• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о проекте и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

После удаления вирусов остались последствия

  • Автор темы Автор темы gal_b
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.
G

gal_b

Новые
Регистрация
19 Апр 2016
Сообщения
19
Реакции
0
Баллы
0
После удаления вирусов остались последствия

Был подцеплен какой-то вирус, много рекламных окон и программа QkSee постоянно запускалась. Почистила комп утилитой КАсперского, потом Malwarebytes Anti-Malware, нашел много вирусов adware.mutabaha.1181, все удалила, потом запустила AdwCleaner, очистила несколько папок и файлов, QkSee пропала отовсюду и больше не загружается, почистила диск и реестр Ccleaner, рекламы тоже нет, все работает нормально, но при перезагрузке в Program Files появляется папка hohobnd\dmp\pwtcchtsk.exe\ пустая... вот она меня и беспокоит. При повторном запуске AdwCleaner снова находится, удаляется и при перезагрузке снова появляется... в реестре в ветке Microsoft\Tracing\Pwtcchtsk_RASAPI32 есть какие-то строчки. Помогите, пожалуйста.
 
Прикрепляю образ диска

Создала образ диска программой uVZ
 

Вложения

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код: 
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\PWTYFEMUK\PWTCCHSRV.EXE
addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\UNCHECKIT\CKTSVC.EXE
del %SystemDrive%\PROGRAM FILES\UNCHECKIT\CKTSVC.EXE


deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
 
После выполнения скрипта

Скрипт выполнила, Malwarebytes проверила... нашел две угрозы в реестре, удалила... Теперь папка hohobnd исчезла и не появляется, зато после перезагрузки обновилась папка Pwtyfemuk, в ней лежит файл pwtcchtsk.exe. Прикрепляю новый образ загрузки.
 

Вложения

Office на китайском

И еще установился видимо с вирусом Office на китайском. Как удалить не знаю...
 
если WPS Office вам не нужен, пробуйте деинсталлировать его из установки/ удаления программ:

WPS Office (10.1.0.5603)
+
добавьте лог сканирования в мбам, посмотреть, что он там нашел.

+
вопрос: эту программу сами ставили?
Uncheckit
если нет, то ее тоже деинсталлируйте.
 
Папка hohobnd снова появилась. Ни китайский офис, ни uncheckit не ставила. При деинсталяции офиса, там все на китайском языке... пробовала, но программа доустанавливает еще какие-то модули этого офиса...
 
Прилагаю лог Malwarebytes

посылаю лог Malwarebytes
 

Вложения

  • 11.txt
    11.txt
    1.4 KB · Просмотры: 424
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код: 
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\PWTYFEMUK\PWTCCHTSK.EXE

sreg

delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\WPSCLOUDSVR.EXE
delref %SystemDrive%\PROGRAM FILES\UNCHECKIT\UNCHECKITSVC.EXE
delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\WTOOLEX\WPSUPDATE.EXE
delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\WTOOLEX\WPSNOTIFY.EXE
delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\UTILITY\UNINST.EXE
delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\KSOLAUNCH.EXE
areg
перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска
 
После выполнения скрипта

По-моему все вредоносные папки на месте и китайский офис тоже...:fase: Посылаю новый образ
 

Вложения

После выполнения скрипта

По моему все вредоносные папки и китайский офис на месте...:fase: Посылаю новый образ
 

Вложения

папки на месте, главное что в процессах ничего лишнего не было. :)
сейчас добавлю скрипт по новому образу
 
Malwarebytes ничего не нашел! Ура! уже что-то! Спасибо вам большое! Еще бы китайца выковырнуть...
 
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код: 
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\OFFICE6

deldirex %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE

deldirex %SystemDrive%\USERS\MAKAROVA\APPDATA\ROAMING\KINGSOFT\WPS\ADDONS\POOL\WIN-I386\RUBY_1.0.0.29

deldirex %SystemDrive%\USERS\MAKAROVA\APPDATA\ROAMING\KINGSOFT\WPS\ADDONS\POOL\WIN-I386\WPSMINISITE_1.0.0.51

deldirex %SystemDrive%\USERS\MAKAROVA\APPDATA\ROAMING\KINGSOFT\OFFICE6\UPDATE\DOWN

deldirex %SystemDrive%\USERS\MAKAROVA\APPDATA\ROAMING\KINGSOFT\WPS\ADDONS\POOL\WIN-I386\KTASKSCHDTOOL_1.0.0.1

deldirex %SystemDrive%\USERS\MAKAROVA\APPDATA\ROAMING\KINGSOFT\WPS\ADDONS\POOL\WIN-I386\PERFMON_1.0.0.5

deldirex %SystemDrive%\USERS\MAKAROVA\APPDATA\ROAMING\KINGSOFT\WPS\ADDONS\POOL\WIN-I386\KTASKSCHDTOOL_1.0.0.2

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.

если после скрипта останутся какие то папки от KingSoft\WPS - удалите их вручную. :)
 
Новый образ

Спасибо! Боюсь спугнуть, вроде как жизнь налаживается... Прикладываю новый образ
 

Вложения

если проблемы решены, закрываем уязвимости системы, обновляем программы
http://www.tehnari.ru/f150/t83677/
 
Уязвимости

Все папки подчистила вручную... вроде лишних в Program Files не появляется... Огромное спасибо!!! Пока не закрывайте тему, сейчас разберусь с уязвимостью...
 
Safety огромное-преогромное Вам спасибо! Очень-очень помогли! Все уязвимости, что нашел AVZ закрыла. Сейчас переустановлю DrWeb и работать с удовольствием!!!
 
хорошо. успешной работы. :)
закрываю теперь тему.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху