19.04.2016, 17:41 | #1 (permalink) |
Member
Регистрация: 19.04.2016
Сообщений: 19
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
После удаления вирусов остались последствия
|
19.04.2016, 17:41 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Обсуждения которые чем то схожи с вашей темой Последствия после удаления файлов *tmp. Последствия после вирусов последствия после удаления баннера |
20.04.2016, 05:55 | #2 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
добавьте образ автозапуска
Как создать образ автозапуска в uVS. Краткая инструкция |
20.04.2016, 10:08 | #4 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\PWTYFEMUK\PWTCCHSRV.EXE addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES\UNCHECKIT\CKTSVC.EXE del %SystemDrive%\PROGRAM FILES\UNCHECKIT\CKTSVC.EXE deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
20.04.2016, 10:43 | #5 (permalink) |
Member
Регистрация: 19.04.2016
Сообщений: 19
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
После выполнения скрипта
Скрипт выполнила, Malwarebytes проверила... нашел две угрозы в реестре, удалила... Теперь папка hohobnd исчезла и не появляется, зато после перезагрузки обновилась папка Pwtyfemuk, в ней лежит файл pwtcchtsk.exe. Прикрепляю новый образ загрузки.
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
20.04.2016, 10:58 | #7 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
если WPS Office вам не нужен, пробуйте деинсталлировать его из установки/ удаления программ:
WPS Office (10.1.0.5603) + добавьте лог сканирования в мбам, посмотреть, что он там нашел. + вопрос: эту программу сами ставили? Uncheckit если нет, то ее тоже деинсталлируйте. |
20.04.2016, 11:03 | #8 (permalink) |
Member
Регистрация: 19.04.2016
Сообщений: 19
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Папка hohobnd снова появилась. Ни китайский офис, ни uncheckit не ставила. При деинсталяции офиса, там все на китайском языке... пробовала, но программа доустанавливает еще какие-то модули этого офиса...
|
20.04.2016, 11:31 | #10 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\PROGRAM FILES\PWTYFEMUK\PWTCCHTSK.EXE sreg delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\WPSCLOUDSVR.EXE delref %SystemDrive%\PROGRAM FILES\UNCHECKIT\UNCHECKITSVC.EXE delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\WTOOLEX\WPSUPDATE.EXE delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\WTOOLEX\WPSNOTIFY.EXE delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\UTILITY\UNINST.EXE delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\KSOLAUNCH.EXE areg ---------- + добавьте новый образ автозапуска |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|