Реклама, Амиго и китайская чертовщина

[ibodl]

Реклама, Амиго и китайская чертовщина

Здравствуйте, помогите пожалуйста разобраться с вирусами. лог uvs не могу выложить из-за зашиты от спама. как прикреплять его?

 

[ibodl]

win 7 ultimate
notebook
amd e-450
оперативка 4 гига
началось после попытки скачать книгу. постоянно в углу висит много оконо с китайской рекламой, много новых левых ярлыков на рабочем столе. скрытая папка programData, где хранится все это безобразие. явнот установщики есть еще и во временных файлах

 

[Гризлик]

лог uvs не могу выложить из-за зашиты от спама. как прикреплять его?

По аналогии http://www.tehnari.ru/f8/t32642/

 

[ibodl]

тогда вот лог

 

[Гризлик]

Скопируйте код ниже в буфер обмена

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
sreg

delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\TSDEFENSEBT64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\TSSYSKIT64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\TSNETHLPX64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\TS888X64.SYS
delref %Sys32%\DRIVERS\TSSKX64.SYS
delref %Sys32%\DRIVERS\TFSFLTX64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
delref %Sys32%\DRIVERS\TAOKERNEL64.SYS
delref %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\SREPAIRDRV
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\SOFTAAL64.SYS
delref %SystemDrive%\PROGRAMDATA\SETUP_QG00.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\QQSYSMONX64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\QQREPAIRFIXSVC
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\QQREPAIR18F1
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\QQPCTRAY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\QQPCHW-X64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\QMUDISK64.SYS
delref %SystemDrive%\PROGRAMDATA\TENCENT\QQPCMGR\QUARANTINE\QMQUARANTINE.EXE
areg

deltmp
delnfr
restart

Закройте все браузеры. Запустите UVS под текущим пользователем. В меню: Скрипты--Выполнить из буфера обмена. После перезагрузки выложите новый образ автозапуска

 

[ibodl]

сделал, после этого грузится сама винда, окно приветствия/выбора пользователя, дальше черный экран, explorer не запускается, вылезает ошибка
windows logon user interface host: wermgr.exe - ошибка приложения
Инструкция по адресу 0х80017f30 обратилась к памяти по адресу0хffffffff. Память не может быть read.
при попытке запуска диспетчера вылезает ошибка
Не удалось отобразить параметры безопасности и завершения работы.
я так понимаю мне искать установочный диск винды и делать откат к точке восстановления или через этот же диск через командную строку "sfc /scannow"?

 

[safety]

ibodl,
пробуйте загрузить рабочий стол в безопасном режиме системы.
если загрузится, то сделайте из безопасного режима новый образ автозапуска, и добавьте на форум в ваше сообщение.

 

[ibodl]

ibodl,
пробуйте загрузить рабочий стол в безопасном режиме системы.
если загрузится, то сделайте из безопасного режима новый образ автозапуска, и добавьте на форум в ваше сообщение.

пробовал. тоже не запускает explorer. ctrl+alt+del выдает ту же ошибку.

 

[safety]

а скрипт из сообщения 5 удачно завершился? не было сообщений об ошибках или прекращении выполнения скрипта?

 

[ibodl]

а скрипт из сообщения 5 удачно завершился? не было сообщений об ошибках или прекращении выполнения скрипта?

не было ошибок

 

[safety]

пробуйте еще сделать образ автозапуска из под winpe&uVS
скачать загрузочный диск можно отсюда
https://mega.nz/#!tIlRzYxL!I3wiponcTnlCSJp1wTy1NuEtB4TacPMC9OvpBypXmNw

образ iso можно записать на флэшку с помощью ultraiso

как сделать образ автозапуска из под winpe
http://www.tehnari.ru/f150/t83774/

 

[ibodl]

в итоге поставил винду поверх старой ибо через точки восстановления не смог ничего сделать. на всякий случай лог uvs, хотя вирус по идее не мог успеть добавиться в автозапуск.
пойду сканировать антималваре

 

[safety]

да, новый образ чист

 

[ibodl]

я так понимаю anti-malvare не смотрел в папку виндовс.олд, потому что ничего не нашел. на очереди adw cleaner

 

[ibodl]

и не знаю тут же поднять тему или выделить в отдельную? тема защита компьютеров старого поколения и незнающих, потому что в данном случае даже при установленном comodo internet security был скачан файл приложение со значком архива, который разумеется был воспринят как архив со всеми вытекающими.
так вот в моей голове пока идея сделать другую учетку с запретом на установку приложений, кроме уже установленных. думаю как реализовать. хочу выслушать еще идеи.

 

[Гризлик]

Поищите на диске эти папки

C:\PROGRAM FILES (X86)\TENCENT
C:\PROGRAM FILES (X86)\COMMON FILES\TENCENT
C:\PROGRAMDATA\TENCENT

и файл

C:\PROGRAMDATA\SETUP_QG00.EXE

Если таковые найдутся то удалите их.

думаю как реализовать

Как вариант с помощью Родительского контроля

 

[ibodl]

хорошо, спасибо, папки уже удалил, установщик ищу.
Родительский контроль посмотрю.