

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
 
А нельзя ли как-нибудь сохраниться, чтобы в случае неудачи можно было откатить назад? Поймите меня правильно. На ПК много ВАЖНЫХ программ и он мне нужен постоянно - это моя работа. Я воюю с бациллой с начала сентября этого года с помощью службы поддержки д-р Веб (этот антивирус был у меня, постоянно убивал создаваемый AdAntiHS и постоянно проблемы при вкл. ПК) и с каждым новым действием, который девушка Зоя подсказывала, становилось только хуже. Изначально было так: дочка скачивала решебники для школы и установила китайский tencent или baibu или оба вместе. Я в панели управления нашел прогу с иероглифами и попытался удалить - не удалялась. Я нашел путь к папке с программой, нашел uninstall, нажал, появилось окно с китайским комиксом и две кнопки с иероглифами "зеленая" справа и "красная" слева. Нажал зеленую, окно деинсталляции закрылось. Опять нажал uninstall и на этот раз нажал красную. Опять появилось новое окно с новыми красной и зеленой кнопками, подписанными иероглифами. Изображение на мультике выглядело угрожающе. Нажал зеленую, всё закрылось. Я в третий раз нажал uninstall и далее нажимал подряд три раза красную кнопку не обращая внимания на всё более угрожающие картинки. Деинсталляция прошла, ярлык с рабочего стола исчез, но файлы из папки удалились не все. Я их попробывал удалить, и увидел надпись, что нужно завершить процесс. Вот тогда я в первый раз и увидел в диспетчере программ AdAntiHS. После этого этот файл (тогда он был AdAntiHS.exe) при включении ПК стал появляться в папках:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup или C:\Users\User\AppData\Roaming, создавая предварительно папку AdAnti. Всегда были проблемы с загрузкой ПК. Последнее, что тех. поддержка посоветовала, это чистая загрузка Windows. После этого AdAntiHS.exe сменился на AdAntiHS.dll. Вот такая история.
 
можете создать точку восстановления перед выполнением скрипта.
 
Извините, я не знаю как это делать.
 
Здравствуйте. Выполнил скрипт, никакого успеха, всё по старому. Просканировал Malware, нашел кучу всего, удалил, но не похоже это на китайскую фигню. Похоже они(китайцы) что-то похитрее придумали, где-то прячется эта бацилла. Завтра загружусь с утра, напишу есть ли изменения. Спасибо.
 

Вложения

далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

+
добавьте новый образ автозапуска из uVS
или еще лучше добавить образ автозапуска из под Winpe&uVS (возможно используется сокрытие файлов)
http://www.tehnari.ru/f150/t83774/

скачать можно отсюда:
но скачивать файл лучше в Chrome. (в FF может быть ошибка в текущей версии 50)
единственно, придется зарегистрироваться на MEGA
 
Добрый вечер. Я не очень хорошо разбираюсь в ПК, поэтому нужно всё читать........
правда не уверен правильно ли всё сделал?
Спасибо.
 

Вложения

Добрый вечер. Я не сильно разбираюсь в ПК. Везде нужно всё читать, изучать.......не знаю правильно ли всё сделал?
 

Вложения

Андрей,
у вас в образе выполнен анализ для системы с загрузочного диска Winpe.
необходимо в стартовом меню выбрать для анализа ка каталог системы с проблемного диска.

http://www.tehnari.ru/attachments/f150/116456d1357811428-start.jpg

после этого выбирать опцию - текущий пользователя.

чтобы uVS выполнил анализ проблемной системы, а не систему загрузочного диска.
 
да, правильно.

выполните в uVS скрипт из файла, так же загружаемся с winpe и выбираем вашу систему на диске.

отсюда скачайте скрипт.
Посмотреть вложение script02.txt
 
добавил скрипт на локальный сервер в 15 сообщение. проверьте
 
Добрый вечер. ВСЁ!!!! четыре месяца борьбы и переживаний. Так ПК работал только после покупки. Даже стал как прежде ложиться в сон. Дайте Ваш яндекс кошелёк или мобильник я с удовольствием Вас отблагодарю:ku-y:
 
ок, хорошо все, что хорошо заканчивается. :). ответил в ПМ.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху