Технический форум - Помогите, пожалуйста, прогнать вирусы

Технический форум (http://www.tehnari.ru/)

Помогите, пожалуйста, прогнать вирусы

Здравствуйте все!

Пыталась недавно найти в интернете ключ к одной программе, вместо него наловила вирусов. Происходило нечто ужасное, но мне удалось более-менее их поубивать, комп работает нормально, но - периодически выскакивают на рабочем столе ярлыки каких-то, видимо, игр, которые я не заказывала. А именно - BigFarm (в свойствах показывает, что оно находится по адресу "C:\Program Files (x86)\Opera\launcher.exe"http://bigfarm.goodgamestudios.com/?w=239064) и big_bang_empire (по адресу "C:\Program Files (x86)\Opera\launcher.exe"http://www.bigbangempire.com/?ref=281-000-000-005). Я не знаю, как их оттуда прогнать, время от времени просто удаляю ярлыки, но через какое-то время они появляются снова.

Еще время от времени на панели задач возникает ярлык Mozilla Firefox, которого я опять же туда не заказывала (пользуюсь Оперой, хотя на всякий случай есть и Файрфокс, и Гугл Хром, но на панель задач я их не ставила).

Также периодически Файрфокс самоназначается браузером по умолчанию, хотя таковым всегда была Опера. Я переназначаю Оперу браузером по умолчанию в ее настройках, но через какое-то время Файрфокс снова самоназначается.

Есть программа CCleaner, я там поотключала кой-какие startup-настройки, временно помогло, но проблема возникла снова.

Помогите, пожалуйста, прогнать все эти бяки.

добавьте образ автозапуска системы
http://www.tehnari.ru/f150/t81269/

Скачайте программу Adwcleaner и запустите её. Я так избавился от подобного мусора.

Цитата:

Сообщение от safety (Сообщение 2487881)

добавьте образ автозапуска системы
http://www.tehnari.ru/f150/t81269/

.................................................. ..........................
Спасибо!

Tiger-Cub, у меня такая программа есть, она вроде что-то вычистила, но проблема возникла снова...

Цитата:

Сообщение от Lamaro (Сообщение 2488105)

.................................................. ..........................
Спасибо!

переделайте образ актуальной версией uVS, у вас сейчас устаревшая версия
uVS v3.83.1 [http://dsrt.dyndns.org]: Windows 7 Professional x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]

скачать актуальную можно отсюда:
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

Цитата:

Сообщение от safety (Сообщение 2488110)

Сорри... переделала.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:



;uVS v4.0.4 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v400c

OFFSGNSAVE

;------------------------autoscript---------------------------



delall %SystemDrive%\USERS\POISON\APPDATA\LOCAL\BACKGROUND_FAULT\QQIME.EXE

delall %SystemDrive%\PROGRAM FILES (X86)\LLL\UC.EXE

delall %SystemDrive%\PROGRAMDATA\IGFXDH.DLL



zoo %SystemDrive%\PROGRAMDATA\MICROSOFT ONEDRIVE\SETUP\SYNCTOOL.DLL

addsgn A7679B1928664D070E3CE3B564C8ED70357589FA768F17903B3D3A43D3127D11E11BC302B5B9CBB65E880F6EAE4E49FA7D18EE5AC7DBA0A7EB29F9EDC306A112 64 Win32/Adware.ELEX 7



zoo %SystemDrive%\USERS\POISON\APPDATA\ROAMING\WINSAPSVC\WINSAP.DLL

addsgn A7679B1928664D070E3C2C7364C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DA5B032906C1B681649C9BD9F6307595F4659214E91F7C31D327C 64 AdWare.Win32.ELEX 7



zoo %SystemDrive%\PROGRAM FILES (X86)\MIO\MIO.EXE

addsgn 1A40D09A55835A8CF42B627D0CE86A4525EE03C389FA1F780E87E1ACD9BA555CAE7BE74715B5CE1F7C21607E051678BF81EC2D22DCBF58D3588F2F6A3BC1678F 8 Win32/Tencent 7



zoo %SystemDrive%\USERS\POISON\APPDATA\LOCAL\BACKGROUND_FAULT\BF.DLL

addsgn A7679B1928664D070E3C273F64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D5D312F906C86551649C9BD9F6307595F4659214E916F1F02327C 64 Adware.Mutabaha.3451 [DrWeb] 7



chklst

delvir



delref %SystemDrive%\PROGRAMDATA\BIT\BIT.DLL

del %SystemDrive%\PROGRAMDATA\BIT\BIT.DLL

delref HTTP://API.SUIBIANMAIMAICOM.COM/WDCXWD5000LPVX-22V0TT0_WD-WX31A95EYR6FEYR6F.DAT

delref 324095823984.EXE

delref 8736459873644.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCLPDGMDKDNIJJBGMNAJOLNBNJEJOEOGM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

apply



deltmp

delref %SystemRoot%\TEMP\SKY9D47.TMP

delref %SystemDrive%\USERS\POISON\APPDATA\LOCAL\TEMP\IS-0MFBC.TMP\SETUP.EXE

delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL

delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS

delref %SystemRoot%\SYSWOW64\UMPO.DLL

delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL

delref %SystemRoot%\SYSWOW64\CSCSVC.DLL

delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL

delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS

delref %SystemRoot%\SYSWOW64\LSM.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\COMMON\MSDEV98\BIN\MSDEV.EXE

delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]

delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]

delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]

delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]

delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]

delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE

delref %SystemRoot%\SYSWOW64\BLANK.HTM

delref {A422D3DC-3076-11E7-A57B-64006A5CFC23}\[CLSID]

delref %Sys32%\BLANK.HTM

delref TBS\[SERVICE]

delref %Sys32%\DRIVERS\PORTTALK.SYS

delref %SystemDrive%\PROGRAM FILES (X86)\WINDOWSTM\TMKERNEL.SYS

delref %Sys32%\PSXSS.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL

delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID]

delref {A8DC7D60-AD8F-491E-9A84-8FF901E7556E}\[CLSID]

delref %SystemDrive%\USERS\POISON\APPDATA\ROAMING\ICQM\ICQSETUP.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\YEADESKTOP\UNINS000.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\YEADESKTOP\YEADESKTOP.EXE

;-------------------------------------------------------------

czoo

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

Спасибо!
А этот скрипт не убьет ключи от Фотошопа, Иллюстратора и др. программ? А то однажды несколько лет назад такое уже было - при запуске аналогичного скрипта все ключи исчезли, программы перестали работать и начали требовать этих самых ключей, пришлось искать их заново, по ходу действия опять вирусов наловила... :(

В общем, всё сделала, ключи на всякий случай скопировала на внешний жесткий диск, но они и так выжили :)

Вроде, каких-то явных проблем после выполнения скрипта пока не вижу.

Результат сканирования в Malwarebytes прилагается.