Подцепил вирус

ManGun · 22.11.2016, 16:11

Здравствуйте!Граждане СПЕЦИАЛИСТЫ выручайте!
Запустил левую программу(уже удалил,но поздно). После запуска появилась такая проблема: браузер (Яндекс, стоит по умолчанию) периодически открывает сайт. очень раздражает и бесит! Смотрел аналогичные темы на этом же форуме, делал пару скриптов по аналогии,но УВЫ! Человеческая просьба обратите на меня внимание и помогите разобраться уверен для Вас это плевое дело,а для меня целая ТРАГЕДИЯ!

ManGun · 22.11.2016, 16:18

Вроде вот этот архив нужен для помощи!

Аркалык · 22.11.2016, 18:02

Neks, Создайте новую тему и туда загрузите образ uVS!
ManGun, ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- отключаем антивирус и закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
OFFSGNSAVE
sreg
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://MAIL.RU/CNT/10445?GP=818410
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://MAIL.RU/CNT/11956636?RCIGUC__PARAM__
delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=811035
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\131\DOWNLOADPROXYPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\131\TENCENTDL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192\NPQQPHONEMANAGEREXT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\SECURITY\KSNETM\KISNETM64.SYS
delref %Sys32%\DRIVERS\KISKNL.SYS
delref %Sys32%\DRIVERS\KSAPI64.SYS
regt 27
regt 28
regt 29
deltmp
delnfr
areg

перезагрузка, пишем о старых и новых проблемах.
-------------
После перезагрузки заново создайте образ автозапуска uVS и передайте.

ManGun · 22.11.2016, 18:43

Все сделал как сказали.Пока без изменений, вылетает новая вкладка ее Нод блокирует,пишет угроза фишинга. Прикрепляю новый uvs архив.

Аркалык · 22.11.2016, 19:22

ManGun, ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- отключаем антивирус и закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);

Код:

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\131\DOWNLOADPROXYPS.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\131\TENCENTDL.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192\NPQQPHONEMANAGEREXT.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\SECURITY\KSNETM\KISNETM64.SYS
deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT
deldir %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT
delall %Sys32%\DRIVERS\KISKNL.SYS
delall %Sys32%\DRIVERS\KSAPI64.SYS
delref HTTP://INTERNETWAIT.COM/HOTOFFS
delref HTTP://YANDEX.RU/SEARCH/?WIN=229&CLID=2261980&TEXT={SEARCHTERMS}
regt 27
regt 28
regt 29
dnsreset
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------------------
далее, выполните быстрое сканирование в Malwarebytes

ManGun · 22.11.2016, 22:08

Пять минут,полет нормальный,бяка эта пока не вылазила! Единственное в параметрах когда нажимаю вкладку приложения по умолчанию,начинает все подтормаживать и ярлыки везде что на рабочем столе что на панели моргать(мерцать)

Аркалык · 23.11.2016, 10:08

ManGun, Далее по инструкций передаем лог MBAM.

ManGun · 23.11.2016, 14:47

Вроде как вот это нужно Вам.

Аркалык · 23.11.2016, 21:32

ManGun, Это не то, читайте по внимательнее.

ManGun · 23.11.2016, 22:05

Разобрался!) Я извиняюсь за "тупняк" ,так сказать далек от этих дел!)

22.11.2016, 16:11	#1 (permalink)
ManGun Новичок Регистрация: 22.11.2016 Сообщений: 8 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Подцепил вирус Здравствуйте!Граждане СПЕЦИАЛИСТЫ выручайте! Запустил левую программу(уже удалил,но поздно). После запуска появилась такая проблема: браузер (Яндекс, стоит по умолчанию) периодически открывает сайт. очень раздражает и бесит! Смотрел аналогичные темы на этом же форуме, делал пару скриптов по аналогии,но УВЫ! Человеческая просьба обратите на меня внимание и помогите разобраться уверен для Вас это плевое дело,а для меня целая ТРАГЕДИЯ!

22.11.2016, 19:22	#5 (permalink)
Аркалык Member Регистрация: 14.04.2012 Сообщений: 5,384 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2982	ManGun, ВЫПОЛНЯЕМ СКРИПТ В uVS - скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать); - стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена; - отключаем антивирус и закрываем все браузеры перед выполнением скрипта; - на запросы об удалении программ соглашайтесь (нажимаем Да или Далее); Код: ;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v388c OFFSGNSAVE delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\131\DOWNLOADPROXYPS.DLL delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\131\TENCENTDL.EXE delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192\NPQQPHONEMANAGEREXT.DLL delall %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\SECURITY\KSNETM\KISNETM64.SYS deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT deldir %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT delall %Sys32%\DRIVERS\KISKNL.SYS delall %Sys32%\DRIVERS\KSAPI64.SYS delref HTTP://INTERNETWAIT.COM/HOTOFFS delref HTTP://YANDEX.RU/SEARCH/?WIN=229&CLID=2261980&TEXT={SEARCHTERMS} regt 27 regt 28 regt 29 dnsreset deltmp delnfr czoo restart перезагрузка, пишем о старых и новых проблемах. ------------------------ далее, выполните быстрое сканирование в Malwarebytes

22.11.2016, 16:11
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Похожие проблемы уже обсуждались участниками форума Подцепил вирус, пожалуйста, помогите. подцепил вирус mail.ru Помогите...Подцепил вирус

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

22.11.2016, 22:08	#6 (permalink)
ManGun Новичок Регистрация: 22.11.2016 Сообщений: 8 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Пять минут,полет нормальный,бяка эта пока не вылазила! Единственное в параметрах когда нажимаю вкладку приложения по умолчанию,начинает все подтормаживать и ярлыки везде что на рабочем столе что на панели моргать(мерцать)

23.11.2016, 10:08	#7 (permalink)
Аркалык Member Регистрация: 14.04.2012 Сообщений: 5,384 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2982	ManGun, Далее по инструкций передаем лог MBAM.

23.11.2016, 21:32	#9 (permalink)
Аркалык Member Регистрация: 14.04.2012 Сообщений: 5,384 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2982	ManGun, Это не то, читайте по внимательнее.