После удаления вирусов остались последствия

gal_b · 19.04.2016, 17:41

Был подцеплен какой-то вирус, много рекламных окон и программа QkSee постоянно запускалась. Почистила комп утилитой КАсперского, потом Malwarebytes Anti-Malware, нашел много вирусов adware.mutabaha.1181, все удалила, потом запустила AdwCleaner, очистила несколько папок и файлов, QkSee пропала отовсюду и больше не загружается, почистила диск и реестр Ccleaner, рекламы тоже нет, все работает нормально, но при перезагрузке в Program Files появляется папка hohobnd\dmp\pwtcchtsk.exe\ пустая... вот она меня и беспокоит. При повторном запуске AdwCleaner снова находится, удаляется и при перезагрузке снова появляется... в реестре в ветке Microsoft\Tracing\Pwtcchtsk_RASAPI32 есть какие-то строчки. Помогите, пожалуйста.

safety · 20.04.2016, 05:55

добавьте образ автозапуска
Как создать образ автозапуска в uVS. Краткая инструкция

gal_b · 20.04.2016, 09:52

Создала образ диска программой uVZ

safety · 20.04.2016, 10:08

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\PWTYFEMUK\PWTCCHSRV.EXE
addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\UNCHECKIT\CKTSVC.EXE
del %SystemDrive%\PROGRAM FILES\UNCHECKIT\CKTSVC.EXE


deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

gal_b · 20.04.2016, 10:43

Скрипт выполнила, Malwarebytes проверила... нашел две угрозы в реестре, удалила... Теперь папка hohobnd исчезла и не появляется, зато после перезагрузки обновилась папка Pwtyfemuk, в ней лежит файл pwtcchtsk.exe. Прикрепляю новый образ загрузки.

gal_b · 20.04.2016, 10:46

И еще установился видимо с вирусом Office на китайском. Как удалить не знаю...

safety · 20.04.2016, 10:58

если WPS Office вам не нужен, пробуйте деинсталлировать его из установки/ удаления программ:

WPS Office (10.1.0.5603)
+
добавьте лог сканирования в мбам, посмотреть, что он там нашел.

+
вопрос: эту программу сами ставили?
Uncheckit
если нет, то ее тоже деинсталлируйте.

gal_b · 20.04.2016, 11:03

Папка hohobnd снова появилась. Ни китайский офис, ни uncheckit не ставила. При деинсталяции офиса, там все на китайском языке... пробовала, но программа доустанавливает еще какие-то модули этого офиса...

gal_b · 20.04.2016, 11:30

посылаю лог Malwarebytes

safety · 20.04.2016, 11:31

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\PWTYFEMUK\PWTCCHTSK.EXE

sreg

delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\WPSCLOUDSVR.EXE
delref %SystemDrive%\PROGRAM FILES\UNCHECKIT\UNCHECKITSVC.EXE
delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\WTOOLEX\WPSUPDATE.EXE
delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\WTOOLEX\WPSNOTIFY.EXE
delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\UTILITY\UNINST.EXE
delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\KSOLAUNCH.EXE
areg

перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска

19.04.2016, 17:41	#1 (permalink)
gal_b Member Регистрация: 19.04.2016 Сообщений: 19 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	После удаления вирусов остались последствия Был подцеплен какой-то вирус, много рекламных окон и программа QkSee постоянно запускалась. Почистила комп утилитой КАсперского, потом Malwarebytes Anti-Malware, нашел много вирусов adware.mutabaha.1181, все удалила, потом запустила AdwCleaner, очистила несколько папок и файлов, QkSee пропала отовсюду и больше не загружается, почистила диск и реестр Ccleaner, рекламы тоже нет, все работает нормально, но при перезагрузке в Program Files появляется папка hohobnd\dmp\pwtcchtsk.exe\ пустая... вот она меня и беспокоит. При повторном запуске AdwCleaner снова находится, удаляется и при перезагрузке снова появляется... в реестре в ветке Microsoft\Tracing\Pwtcchtsk_RASAPI32 есть какие-то строчки. Помогите, пожалуйста.

20.04.2016, 10:08	#4 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\PWTYFEMUK\PWTCCHSRV.EXE addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES\UNCHECKIT\CKTSVC.EXE del %SystemDrive%\PROGRAM FILES\UNCHECKIT\CKTSVC.EXE deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните сканирование (угроз) в Malwarebytes

20.04.2016, 10:46	#6 (permalink)
gal_b Member Регистрация: 19.04.2016 Сообщений: 19 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Office на китайском И еще установился видимо с вирусом Office на китайском. Как удалить не знаю...

20.04.2016, 11:31	#10 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\PROGRAM FILES\PWTYFEMUK\PWTCCHTSK.EXE sreg delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\WPSCLOUDSVR.EXE delref %SystemDrive%\PROGRAM FILES\UNCHECKIT\UNCHECKITSVC.EXE delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\WTOOLEX\WPSUPDATE.EXE delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\WTOOLEX\WPSNOTIFY.EXE delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\10.1.0.5603\UTILITY\UNINST.EXE delref %SystemDrive%\USERS\MAKAROVA\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\KSOLAUNCH.EXE areg перезагрузка, пишем о старых и новых проблемах. ---------- + добавьте новый образ автозапуска

19.04.2016, 17:41
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Обсуждения которые чем то схожи с вашей темой Последствия после удаления файлов *tmp. Последствия после вирусов последствия после удаления баннера

20.04.2016, 05:55	#2 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	добавьте образ автозапуска Как создать образ автозапуска в uVS. Краткая инструкция

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

20.04.2016, 10:58	#7 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	если WPS Office вам не нужен, пробуйте деинсталлировать его из установки/ удаления программ: WPS Office (10.1.0.5603) + добавьте лог сканирования в мбам, посмотреть, что он там нашел. + вопрос: эту программу сами ставили? Uncheckit если нет, то ее тоже деинсталлируйте.

20.04.2016, 11:03	#8 (permalink)
gal_b Member Регистрация: 19.04.2016 Сообщений: 19 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Папка hohobnd снова появилась. Ни китайский офис, ни uncheckit не ставила. При деинсталяции офиса, там все на китайском языке... пробовала, но программа доустанавливает еще какие-то модули этого офиса...