Помогите, пожалуйста, прогнать вирусы

Lamaro · 17 Май 2017

Помогите, пожалуйста, прогнать вирусы

Здравствуйте все!

Пыталась недавно найти в интернете ключ к одной программе, вместо него наловила вирусов. Происходило нечто ужасное, но мне удалось более-менее их поубивать, комп работает нормально, но - периодически выскакивают на рабочем столе ярлыки каких-то, видимо, игр, которые я не заказывала. А именно - BigFarm (в свойствах показывает, что оно находится по адресу "C:\Program Files (x86)\Opera\launcher.exe"http://bigfarm.goodgamestudios.com/?w=239064) и big_bang_empire (по адресу "C:\Program Files (x86)\Opera\launcher.exe"http://www.bigbangempire.com/?ref=281-000-000-005). Я не знаю, как их оттуда прогнать, время от времени просто удаляю ярлыки, но через какое-то время они появляются снова.

Еще время от времени на панели задач возникает ярлык Mozilla Firefox, которого я опять же туда не заказывала (пользуюсь Оперой, хотя на всякий случай есть и Файрфокс, и Гугл Хром, но на панель задач я их не ставила).

Также периодически Файрфокс самоназначается браузером по умолчанию, хотя таковым всегда была Опера. Я переназначаю Оперу браузером по умолчанию в ее настройках, но через какое-то время Файрфокс снова самоназначается.

Есть программа CCleaner, я там поотключала кой-какие startup-настройки, временно помогло, но проблема возникла снова.

Помогите, пожалуйста, прогнать все эти бяки.

safety · 17 Май 2017

добавьте образ автозапуска системы
http://www.tehnari.ru/f150/t81269/

Tiger-Cub · 17 Май 2017

Скачайте программу Adwcleaner и запустите её. Я так избавился от подобного мусора.

Lamaro · 18 Май 2017

safety написал(а):
добавьте образ автозапуска системы
http://www.tehnari.ru/f150/t81269/

............................................................................
Спасибо!

Lamaro · 18 Май 2017

Tiger-Cub, у меня такая программа есть, она вроде что-то вычистила, но проблема возникла снова...

safety · 18 Май 2017

Lamaro написал(а):
............................................................................
Спасибо!

переделайте образ актуальной версией uVS, у вас сейчас устаревшая версия
uVS v3.83.1 [http://dsrt.dyndns.org]: Windows 7 Professional x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]

скачать актуальную можно отсюда:
http://chklst.ru/data/uVS latest/uvs_latest.zip

Lamaro · 18 Май 2017

safety написал(а):
переделайте образ актуальной версией uVS, у вас сейчас устаревшая версия
uVS v3.83.1 [http://dsrt.dyndns.org]: Windows 7 Professional x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]

скачать актуальную можно отсюда:
http://chklst.ru/data/uVS latest/uvs_latest.zip

Сорри... переделала.

safety · 19 Май 2017

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v4.0.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\POISON\APPDATA\LOCAL\BACKGROUND_FAULT\QQIME.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\LLL\UC.EXE
delall %SystemDrive%\PROGRAMDATA\IGFXDH.DLL

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT ONEDRIVE\SETUP\SYNCTOOL.DLL
addsgn A7679B1928664D070E3CE3B564C8ED70357589FA768F17903B3D3A43D3127D11E11BC302B5B9CBB65E880F6EAE4E49FA7D18EE5AC7DBA0A7EB29F9EDC306A112 64 Win32/Adware.ELEX 7

zoo %SystemDrive%\USERS\POISON\APPDATA\ROAMING\WINSAPSVC\WINSAP.DLL
addsgn A7679B1928664D070E3C2C7364C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DA5B032906C1B681649C9BD9F6307595F4659214E91F7C31D327C 64 AdWare.Win32.ELEX 7

zoo %SystemDrive%\PROGRAM FILES (X86)\MIO\MIO.EXE
addsgn 1A40D09A55835A8CF42B627D0CE86A4525EE03C389FA1F780E87E1ACD9BA555CAE7BE74715B5CE1F7C21607E051678BF81EC2D22DCBF58D3588F2F6A3BC1678F 8 Win32/Tencent 7

zoo %SystemDrive%\USERS\POISON\APPDATA\LOCAL\BACKGROUND_FAULT\BF.DLL
addsgn A7679B1928664D070E3C273F64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D5D312F906C86551649C9BD9F6307595F4659214E916F1F02327C 64 Adware.Mutabaha.3451 [DrWeb] 7

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\BIT\BIT.DLL
del %SystemDrive%\PROGRAMDATA\BIT\BIT.DLL
delref HTTP://API.SUIBIANMAIMAICOM.COM/WDCXWD5000LPVX-22V0TT0_WD-WX31A95EYR6FEYR6F.DAT
delref 324095823984.EXE
delref 8736459873644.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCLPDGMDKDNIJJBGMNAJOLNBNJEJOEOGM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\TEMP\SKY9D47.TMP
delref %SystemDrive%\USERS\POISON\APPDATA\LOCAL\TEMP\IS-0MFBC.TMP\SETUP.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\COMMON\MSDEV98\BIN\MSDEV.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {A422D3DC-3076-11E7-A57B-64006A5CFC23}\[CLSID]
delref %Sys32%\BLANK.HTM
delref TBS\[SERVICE]
delref %Sys32%\DRIVERS\PORTTALK.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\WINDOWSTM\TMKERNEL.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID]
delref {A8DC7D60-AD8F-491E-9A84-8FF901E7556E}\[CLSID]
delref %SystemDrive%\USERS\POISON\APPDATA\ROAMING\ICQM\ICQSETUP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YEADESKTOP\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YEADESKTOP\YEADESKTOP.EXE
;-------------------------------------------------------------
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

Lamaro · 19 Май 2017

Спасибо!
А этот скрипт не убьет ключи от Фотошопа, Иллюстратора и др. программ? А то однажды несколько лет назад такое уже было - при запуске аналогичного скрипта все ключи исчезли, программы перестали работать и начали требовать этих самых ключей, пришлось искать их заново, по ходу действия опять вирусов наловила...

Lamaro · 21 Май 2017

В общем, всё сделала, ключи на всякий случай скопировала на внешний жесткий диск, но они и так выжили

Вроде, каких-то явных проблем после выполнения скрипта пока не вижу.

Результат сканирования в Malwarebytes прилагается.

safety · 21 Май 2017

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

safety · 21 Май 2017

Lamaro,
браузеры надо скачивать для установки с официальных сайтов, а не по первой ссылке из поиска.

C:\PROGRAM FILES (X86)\FIREFOX\BIN\FIREFOXUPDATE.EXE
Действительна, подписано Chao Wei
a variant of Win32/Adware.ELEX.NQ

C:\PROGRAM FILES (X86)\FIREFOX\FIREFOX.EXE
Действительна, подписано Mengmeng Wang

Lamaro · 21 Май 2017

safety написал(а):
Lamaro,
браузеры надо скачивать для установки с официальных сайтов, а не по первой ссылке из поиска.

Так я так и делаю... это вот, что вы процитировали, не знаю откуда взялось, это вирусы, видимо, сделали, я такое не качала точно

Они мне изначально вообще поменяли рабочий стол (сделали какой-то дикий шрифт ярлыков, отовсюду торчали какие-то странные куски каких-то окон и всё это дико тормозило), я убила какие-то самоустановившиеся программы (некоторые требовали ввода контрольного кода на китайском, но я их все равно как-то убила) и внешне всё стало более-менее, кроме тех проблем, ради которых я создала тему. Сейчас и их вроде нет, но я разумеется сделаю то, что вы рекомендуете, спасибо!

Lamaro · 22 Май 2017

Всё сделала, вот логи FRST.

safety · 22 Май 2017

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.initialpage123.com/search/?q={searchTerms}&z=028ddc86c5738f2c59013d9g8zct3cct6gft4g2o7b&from=wak&uid=WDCXWD5000LPVX-22V0TT0_WD-WX31A95EYR6FEYR6F&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData -> 30initialpage123
CHR HKLM-x32\...\Chrome\Extension: [bfdlbgbpgjichdjjmkdcpagfggicjfom] - C:\Program Files (x86)\Аудио и видео скачивание\avdownloader-sk.crx [2014-09-29]
EmptyTemp:
Reboot:

Lamaro · 23 Май 2017

Сделано......................

Lamaro · 24 Май 2017

Вы не поверите, но у меня опять всё то же самое: файрфокс влез на панель задач (вместе с гугл хромом) (и я кстати сейчас вот усомнилась, а был ли у меня вообще файрфокс до всей этой истории, возможно и не было, не помню к сожалению). А на рабочем столе опять BigFarm и big_bang_empire. И в этот раз я ничего не делала вообще, не искала и не качала никакие ключи ни отчего, вообще ничего такого не делала.

Я так понимаю, последовательность действий та же самая, то есть для начала я создаю образ автозапуска в uVS?

Lamaro · 24 Май 2017

В общем вот.....

safety · 26 Май 2017

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\PACKAGE CACHE\{E01CB7F1-3E88-4450-1764-B3CC1E205C4A}V10.1.14393.795\INSTALLERS\30DAF459E79C5D26366654B1B482E87.CAB:DP
addsgn A7679B1928664D070E3CB0B564C8ED70357589FA768F17903B3D3A43D3127D11E11BC302B5B9CBB65E880F6EAE4E49FA7D18EE0A45DAA0A7EB29F9EDC306A112 64 Win32/Adware.ELEX 7

zoo %SystemDrive%\PROGRAM FILES (X86)\MIO\MIO.EXE
addsgn 1A40D09A55835A8CF42B627D0CE86A4525EE03C389FA1F780E87E1ACD9BA555CAE7BE74715B5CE1F7C21607E051678BF81EC2D22DCBF58D3588F2F6A3BC1678F 8 Win32/Tencent 7

zoo %SystemDrive%\PROGRAM FILES (X86)\FIREFOX\BIN\FIREFOXUPDATE.EXE
addsgn 1A04739A5583C28CF42BFB3A889EED702D010D1ED1FA1F7842C571ED11D6FA8A7D4A01533ED6FC4D2B0B451C271E493D3CDB542314DA772D9926E52F0453A99F 8 Adware.Mutabaha 7

chklst
delvir

REGT 35
delref %SystemDrive%\USERS\POISON\APPDATA\ROAMING\WINSAPSVC\WINSAP.DLL
del %SystemDrive%\USERS\POISON\APPDATA\ROAMING\WINSAPSVC\WINSAP.DLL
delref %SystemDrive%\PROGRAMDATA\BIT\BIT.DLL
del %SystemDrive%\PROGRAMDATA\BIT\BIT.DLL
delref HTTP://API.SUIBIANMAIMAICOM.COM/WDCXWD5000LPVX-22V0TT0_WD-WX31A95EYR6FEYR6F.DAT
delref 324095823984.EXE
delref 8736459873644.EXE
delref %SystemDrive%\USERS\POISON\APPDATA\LOCAL\CSHMDR\SNARE.DLL
del %SystemDrive%\USERS\POISON\APPDATA\LOCAL\CSHMDR\SNARE.DLL
delref %SystemDrive%\USERS\POISON\APPDATA\LOCAL\SNARE\SNARE.DLL
del %SystemDrive%\USERS\POISON\APPDATA\LOCAL\SNARE\SNARE.DLL
apply

deltmp
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

Lamaro · 28 Май 2017

............................................

Помогите, пожалуйста, прогнать вирусы

Новые

Новые

Дизайнер-конструктор

Новые

Вложения

Новые

Новые

Новые

Вложения

Новые

Новые

Новые

Вложения

Новые

Новые

Новые

Новые

Вложения

Новые

Новые

Вложения

Новые

Новые

Вложения

Новые

Новые

Вложения