Вирус, троит клавиатура

Anatolii_K · 18.04.2016, 08:23

Доброго времени суток.

Прошу помощи.
неделю назад словил вирус пролечил удалил думал все прошло, но пару дней назад начались чудеса, Касперский блокирует переход по вредоносной ссылке, то начнутся устанавливаться левые программы. Тралил тремя антивирусами, что они находили удалял. Но оно всегда возвращается. Я уже готов снести винду, как появилось еще одно чудо с которым я не разберусь...

Имею ноутбук, и его родная клавиатура начала писать ересь, символы другие а иногда по несколько символов, сам открывается поиск, а при нажатии R вообще пишет время с компа. Думал сносить винду, но клавиатура троит и в биосе и в liveCD

Что самое интересное подключил другую клавиатуру через USB (родная в диспетчере устройств отмечена как ps/2) работает нормально, и экранная клавиатура тоже работает нормально.

похоже как будто проблема в железе но все началось в один момент после того как антивирь заблокировал еще один переход по ссылке, и я бы понял если клавиши перепутаны или подобное, но такие чудеса да еще и время показывать? подскажите что делать?

safety · 18.04.2016, 10:35

сделайте образ автозапуска с нормальной клавиатурой
Как создать образ автозапуска в uVS. Краткая инструкция

Anatolii_K · 18.04.2016, 13:52

Цитата:

Сообщение от safety

сделайте образ автозапуска с нормальной клавиатурой
Как создать образ автозапуска в uVS. Краткая инструкция

нормальной клавиатуры нет, пишу экранной

добавляю с отключенной клавиатурой, и с установленной родной

uVZ при запуске среди подозрительных файлов видит
322031719_MONSTER.EXE
C:\USERS\АНАТОЛИЙ\APPDATA\LOCAL\HOSTINSTALLER
антивирус вроде тоже ругался на этот файл, а сейчас нет. может это и есть проблема?

Гризлик · 18.04.2016, 14:24

Скопируйте код ниже в буфер обмена

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1A950B9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BFC849471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 

zoo %SystemDrive%\PROGRAM FILES (X86)\3157BB80-1460742626-81E1-3333-10BF482DD254\KNSV3BF1.TMPFS
delall %SystemDrive%\PROGRAM FILES (X86)\3157BB80-1460742626-81E1-3333-10BF482DD254\KNSV3BF1.TMPFS
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILHAPDFJLMHFDGDBEFPINEBIJMHJIJPN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\МАРГОША\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILHAPDFJLMHFDGDBEFPINEBIJMHJIJPN\1.2_0\PDF VIEWER
delref %SystemDrive%\USERS\АНАТОЛИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILHAPDFJLMHFDGDBEFPINEBIJMHJIJPN\1.2_0\PDF VIEWER
deltmp
delnfr
restart

Закройте все браузеры. Запустите UVS под текущим пользователем. В меню: Скрипты---ВЫполнить из буфера обмена. После перезагрузки выложите лог сканирования Malwarebytes

Anatolii_K · 18.04.2016, 15:01

лог Malwarebytes

Гризлик · 18.04.2016, 16:29

Цитата:

Сообщение от Anatolii_K

лог Malwarebytes

Всё найденое удалите.
Далее
Сделайте чистку в AdwCleaner. После окончания сканирования снимите галочки с записей Mail.ru и Yandex если таковые будут и вы ихними продуктами пользуетесь (в противном случае можете не снимать). И нажмите кнопку Очистить.

Затем выложите логи Farbar Recovery Scan Tool

Anatolii_K · 18.04.2016, 18:41

вот логи Farbar Recovery Scan Tool

Гризлик · 18.04.2016, 19:09

Скопируйте код ниже в блокнот

Код:

CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
Task: {31EAE1E7-2E3E-421F-B513-5980AF4CF196} - \ASC8_SkipUac_Анатолий -> No File <==== ATTENTION
Task: {38529B2D-2243-47C6-A953-5C3141E5E21E} - \{4A6D9688-5976-40D7-9762-25CED9919A4D} -> No File <==== ATTENTION
EmptyTemp:
Reboot:

И сохраните его как fixlist.txt в папку откуда была запущена утилита FRST Запустите Farbar Recovery Scan Tool и нажмите Fix. Программа создаст лог fixlog.txt выложите его в следующем сообщении

Anatolii_K · 18.04.2016, 19:16

лог fixlog.txt

Гризлик · 18.04.2016, 19:18

Что с проблемами?

18.04.2016, 08:23	#1 (permalink)
Anatolii_K Member Регистрация: 30.08.2011 Сообщений: 24 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Вирус, троит клавиатура Доброго времени суток. Прошу помощи. неделю назад словил вирус пролечил удалил думал все прошло, но пару дней назад начались чудеса, Касперский блокирует переход по вредоносной ссылке, то начнутся устанавливаться левые программы. Тралил тремя антивирусами, что они находили удалял. Но оно всегда возвращается. Я уже готов снести винду, как появилось еще одно чудо с которым я не разберусь... Имею ноутбук, и его родная клавиатура начала писать ересь, символы другие а иногда по несколько символов, сам открывается поиск, а при нажатии R вообще пишет время с компа. Думал сносить винду, но клавиатура троит и в биосе и в liveCD Что самое интересное подключил другую клавиатуру через USB (родная в диспетчере устройств отмечена как ps/2) работает нормально, и экранная клавиатура тоже работает нормально. похоже как будто проблема в железе но все началось в один момент после того как антивирь заблокировал еще один переход по ссылке, и я бы понял если клавиши перепутаны или подобное, но такие чудеса да еще и время показывать? подскажите что делать?

18.04.2016, 19:09	#8 (permalink)
Гризлик Мимо проходил Регистрация: 06.04.2008 Сообщений: 13,130 Сказал(а) спасибо: 21 Поблагодарили 18 раз(а) в 5 сообщениях Репутация: 15356	Скопируйте код ниже в блокнот Код: CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka Task: {31EAE1E7-2E3E-421F-B513-5980AF4CF196} - \ASC8_SkipUac_Анатолий -> No File <==== ATTENTION Task: {38529B2D-2243-47C6-A953-5C3141E5E21E} - \{4A6D9688-5976-40D7-9762-25CED9919A4D} -> No File <==== ATTENTION EmptyTemp: Reboot: И сохраните его как fixlist.txt в папку откуда была запущена утилита FRST Запустите Farbar Recovery Scan Tool и нажмите Fix. Программа создаст лог fixlog.txt выложите его в следующем сообщении

18.04.2016, 10:35	#2 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	сделайте образ автозапуска с нормальной клавиатурой Как создать образ автозапуска в uVS. Краткая инструкция

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

18.04.2016, 19:18	#10 (permalink)
Гризлик Мимо проходил Регистрация: 06.04.2008 Сообщений: 13,130 Сказал(а) спасибо: 21 Поблагодарили 18 раз(а) в 5 сообщениях Репутация: 15356	Что с проблемами?