Странная сторонняя активность

Aarataka · 25.04.2021, 09:32

Заметила, что на ютьюб появилась левая история просмотров и история поиска (с 17.04.)/ Примерно с этого же времени стала глючить, периодически отключаясь, клавиатура (будто бы неконтакт в проводах). Одновременно с этими глюками в наушниках включаются обрывки каких-то аудио (разговор, музыка). Пароль в гугле сменила, клавиатуру поставила древнюю железобетонную. Но это не помогло. Левая история появляется, когда сидишь за компом. Если заходишь с ноутбука или телефона, проблем нет.
Сразу скажу, на компе несколько китайских программ (вичат, iQIYI, китайская раскладка).

Vvvyg · 25.04.2021, 13:56

Отключите до перезагрузки все экраны Avast.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
delref %SystemDrive%\USERS\MK11\APPDATA\LOCAL\BROWSERUPDPHENIX\BROWSERUPDPHENIX.EXE
deldir delref %SystemDrive%\USERS\MK11\APPDATA\LOCAL\BROWSERUPDPHENIX
delall %SystemDrive%\USERS\ME\APPDATA\LOCAL\DSKUPO.EXE
delref %SystemDrive%\USERS\AZZOXY\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref HTTP://WWW.MAIL.RU/CNT/20775012?GP=812203
delall %SystemDrive%\USERS\TRI POLOSKI\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IE_ADDON_DLL.DLL
deldir %SystemDrive%\USERS\TRI POLOSKI\APPDATA\LOCAL\MAIL.RU\SPUTNIK
delall %SystemDrive%\USERS\MK11\APPDATA\ROAMING\CURL\CURL.EXE
delall %SystemDrive%\USERS\MK11\APPDATA\ROAMING\CURL\CURL_7_54.EXE
deldir %SystemDrive%\USERS\MK11\APPDATA\ROAMING\CURL
delref %Sys32%\DRIVERS\KSAPI64.SYS
delref %SystemDrive%\PROGRAM FILES\UBAR\UBARDRIVER.SYS
delref %Sys32%\DRIVERS\QMUDISK.SYS
delref HTTP://GO-SEARCH.RU/SEARCH?Q={SEARCHTERMS}
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7BF96E8F04-A531-4BCE-B8DB-28E7187BBE32%7D&GP=855509
delref HTTPS://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7B7525B325-D8AE-4902-8810-45FB05486CF9%7D&GP=812209
delref HTTPS://MAIL.RU/CNT/10445?GP=812208
delref %SystemDrive%\USERS\TRI POLOSKI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\UOG12KWY.DEFAULT\EXTENSIONS\{A38384B3-2D1D-4F36-BC22-0F7AE402BCD7}.XPI
delref HTTPS://MAIL.RU/CNT/10445?GP=812209
delref %SystemDrive%\USERS\AZZOXY\EIYI.BAT
deltsk HTTP://ELTUGNO.RU/F.EXE
deltsk HTTP://INSTEPSTAT.INFO/HEI6R21LDE09.AZB
deltsk HTTP://INSTEPSTAT.INFO/JFDOGBBMGBYV.SPI
deltsk HTTP://KALOLO.RU
deltsk HTTP://LEFTSTATE.INFO/VYTZBRGMKXFJ.BRB
deltsk HTTP://LUCWINT.INFO/INOPRQSACZDW.EKQ
deltsk HTTP://MOD-BLOG.COM/CL/?GUID=W2VFBHR0G8T4UY35C4ZP54H76KV9904V&AMP;PRID=1&AMP;PID=4_956_0
deltsk HTTP://T0P-T0P.COM/CL/?GUID=UZJ9WO2T6XPEXBNLPU1W3Z8SAY08TZ0E&AMP;PRID=1&AMP;PID=4_1166_0
delref %SystemDrive%\PROGRAM FILES (X86)\OPERA\LAUNCHER.EXE
delref %SystemDrive%\USERS\AZZOXY\APPDATA\LOCAL\NOONLIJNOOXSQ.EXE
delref %SystemDrive%\USERS\AZZOXY.WIN-RE97U96F19D\APPDATA\LOCAL\OEIYYLTYIU.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\13.5.20519.230\UNINST.EXE
zoo %SystemRoot%\VIUEUPLIOASJI.BAT
delall %SystemRoot%\VIUEUPLIOASJI.BAT
delref %SystemDrive%\PROGRAM FILES (X86)\AUTOHOTKEY\COMPILER\AHK2EXE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUTOHOTKEY\AU3_SPY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUTOHOTKEY\AUTOHOTKEY WEBSITE.URL
delref %SystemDrive%\PROGRAM FILES (X86)\AUTOHOTKEY\AUTOHOTKEY.EXE
delref F:\AUTOPLAY.EXE
delref F:\AUTORUN.EXE
delref %Sys32%\DRIVERS\BOOTSAFE64_EV.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\CODEBLOCKS\CCTST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\64.0.3282.168\INSTALLER\CHRMSTP.EXE
delref %SystemDrive%\USERS\MK11\APPDATA\LOCAL\GOOGLE\CHROME SXS\APPLICATION\CHROME_PROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\DATABASECOMPARE.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref %SystemDrive%\USERS\TRIPOL~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3140_584937168\RESPONSE
delref %SystemDrive%\USERS\TRIPOL~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_2612_1442012021\RESPONSE
delref %SystemDrive%\USERS\TRIPOL~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_1096_705675552\RESPONSE
delref %SystemDrive%\USERS\TRIPOL~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_2660_1067803938\RESPONSE
delref %SystemDrive%\USERS\TRIPOL~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_2676_2058730316\RESPONSE
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
delref %SystemDrive%\PROGRA~3\VKSAVER\VKSAVER3.DLL
delref %SystemDrive%\USERS\MCX1-WIN-RE97U96F19D\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %SystemDrive%\PROGRAM FILES\QUICKCPU\HWLINK.SYS
delref E:\NTIOLIB_X64.SYS
delref %SystemDrive%\USERS\MK11\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.35.452\PSUSER_64.DLL
delref %SystemDrive%\USERS\MK11\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.35.452\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\NEED FOR SPEED - RIVALS\UNINSTALL\UNINS000.EXE
delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\SANCTUM 2\UNINSTALL\UNINS000.EXE
delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\SUBNAUTICA_UNINSTALL\UNINS000.EXE
delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\THE NEVERHOOD\UNINSTALL\UNINS000.EXE
apply
deltmp
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте программу AdwCleaner отсюда или с зеркала, сохраните на Рабочий стол.
Запустите утилиту и нажмите кнопку "Сканировать" ("Scan").
После завершения сканирования лог будет автоматически сохранен в папке C:\AdwCleaner\Logs с именем AdwCleaner[Sxx].txt (xx - цифры, начинается с 00)
Прикрепите этот отчет к своему сообщению.

Aarataka · 25.04.2021, 16:09

вот лог adwcleaner'a

Vvvyg · 25.04.2021, 17:05

Цитата:

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Это ещё прикрепите.

Мда, так много разной китайчатины, обычно рекомендую чистить всё, тут сложно понять, что оставить, чтобы не смахнуть нужные программы. Попробуем, если какие-то приложения не заработают, переустановите.

Если Вы уже закрыли приложение, запустите повторное сканирование в Malwarebytes AdwCleaner, установите в пункте меню "Настройки" (Settings) дополнительно к отмеченным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies".
Снимите отметки с этих пунктов:

Код:

***** [ Services ] *****

PUP.Optional.Legacy             QiyiService

***** [ Folders ] *****

Adware.ChinAd                   C:\Users\Public\QiYi
PUP.Optional.Legacy             C:\ProgramData\Microsoft\Windows\Start Menu\Programs\????
PUP.Optional.Legacy             C:\ProgramData\Microsoft\Windows\Start Menu\???
PUP.Optional.Legacy             C:\Users\MK11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\???
PUP.Optional.Legacy             C:\Users\MK11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\????
PUP.Optional.Legacy             C:\Users\MK11\AppData\Roaming\Tencent

***** [ Files ] *****

PUP.Optional.Legacy             C:\Users\MK11\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Video Downloader.lnk
PUP.Optional.Legacy             C:\Users\Public\Desktop\Video Downloader.lnk

***** [ Registry ] *****

Adware.ChinAd                   HKCU\Software\AppDataLow\Software\QiYi
Adware.ChinAd                   HKLM\Software\Wow6432Node\QiYi
PUP.Adware.Heuristic            HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{ac7633a1-8b59-4fe8-a5fc-1bb47c3ef6ad}|DisplayIcon
PUP.Adware.Heuristic            HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{ac7633a1-8b59-4fe8-a5fc-1bb47c3ef6ad}|DisplayName
PUP.Adware.Heuristic            HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{ac7633a1-8b59-4fe8-a5fc-1bb47c3ef6ad}|UninstallString
PUP.Optional.ChinAd             HKCU\Software\QyGameClient
PUP.Optional.ChinAd             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{BB28E6AA-9B47-4FB4-ADE3-6013D3CE8A2B}
PUP.Optional.ChinAd             HKLM\Software\Wow6432Node\\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_BROWSER_EMULATION|QyClient.exe

Затем нажмите Карантин (Quarantine) под списком найденного. Программа может предложить перезагрузить систему, сделайте тогда это.

После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[C01].txt, прикрепите к своему следующему сообщению.

Очистите кеш и cookie в Хроме.

Сообщите, что с проблемой.

Aarataka · 25.04.2021, 17:37

Да, понимаю, с китайским софтом сложно. Но я стараюсь его ставить только с сайтов самих производителей. Вижу, много осталось baidu и tencent. Эти программы я удаляла, так что они точно не нужны.
爱奇艺 - это iQIYI, это установленное и нужное.
Могу только сказать, что за эту неделю китайского ничего не ставили.
Вот лог UVS.

Vvvyg · 25.04.2021, 20:55

Тогда уберите в Adwcleaner отметки со всего, что нужно оставить и закарантиньте остальное.

Aarataka · 27.04.2021, 09:30

Спасибо вам большое за помощь. Все работает.

25.04.2021, 09:32
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Информация которая содержится в этих обсуждениях должна вам помочь Подозрительная активность. Активность ЖД Странная активность аккаунта вконтакте, видимо троян

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

25.04.2021, 20:55	#6 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Тогда уберите в Adwcleaner отметки со всего, что нужно оставить и закарантиньте остальное.

27.04.2021, 09:30	#7 (permalink)
Aarataka Member Регистрация: 10.06.2010 Сообщений: 58 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Спасибо вам большое за помощь. Все работает.