Нахватался вирусов

Densid · 16.04.2016, 21:20

просто ужас, браузер не работает никакой, окон и програм навыскакивало...ужас.....

safety · 17.04.2016, 04:52

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\CONTENTPROTECTOR\CONTENTPROTECTOR.EXE
addsgn 1A4AFF9A55834C720BD4C4A50C206F432562880C7605F7D9CAC3C5B3E7261B4ECB2E4B573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/RiskWare.NetFilter

zoo %SystemDrive%\PROGRAM FILES\CONTENTPROTECTOR\CONTENTPROTECTORUPDATE.EXE
addsgn 1AC52F9A55834C720BD4C4A50CD017472562C9D789FAF796B3C3C5B3E7261B4ECBAB94573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/RiskWare.NetFilter

zoo %SystemDrive%\PROGRAM FILES\PWTYFEMUK\PWTCCHSRV.EXE
addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao

zoo %SystemDrive%\USERS\ЭДУАРД\APPDATA\ROAMING\IMAGECROPRESIZE\IMAGECROPRESIZE.EXE
addsgn 0DC977BA156A4C728BEBAEB1E4F71205A5B5FCF689FA1F7805FCC5BC50D64C463428FE5D296AA0433CBF849F461649FA7DDFE87255DADF3EAE4DCB3D443C4D61 9 Trojan.StartPage1.25908 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\MPCK_EN_005030298\MOBILEPCSTARTERKIT_WIDGET.EXE
addsgn 1A4CB19A5583C58CF42B254E3143FE86C9C65DAEC9971F4B404A804003E5AA1BA8EE4A0AFEDCC0F5107BF185AEC55BFA7D18E86455DAB0C4DDDBA42F44CCDDF8 8 Win32/AdWare.EoRezo

addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33623B3173E3D9CC92B807B8AFE6609FA2E20FD02279AB08F3537E62F38139603 8 Win32/TrojanDropper.Addrop

zoo %SystemDrive%\USERS\ЭДУАРД\APPDATA\LOCAL\SAVEYOUTIME\STUB.EXE
zoo %SystemDrive%\USERS\ЭДУАРД\APPDATA\LOCAL\SAVEYOUTIME\UNINSTALL.EXE
addsgn 1A9C989A5583C58CF42BC8BE8B084356AE4B7F16867FDF0DFA48073FB2A9B0A42463F4DA9A719D492B80E29039172FF5029EF8145AA5F10C4B78DB6EF7602D0C 64 Adware.AdService

zoo %SystemDrive%\PROGRAM FILES\03000200-1460655067-0500-0006-000700080009\JNSM2234.TMP
addsgn 1AA3019A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B3C349271C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 ConvertAd

zoo %SystemDrive%\PROGRAM FILES\03000200-1460655067-0500-0006-000700080009\KNSO5E.TMPFS
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CBA86AA8C1BDC380D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 8 Win32/InstallCore

zoo %SystemDrive%\USERS\ЭДУАРД\APPDATA\LOCAL\TEMP\ICREINSTALL_665.TMP.EXE
zoo %SystemDrive%\USERS\ЭДУАРД\DOWNLOADS\WORD_2013_WINDOWS_7.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CBA86AA8C1BDC380D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 19 Win32/InstallCore

addsgn 1A2C4C9A5583338CF42B627DA8044553AEFED8E602B63B6C0EBFE1B0DB17FA9D20D1F8A9485DA6B12402EC9C4616464058C35F3355DBC32BDED34D38C40622F2 8 Win32/Kryptik

zoo %SystemDrive%\PROGRAMDATA\CLOUDPRINTER\CLOUDPRINTER.EXE
addsgn 1A97739A5583CC8CF42BFB3A884B37B170CFFCF60A16332BB61886B54D263009237DC9BF5AAD9C49AE408B1B321749FAFEBA0472661A3321DD36E12FC535EB25 8 Win32/Toolbar.Perion

zoo %SystemDrive%\PROGRAM FILES\HUECIPUGRAZTYI\ITYIR.EXE
addsgn 1A45839A5583378CF42B627DA804DEC97001107765E61E7885621D59F4D64289AA523FDC735D161C2709099FB9E9B6A9F682FCFBC8264ED3D2212F5AD78F9777 8 newext

zoo %SystemDrive%\PROGRAM FILES\NEWEXT\JSINJECTOR.EXE
addsgn 1A12739A5583CC8CF42B627DA804DEC9E946303A4536D3B4D648819844DDB1393B9C8F732EDED96D27B35668B79D0DDE752819F997E962C77DFC6CA49B2232F8 8 sgn.Ujuv Relao

zoo %SystemDrive%\PROGRAM FILES\HUECIPUGRAZTYI\NOMDOZHTED.EXE
addsgn 1A23739A5583CC8CF42B519434BA5005E946303A4536D3B44990933714F26947E362DBDC727189C26FA494AC94E1B871A554AC56592D41A7FE9CE5A40F8D7E57 8 sgn.Ujuv Relao

zoo %SystemDrive%\PROGRAM FILES\HUECIPUGRAZTYI\RUIERJ.EXE
addsgn 1ADA859A5583338CF42BFB3A8895FBABD68AFCA30216923D9193AFBCAFA361B3561B3C2236BD5DBD2B80075B524B8AAFF63363274151FD247BF2765ACA83EB06 8 Adware.Mutabaha.1167 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\HOHOBND\CIHECH.EXE
delall %SystemDrive%\USERS\ЭДУАРД\APPDATA\ROAMING\ROLNIECIBM\HYPDHO.EXE
delref HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGIJVKXLYIVSCCX_Y7AYFUQPTD4YKNNDE8_K3RAC7TXRAN9JMZFORTO-1KMKBIFZQ1CY0GLXQZOFYY9AP6GHXCTCQTX4LBZFWQM2FPMFY-FASSK-T9Z7MLOYZFDZ2WCNVCQXBQM3GKD29K9VN0DYQOG_SUEWS6UDMD1TICBBFWZXP1JP
delref HTTP://OVGORSKIY.RU
delall %SystemDrive%\USERS\ЭДУАРД\APPDATA\LOCAL\PPTASSIST\ASSISTUPDATE.EXE
delall %SystemDrive%\USERS\ЭДУАРД\APPDATA\LOCAL\PPTASSIST\NOTIFY.EXE
delall %SystemDrive%\PROGRAM FILES\PWTYFEMUK\PWTCCHTSK.EXE
delall %SystemDrive%\PROGRAM FILES\HUECIPUGRAZTYI\VIGCUNO.BAT
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\CONTENTPROTECTOR\LIBEAY32.DLL
del %SystemDrive%\PROGRAM FILES\CONTENTPROTECTOR\LIBEAY32.DLL

delref %SystemDrive%\PROGRAM FILES\CONTENTPROTECTOR\SSLEAY32.DLL
del %SystemDrive%\PROGRAM FILES\CONTENTPROTECTOR\SSLEAY32.DLL

delref %SystemDrive%\PROGRAM FILES\HUECIPUGRAZTYI\WORFEK.DLL
del %SystemDrive%\PROGRAM FILES\HUECIPUGRAZTYI\WORFEK.DLL

delref %SystemDrive%\PROGRAM FILES\HUECIPUGRAZTYI\UUVOSBUE.DLL
del %SystemDrive%\PROGRAM FILES\HUECIPUGRAZTYI\UUVOSBUE.DLL

delref %SystemDrive%\PROGRAM FILES\HUECIPUGRAZTYI\BEFEAL.DLL
del %SystemDrive%\PROGRAM FILES\HUECIPUGRAZTYI\BEFEAL.DLL

deldirex %SystemDrive%\USERS\ЭДУАРД\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref %Sys32%\DRIVERS\BSDRIVER.SYS
del %Sys32%\DRIVERS\BSDRIVER.SYS

delref %Sys32%\DRIVERS\CHERIMOYA.SYS
del %Sys32%\DRIVERS\CHERIMOYA.SYS

delref %Sys32%\DRIVERS\CONTENTPROTECTORDRV.SYS
del %Sys32%\DRIVERS\CONTENTPROTECTORDRV.SYS

delref %SystemDrive%\USERS\ЭДУАРД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_2\ПОИСК MAIL.RU
deltmp
delnfr
exec "C:\Program Files\Hostify\unins000.exe"
exec "C:\Program Files\MobilePCStarterKit\unins000.exe"
exec "C:\Program Files\hohobnd\Uninst.exe" /cf={A16B1AF7-982D-40C3-B5C1-633E1A6A6678}
exec "C:\Program Files\comoBoss\unins000.exe"
exec C:\Program Files\sunnyday\uninstaller.exe
exec C:\Users\Эдуард\AppData\Local\03000200-1460671381-0500-0006-000700080009\Uninstall.exe
exec  "C:\Program Files\Common Files\Duojob\uninstall.exe" shuz -f  "C:\Program Files\Common Files\Duojob\uninstall.dat" -a uninstallme  E5FE6792-503E-48D4-8E9A-18F6E1DE1469  DeviceId=78b8122d-1a3d-09ba-4bc6-c4c610d6d15e BarcodeId=51213003  ChannelId=3 DistributerName=APSnapdoCSDIRev
exec C:\Program Files\NewExt\Uninstaller.exe
exec "C:\Program Files\WizzWifiHotspot\unins000.exe"
exec "C:\Program Files\mpck_en_005030298\unins000.exe"
exec C:\Program Files\Huecipugraztyi\unins000.exe
exec C:\Program Files\ContentProtector\ConProtSetup.exe uninst=1
exec C:\Users\Эдуард\AppData\Roaming\ImageCropResize\uninstaller.exe
exec C:\Users\Эдуард\AppData\Local\SaveYouTime\uninstall.exe

areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

Densid · 17.04.2016, 15:13

выполнил скрипт, сейчас делаю сканирование (угроз) в Malwarebytes. Но есть 2 вопроса которые уже сейчас волнуют.
1. при запуске компа или открытие любой программы выскакивает окно. (приложу скрин) особенно при запуске. раз 8 вылетает.
2. не могу убрать из поиска хрома web search и search.snapdo.ком

Densid · 17.04.2016, 15:20

лог от Malwarebytes

safety · 17.04.2016, 15:38

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
Как выполнить проверку в AdwCleaner?

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
Как создать логи FRST

Densid · 17.04.2016, 17:18

все сделал, только поиск webserch все равно не могу удалить....вот логи

Densid · 17.04.2016, 17:22

еще вот это теперь вылазиет

safety · 17.04.2016, 17:26

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

 CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIvsCCX_Y7AYFuqPr4S6z0_wYlo6D7LzMrahVgRnY7t4YdI8l-GeTdTJ2Ow-j4urRkWugLY2kMDMvZo3nT67m_J7el1UtzXwB03k6kEgZCmVYgj0UCtGrfXvvgCqSKIXjat84Xe5FsLrmBM4atQqeTQSxfXvyx5Dp6xxef-_EV9jnv6OxwxKTAhAJyQ,,
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821268","hxxp://www.hohosearch.com/?mode=nnnb&ptid=clc&uid=AD6D12D92AE3047BA2E0630D4AD82418&v=20160413&ts=AHEqA3MpBnArBk.."
CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIvsCCX_Y7AYFuqPr4S6z0_wYlo6D7LzMrahVgRnY7t4YdI8l-GeTdTJ2Ow-j4urRkWugLY2kMDMvZo3nT67m_J7el1UtzXC6zPj5Z5w7waanqfKvb9rRbtqETGNVOAhcuN1-CvThpvgyFhh-_9XfA7lqAhYfVCXpy2IAuRMJD3ZCBooLpyCXjzEhsw,,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms}
CHR Extension: (VkAdBlock) - C:\Users\Эдуард\AppData\Local\Google\Chrome\User Data\Default\Extensions\caomgpcmfhfocdnmledbkifhklganjef [2016-04-02]
CHR Extension: (SaveYouTime) - C:\Users\Эдуард\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghcdaheihefjaiihlegkggmmanbakmge [2016-04-14]
2016-04-14 22:12 - 2016-04-14 22:12 - 00000000 ____D C:\Users\Эдуард\AppData\Roaming\kingsoft
2016-04-14 22:12 - 2016-04-17 15:04 - 00000000 ____D C:\Program Files\Pwtyfemuk
2016-04-14 21:59 - 2016-04-16 23:42 - 00000000 ____D C:\Program Files\NewExt
2016-04-14 21:52 - 2016-04-14 21:52 - 00000000 ____D C:\Windows\system32\xij
2016-04-14 21:51 - 2016-04-14 22:12 - 00000000 ____D C:\Users\Все пользователи\kingsoft
2016-04-14 21:51 - 2016-04-14 22:12 - 00000000 ____D C:\ProgramData\kingsoft
2016-04-14 21:42 - 2016-04-14 21:43 - 00000000 ____D C:\Users\Эдуард\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D
2016-04-14 21:41 - 2016-04-14 22:00 - 00000000 ____D C:\Users\Эдуард\AppData\Local\app
2016-04-14 21:41 - 2016-04-14 21:41 - 00000000 ____D C:\Program Files\hohobnd_1afb853
2016-04-14 21:40 - 2016-04-17 16:59 - 00000000 ____D C:\Users\Эдуард\AppData\LocalLow\Company
2016-04-14 21:40 - 2016-04-17 16:59 - 00000000 ____D C:\Program Files\Huecipugraztyi
2016-04-14 21:40 - 2016-04-16 20:47 - 00000000 ____D C:\Users\Эдуард\AppData\Roaming\Cohlodje
2016-04-14 21:40 - 2016-04-14 22:13 - 00000000 ____D C:\extensions
EmptyTemp:
Reboot:

+
вопрос: 360Total сами устанавливали? если нет, то его можно деинсталлировать из установки удаления программ.
+
добавьте новый образ автозапуска для контроля.

highman · 17.04.2016, 17:28

Если удаление антивируса из Панели Управления закончилось неудачей, пробуем запустить файл Uninstall.exe который находится в папке Total Security:
C:\Program Files (x86)\360\Total Security 2.1 Отключаем самозащиту 360 Total Security:
Настройки - Основные - снять галочку с пункта "Включить самозащиту 360".
Подтверждаем выключение.
В разделе "Активная защита" снимаем отметку с пункта "Включить защиту во время загрузки системы".
Устанавливаем на компьютер программу CCleaner.
Перезагружаемся и запускаем компьютер в безопасном режиме (Safe Mode), для чего нажимайте кнопку F8 при включении компьютера, после чего выбирайте пункт "Безопасный режим". (как вариант, можно удерживать кнопку Shift сразу после включения ПК и до появления рабочего стола).
Удаляем вручную папку C:\Program Files (x86)\360\ и все файлы в ней
Запускаем CCleaner, в разделе "Очистка" отмечаем все нужные пункты, после чего жмем "Анализ" - "Очистка".
Выполняем очистку реестра, отметив все пункты как это показано на картинке, после чего жмите кнопку "Исправить".
если не хочет удаляться то установить по новой и удалить по инструкции. или Анлокером портабл,

safety · 17.04.2016, 17:36

@highman
там непонятно в каком состоянии находится 360T.
возможно он нормально не доустановился, посмотрим по новому образу, возможно зачистим через виртуализацию драйвера и сервисы из безопасного режима.

17.04.2016, 15:13	#3 (permalink)
Densid Member Регистрация: 29.04.2010 Сообщений: 474 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	выполнил скрипт, сейчас делаю сканирование (угроз) в Malwarebytes. Но есть 2 вопроса которые уже сейчас волнуют. 1. при запуске компа или открытие любой программы выскакивает окно. (приложу скрин) особенно при запуске. раз 8 вылетает. 2. не могу убрать из поиска хрома web search и search.snapdo.ком Миниатюры

17.04.2016, 17:22	#7 (permalink)
Densid Member Регистрация: 29.04.2010 Сообщений: 474 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	еще вот это теперь вылазиет Миниатюры

17.04.2016, 17:28	#9 (permalink)
highman Banned Регистрация: 30.05.2013 Адрес: Кишинёв Сообщений: 8,791 Записей в дневнике: 1 Сказал(а) спасибо: 13 Поблагодарили 201 раз(а) в 87 сообщениях Репутация: 52995	Если удаление антивируса из Панели Управления закончилось неудачей, пробуем запустить файл Uninstall.exe который находится в папке Total Security: C:\Program Files (x86)\360\Total Security 2.1 Отключаем самозащиту 360 Total Security: Настройки - Основные - снять галочку с пункта "Включить самозащиту 360". Подтверждаем выключение. В разделе "Активная защита" снимаем отметку с пункта "Включить защиту во время загрузки системы". Устанавливаем на компьютер программу CCleaner. Перезагружаемся и запускаем компьютер в безопасном режиме (Safe Mode), для чего нажимайте кнопку F8 при включении компьютера, после чего выбирайте пункт "Безопасный режим". (как вариант, можно удерживать кнопку Shift сразу после включения ПК и до появления рабочего стола). Удаляем вручную папку C:\Program Files (x86)\360\ и все файлы в ней Запускаем CCleaner, в разделе "Очистка" отмечаем все нужные пункты, после чего жмем "Анализ" - "Очистка". Выполняем очистку реестра, отметив все пункты как это показано на картинке, после чего жмите кнопку "Исправить". если не хочет удаляться то установить по новой и удалить по инструкции. или Анлокером портабл,

16.04.2016, 21:20
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Важная информация так же может находиться по данным ссылкам Опять нахватался всякой дряни в сети интернет :С Нахватался грязи, помогите почистить комп. Наличие вирусов Опять нахватался вирусов Нахватался вирусов

17.04.2016, 15:38	#5 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	2.удалите все найденное в малваребайт перегрузите систему далее, 3.сделайте проверку в АдвКлинере Как выполнить проверку в AdwCleaner? *** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить** далее, 5.сделайте проверку в FRST Как создать логи FRST

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

17.04.2016, 17:36	#10 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	@highman там непонятно в каком состоянии находится 360T. возможно он нормально не доустановился, посмотрим по новому образу, возможно зачистим через виртуализацию драйвера и сервисы из безопасного режима.