• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Вирусы завладели компом

  • Автор темы Автор темы alfsooqa
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.
A

alfsooqa

Новые
Регистрация
28 Июн 2015
Сообщения
27
Реакции
0
Баллы
0
Вирусы завладели компом

Ребят, всем привет, выручайте.. Отключил на денек adblock.. Была открыта вики-страница по игре и вк пару вкладок, играл в игру, вдруг меня выкинуло на раб стол и я увидел знакомые мать их ярлыки, амиго и прочая фигня.. Я же не долго думая начал пытаться остановить сие действие, завершать процессы удалять через диспетчер ковыряться в msconfig, но я не успевал ниче делать, как все новая ерунда устанавливалась, в итоге все это, как же хочется заматериться, изменило мне хром, залезло в hosts не пускает на сайты с антивирусами, да и в принципе инет через силу работает, malware bytes не открывается, хотя процесс существует.. в общем полная задница.. я кое как сделал логи в uvs и avz но блин!! не могу залить потому что нет 20 сообщений!! пришлось прикрепить к посту.. что это вообще за ернуда.. простите конечно, но когда человеку нужна помощь - у него может не быть времени а то и возможности набирать эти 20 сообщений.. да еще и не оффтоп... многие кто пришел с pchelp со мной согласятся, прошу прощения, помогите пожалуйста, с ума сойду скоро..
 

Вложения

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код: 
;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCAL\7774633137_2547\S_INST.EXE
addsgn 98EC888FC5EA0F72A8548EF164A20355DA9F8C77CAFABCFCA583C5D450A9714C49173C4252D4DE498808A4DF467E39DA3DDF1767055BF32CA8B7ABAB45062273 8 Trojan.Win32.Yakes.ptqx [Kaspersky]

zoo %SystemDrive%\USERS\АЛЬФ\APPDATA\ROAMING\URLCONTROL_\URL_OPENER.EXE
addsgn 98EC888FC59A0E72A8548EF164A20355DA9F8C07CBFABCFCA583C5D450A9714C49173C4252A4DF498808A4DF467E39DA3DDF1767052BF22CA8B7ABAB45062273 8 Trojan.Win32.Yakes.ptqy [Kaspersky]

zoo %SystemDrive%\PROGRAMDATA\LAMZAP\DINGFLEX.DLL
addsgn A7679B1928664D070E3C125B64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D1DCC28906CE3531649C9BD9F6307595F4659214E91E31205327C 64 Win32/Toolbar.Linkury

zoo %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCAL\SUNNYDAY21\USUN.EXE
addsgn 1A05CA9A5583C58CF42B254E3143FEFA5082AD1E68441F78DC9A987E54D6FAB372D0C2A3093C9DA1763E849F1FD5C20528540424DE2B58CFD2885BD9820E2307 8 Win32/Adware.EoRezo

zoo %SystemDrive%\PROGRAMDATA\LAMZAP\XXX-ECO.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B875564D235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 Win64/Toolbar.Linkury

zoo %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\FUGUP.EXE
addsgn 1A23739A5583CC8CF42B519434BA5005E946303A4536D3B44990933714F26947E362DBDC727189C26FA494AC94E1B871A554AC56592D41A7FE9CE5A40F8D7E57 8 sgn.Ujuv Relao

zoo %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\ETIRUVDHJY.EXE
addsgn 1AF2729A5583CC8CF42B627DA804DEC9E946303A4536D3B4D648819844DDB1393B9C8F732EDED96D27B35668B79D0DDE752819F997E962C77DFC6CA49B2232F8 8 new_file

zoo %SystemDrive%\PROGRAM FILES (X86)\2A06FFE0-1465491438-11E5-932D-305A3AE6B1B7\KNSL9C97.TMPFS
addsgn 1A993F9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B38629471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 Win32/Adware.ConvertAd

zoo %SystemDrive%\USERS\АЛЬФ\APPDATA\ROAMING\MIFNOEA\MIFNOEA.EXE
addsgn 1A2F739A5583CC8CF42BFB3A8849FE21268AFCA5DF90089043D6C4BCD5160549A85ACB9A17666BC4AE5C7860B97E85F87DDFBE22DCEFCCA06F774CF6DF0622F0 8 new_file

zoo %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\PHIKOKSO.EXE
addsgn 1A46739A5583CC8CF42BFB3A8849FE21268AFCA5DF900890A93CC5BCD5160549A85ACB9A17666BC4AE5C7860B97E85F87DDFBE22DCEF94F16E774C22D80622F0 8 new_file

zoo %SystemDrive%\PROGRAM FILES (X86)\2A06FFE0-1465492054-11E5-932D-305A3AE6B1B7\KNSPFD3D.TMPFS
addsgn 1ABF309A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BD8129471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 Win32/Adware.ConvertAd

zoo %SystemDrive%\PROGRAM FILES (X86)\TAKEOWNERSHIPEX\UNINST.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC108506CA7A 21 Win32/ExtenBro.CU [ESET-NOD32]

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\TAKEOWNERSHIPEX\UNINST.EXE
chklst
delvir

delref VSUHDD9.DLL
delref %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCAL\PPTASSIST\NOTIFY.EXE
del %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCAL\PPTASSIST\NOTIFY.EXE

delref %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCAL\PPTASSIST\ASSISTUPDATE.EXE
del %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCAL\PPTASSIST\ASSISTUPDATE.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH

delref %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\TUMUC64.DLL
del %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\TUMUC64.DLL

delref %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\TUMUC.DLL
del %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\TUMUC.DLL

deldirex %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF

deldirex %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %Sys32%\DRIVERS\BSDPF64.SYS
del %Sys32%\DRIVERS\BSDPF64.SYS

delref %Sys32%\DRIVERS\BSDPR64.SYS
del %Sys32%\DRIVERS\BSDPR64.SYS

delref %Sys32%\DRIVERS\CHERIMOYA.SYS
del %Sys32%\DRIVERS\CHERIMOYA.SYS

delref %SystemDrive%\PROGRAM FILES (X86)\2A06FFE0-1465491438-11E5-932D-305A3AE6B1B7\JNSWBC3E.TMP

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR

delref %SystemDrive%\PROGRAM FILES (X86)\2A06FFE0-1465491438-11E5-932D-305A3AE6B1B7\HNSBD50D.TMP

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

delref %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
delref HTTP:\\YEABESTS.CC
deldirex %SystemDrive%\USERS\АЛЬФ\APPDATA\ROAMING\ASPACKAGE

deldirex %SystemDrive%\USERS\АЛЬФ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE

regt 27
; AdsToolBar version 1.0584
exec  C:\Program Files (x86)\AdsToolBar\unins000.exe
; AnySend
exec  C:\Users\Альф\AppData\Roaming\ASPackage\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
 
Выдает ошибку "Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено!"
 
еще раз пробуйте выполнить скрипт, поправил скрипт
 
интернет все так же через раз выдает ошибку подключения и работает медленно, именно серфинг, реклама везде и повсюду, даже вот на форуме, в любое место стоит ткнуть и открывается новая вкладка рекламная... malwarebytes не запускается.. :( еле прорвался сквозь рекламу, чтоб лог загрузить.... скриншот пришлось прикреплять в архиве.. не могу почему-то png залить, в msconfig нашел в службах какой-то loomzap.. вероятно его там не должно быть..
 

Вложения

Заметил еще уже второй раз, мелькает окно консоли раза так три на долю секунды
 
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код: 
;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\FUGUP.EXE
addsgn 1A23739A5583CC8CF42B519434BA5005E946303A4536D3B44990933714F26947E362DBDC727189C26FA494AC94E1B871A554AC56592D41A7FE9CE5A40F8D7E57 8 sgn.Ujuv Relao

zoo %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\ETIRUVDHJY.EXE
addsgn 1AF2729A5583CC8CF42B627DA804DEC9E946303A4536D3B4D648819844DDB1393B9C8F732EDED96D27B35668B79D0DDE752819F997E962C77DFC6CA49B2232F8 8 new_file

zoo %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\PHIKOKSO.EXE
addsgn 1A46739A5583CC8CF42BFB3A8849FE21268AFCA5DF900890A93CC5BCD5160549A85ACB9A17666BC4AE5C7860B97E85F87DDFBE22DCEF94F16E774C22D80622F0 8 new_file

zoo %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCAL\2A06FFE0-1465618556-11E5-932D-305A3AE6B1B7\QNSF6321.TMP
addsgn 1A26069A5583C58CF42B254E3143FE8E60825F4EDBB81F2546483AE9DB3A201ADC227B057C55625C4F30C59FCDE6C2BF755A2807433202292D77CE39998F129B 64 Win32/Adware.ConvertAd


zoo %SystemDrive%\PROGRAM FILES (X86)\2A06FFE0-1465491438-11E5-932D-305A3AE6B1B7\KNSXC5FF.TMP
delall %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCAL\APPS\2.0\ABRIL.EXE
delall %SystemDrive%\PROGRAMDATA\CLOUDPRINTER\CLOUDPRINTER.EXE
delall %SystemDrive%\PROGRAMDATA\LAMZAP\LAMZAP.EXE
delall %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\SUNNEUIU.EXE
delall %SystemDrive%\PROGRAM FILES\SHVIQSAUBG\SUNNEUIU64.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\LAMZAP\DOUBLECOM.DLL

delref %SystemDrive%\PROGRAMDATA\LAMZAP\ZATHQVODOX.DLL

delref %Sys32%\DRIVERS\CHERIMOYA.SYS

delref %SystemDrive%\USERS\АЛЬФ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

; AdsToolBar version 1.0584
exec  C:\Program Files (x86)\AdsToolBar\unins000.exe
; AnySend
exec  C:\Users\Альф\AppData\Roaming\ASPackage\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

новый образ не нужен, сразу сканируем в малваребайт.
 
малвар не запускается все равно.. реклама вроде пропала, при открытии браузера открывается ссылка рекламная yeabests, и кстати все три раза после чистки дополнения мейловские в хром ставятся..
 
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/
 
отправляю логи, малвар по прежнему не хочет запускаться, однако самочувствие кома стало лучше. инет вернулся в привычное состояние, дополнений небыло, если возникнут вопросы - да, малвар работал до того как все случилось)
 

Вложения

хотя рекламные вкладки все равно открываются редиректом при чем
 
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код: 
 CHR HKU\S-1-5-21-2551474072-1572475219-3526815125-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR StartupUrls: ChromeDefaultData -> "hxxp://www.yoursearching.com/?type=hp&ts=1458238234&z=b803080079d778399c8b326g5z3w2b8o1c1b7o3o0g&from=free&uid=WDCXWD10JPVX-22JC3T0_WD-WXR1E945TELR5TELR","hxxp://mail.ru/cnt/10445?gp=821601","hxxp://www.yessearches.com/?mode=nnnb&ptid=sqr1&uid=E8786A39721FCAF0A52185919789F0AC&v=20160323&ts=AHEpC3YnA3UqBE..","hxxp://www.yessearches.com/?mode=nnnb&ptid=sqr1&uid=E8786A39721FCAF0A52185919789F0AC&v=20160323&ts=AHEpC3YnAn4nAE..","hxxp://www.yessearches.com/?mode=nnnb&ptid=sqr1&uid=E8786A39721FCAF0A52185919789F0AC&v=20160323&ts=AHEpC3YnB30tBE..","hxxp://www.yessearches.com/?mode=nnnb&ptid=sqr1&uid=E8786A39721FCAF0A52185919789F0AC&v=20160323&ts=AHEpC3YnB38tC0..","hxxp://www.hohosearch.com/?mode=nnnb&ptid=fss&uid=E8786A39721FCAF0A52185919789F0AC&v=20160421&ts=AHEqAH8qAX4qA0..","hxxp://mail.ru/cnt/10445?gp=820473","hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqBHEtAHItA0..&v=20160607&uid=DDDD3930F378B882A1E111C09D72A51F&ptid=ftp&mode=loadm","hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqBHEtAX4mCE..&v=20160607&uid=DDDD3930F378B882A1E111C09D72A51F&ptid=sqr1&mode=loadm"
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
S2 Lamzap; C:\ProgramData\\Lamzap\\Lamzap.exe shuz -f "C:\ProgramData\\Lamzap\\Lamzap.dat" -l -a
EmptyTemp:
Reboot:
 
Отправляю лог FRST, а что с малваром теперь делать?
 

Вложения

что с проблемой сейчас?
 
реклама снова вылезает, нажимаю на какую-нибудь ссылку и открывается новая вкладка с рекламой. также малвар не хочет запускаться
 

Вложения

  • Скриншот 11-06-2016 173127.png.webp
    Скриншот 11-06-2016 173127.png.webp
    26.9 KB · Просмотры: 113
ок, добавьте новый образ автозапуска.
 
ну вроде бы все ок, но что делать с малваром?( почему не запускается?
 
какую версию мбам вы используете? портабельную, или с установкой из пакета?
рекомендуем использовать mbam с официального сайта компании malwarebates
https://downloads.malwarebytes.org/file/mbam_current/
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху