Решена Автоматически открываются рекламные сайты

Статус
В этой теме нельзя размещать новые ответы.

Albert

Новый пользователь
Сообщения
46
Реакции
0
Ребята, здравствуйте! Сдуру запустил скачанный «экзешник», в результате чего поймал вредоносные программы. Теперь постоянно автоматически открываются сайты типа «Игровые автоматы», «СуперСлотс» и т. п. На всех открываемых мной сайтах сбоку и сверху висит реклама. Автоматом установились программы «Поиск в интернете», «Mail.ru» и «Выйти в интернет». Браузер Google Chrome. Так же в закладках браузера (под адресной строкой) появились «Mail.ru» и «Поиск в интернете». В автозагрузке появились файлы сценариев VBScript regCheck.vbs. Я нашёл их все в системе, но не удалял. Ещё скачалась какая-то игрушка с Mail.ru, но я не помню её название, потому что ярлык с рабочего стола я удалил сразу чисто машинально, и это, наверное, было моей оплошностью. Просто я не люблю загруженный рабочий стол, а программы запускаю либо из меню «Пуск», либо с панели задач. А решил я, что загрузка произошла с Mail.ru, потому что у меня там почта, и я неоднократно видел там на неё ссылку. Если у Вас ещё есть какие-то вопросы, или нужны какие-то уточнения – пишите. Постараюсь разобраться и ответить.
P. S. Вам нужен только архив, или текстовые файлы report.log тоже Вам загрузить?
 

Вложения

  • CollectionLog-2016.10.17-18.58.zip
    77.9 KB · Просмотры: 7
Здравствуйте.
Удалите через установку и удаление программ:
ScreenUp

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "Trusted Line Helper" /F', 0, 15000, true);
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   TerminateProcessByName('c:\program files\screenup\future_helper.exe');
   QuarantineFileF('c:\program files\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
   QuarantineFileF('c:\users\альберт\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
   QuarantineFileF('c:\users\альберт\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
   QuarantineFile('c:\program files\screenup\future_helper.exe', '');
   QuarantineFile('C:\Program Files\ScreenUp\nfapi.dll', '');
   QuarantineFile('C:\Program Files\Youtube AdBlock\IEEF\OfDbbC0aQR.exe', '');
   QuarantineFile('C:\Program Files\ScreenUp\ProtocolFilters.dll', '');
   QuarantineFile('C:\Users\Альберт\AppData\Local\DateOption\regCheck.vbs', '');
   QuarantineFile('C:\Users\Альберт\AppData\Local\FilterOptions\regCheck.vbs', '');
   QuarantineFile('C:\Users\Альберт\AppData\Local\FileSystemOptions\regCheck.vbs', '');
   QuarantineFile('C:\Users\Альберт\AppData\Local\TestMenu\regCheck.vbs', '');
   QuarantineFile('C:\Users\Альберт\AppData\Local\ImmediateHelp\regCheck.vbs', '');
   QuarantineFile('C:\Users\Альберт\AppData\Local\LastNews\regCheck.vbs', '');
   QuarantineFile('C:\Users\Альберт\AppData\Local\ValidateLife\regCheck.vbs', '');
   QuarantineFile('C:\Users\Альберт\AppData\Local\rightchose\regCheck.vbs', '');
   QuarantineFile('C:\Users\Альберт\AppData\LocalLow\SearchGo\searchgo.dll', '');
   QuarantineFile('C:\Users\Альберт\AppData\Local\SearchGo\searchgo.exe', '');
   DeleteFile('c:\program files\screenup\future_helper.exe', '32');
   DeleteFile('C:\Program Files\ScreenUp\nfapi.dll', '32');
   DeleteFile('C:\Program Files\ScreenUp\ProtocolFilters.dll', '32');
   DeleteFile('C:\Users\Альберт\AppData\Local\DateOption\regCheck.vbs', '32');
   DeleteFile('C:\Users\Альберт\AppData\Local\FilterOptions\regCheck.vbs', '32');
   DeleteFile('C:\Users\Альберт\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
   DeleteFile('C:\Users\Альберт\AppData\Local\TestMenu\regCheck.vbs', '32');
   DeleteFile('C:\Users\Альберт\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
   DeleteFile('C:\Users\Альберт\AppData\Local\LastNews\regCheck.vbs', '32');
   DeleteFile('C:\Users\Альберт\AppData\Local\ValidateLife\regCheck.vbs', '32');
   DeleteFile('C:\Users\Альберт\AppData\Local\rightchose\regCheck.vbs', '32');
   DeleteFile('C:\Users\Альберт\AppData\LocalLow\SearchGo\searchgo.dll', '32');
   DeleteFile('C:\Users\Альберт\AppData\Local\SearchGo\searchgo.exe', '32');
   DeleteFileMask('c:\program files\screenup', '*', true);
   DeleteFileMask('c:\users\альберт\appdata\locallow\searchgo', '*', true);
   DeleteFileMask('c:\users\альберт\appdata\local\searchgo', '*', true);
   DeleteDirectory('c:\program files\screenup');
   DeleteDirectory('c:\users\альберт\appdata\locallow\searchgo');
   DeleteDirectory('c:\users\альберт\appdata\local\searchgo');
   DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
   DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DateOption');
  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FilterOptions');
  RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'stzspsakli');
  RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FileSystemOptions');
  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'TestMenu');
  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ImmediateHelp');
  RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'LastNews');
  RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ValidateLife');
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
При попытке удаления программы «ScreenUp» через «Программы и компоненты» панели управления появилось окно: «Произошла ошибка при попытке удаления «ScreenUp». Возможно, удаление уже было выполнено ранее. Хотите удалить «ScreenUp» из списка программ и компонентов?» Я нажал кнопку «Нет», и скрипт и все остальные действия пока не выполнял, так как в вашем ответе необходимость удаления этой программы расположено в самом Вашего сообщения начале перед выполнением скрипта и остальных действий с системой. Саму программу я не удалял, так как обнаружил её только сейчас. Можно ли выполнить указанные Вами действия до удаления программы «ScreenUp»?

Обнаружил «ScreenUp» в ветвях системного реестра:

Компьютер\HKEY_CURRENT_USER\Software\ScreenUp

Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ScreenUp

Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\ScreenUp

Компьютер\HKEY_USERS\S-1-5-21-1341229968-2607555937-2744488822-1001\Software\ScreenUp

То есть понятно, что программа в системе есть.

И вот ещё что. В «Программах и компонентах» панели управления обнаружил программы «Youtube AdBlock» и «Video and Audio Plugin UBar», причём программа «Video and Audio Plugin UBar» по дате установки совпадает с установкой «ScreenUp» (7.10.2016), а «Youtube AdBlock» была установлена вообще вчера (17.10.2016), но я не помню, чтобы я их устанавливал.
 
» Я нажал кнопку «Нет»,
Повторите и нажмите "Да"

. В «Программах и компонентах» панели управления обнаружил программы «Youtube AdBlock» и «Video and Audio Plugin UBar», причём программа «Video and Audio Plugin UBar» по дате установки совпадает с установкой «ScreenUp» (7.10.2016), а «Youtube AdBlock» была установлена вообще вчера (17.10.2016), но я не помню, чтобы я их устанавливал.
Удалите их то же,алгоритм прежний.

Далее все равно выполняем данные мной ранее инструкции.
 
Я выполнил оба скрипта в программе AVZ (первый скрипт немного подвис во время выполнения, то есть рядом с названием программы была надпись "Не отвечает").
А у меня небольшой вопрос-уточнение по форме с форума oszone.net:

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Если можно, подробнее пожалуйста. На форуме oszone.net я скопировал в поле "Полный URL-адрес Вашей темы с запросом о помощи" URL-адрес своей темы на форуме safezone и в поле "Ваше имя пользователя (ник) на форуме" написал своё имя на форуме safezone. Файл прикрепил. А вот где указать имя почтового ящика и как создать пароль мне не очень понятно. Или это произойдёт дальше, после нажатия на кнопку "Послать сообщение"?
И с утилитой ClearLNK тоже мне не совсем понятно. Лог Check_Browsers_LNK.log я нашёл. Я должен запустить ClearLNK, перетащить туда лог и запустить её, или что?
Буду благодарен за разъяснения.
P.S. Прошу прощения за медленность своего мышления, но, наверное, я Вам напоминаю блондинок из компьютерных анекдотов. А "Защитник Winlows" нужно было отключать?
Я когда-то серьёзно увлекался компьютерами, и всем, что с ними связано, но было это уже больше пяти лет назад, и сейчас я уже почти всё забыл и охладел к этому, хотя в данный момент и чувствую увлечение и азарт при манипуляциях с операционной системой.
 
А вот где указать имя почтового ящика и как создать пароль мне не очень понятно
Просто прикрепите файлы,а дальше все образуется.
Пароль - открываете архив карантина и нажимаете на ключик внизу слева,если у вас winrar,если нет - посмотрите в сети инструкцию как установить пароль к архиву.
Я должен запустить ClearLNK, перетащить туда лог и запустить её, или что?
Просто перетащите лог на утилиту
. А "Защитник Winlows" нужно было отключать?
Желательно.
 
Прошу прощения за двухдневное молчание, жутко уставал на работе физически. Отправил файл quarantine.zip, прикрепляю остальные файлы. Отключил "Защитник Windows". Во время проверки утилитой AVZ после перезагрузки сразу же открылся рекламный сайт.
 

Вложения

  • Check_Browsers_LNK.log
    5.9 KB · Просмотры: 1
  • CollectionLog-2016.10.22-22.30.zip
    65.1 KB · Просмотры: 1
ScreenUp - не удалили.
Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
не сделали
Надо сделать.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\альберт\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\альберт\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Альберт\appdata\locallow\searchgo\searchgo.dll', '');
 QuarantineFile('C:\Users\Альберт\appdata\local\searchgo\searchgo.exe', '');
 DeleteFile('C:\Users\Альберт\appdata\locallow\searchgo\searchgo.dll', '32');
 DeleteFile('C:\Users\Альберт\appdata\local\searchgo\searchgo.exe', '32');
 DeleteFileMask('c:\users\альберт\appdata\locallow\searchgo', '*', true);
 DeleteFileMask('c:\users\альберт\appdata\local\searchgo', '*', true);
 DeleteDirectory('c:\users\альберт\appdata\locallow\searchgo');
 DeleteDirectory('c:\users\альберт\appdata\local\searchgo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lurlvaklyl');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

SSMaker2 ваше? пользуетесь?
 
ScreenUp - не удалили.
Вообще-то удалял, но эта программа появилась снова. Ранее дата установки была 7.10.2016, сейчас 19.10.2016.
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Перетаскивал, правда прикрепил не тот файл. Сейчас прикрепил необходимый.
SSMaker2 ваше? пользуетесь?
Когда-то пользовался программами для снятия скриншотов, сейчас использую "Ножницы", так что могу удалить, но я ни в Панели управления в "Программах и компонентах", ни в папке "Программы" меню "Пуск" эту программу не нашёл.
Скрипты пока не выполнял, выполню - отпишусь. Или пока их не надо выполнять, всвязи с появившейся у Вас моей новой информацией?
 

Вложения

  • ClearLNK-20.10.2016_20-17.log
    4.8 KB · Просмотры: 1
Выполняйте,и логи потом соберите.
 
Прикрепляю логи Autologger.
 

Вложения

  • CollectionLog-2016.10.23-10.59.zip
    43.9 KB · Просмотры: 1
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\Альберт\appdata\local\filterstart\filterstart.exe');
 QuarantineFileF('c:\users\альберт\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\альберт\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\Альберт\appdata\local\filterstart\filterstart.exe', '');
 QuarantineFile('C:\Users\Альберт\AppData\Roaming\ScreenMaker2\SSMaker.exe', '');
 QuarantineFile('C:\Users\Альберт\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\Альберт\AppData\Local\svshost\svshost.exe', '');
 QuarantineFile('C:\Users\Альберт\appdata\locallow\searchgo\searchgo.dll', '');
 QuarantineFile('C:\Users\Альберт\appdata\local\searchgo\searchgo.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Language Manifest Helper" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 DeleteFile('c:\users\Альберт\appdata\local\filterstart\filterstart.exe', '32');
 DeleteFile('C:\Users\Альберт\AppData\Roaming\ScreenMaker2\SSMaker.exe', '32');
 DeleteFile('C:\Users\Альберт\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\Альберт\AppData\Local\svshost\svshost.exe', '32');
 DeleteFile('C:\Users\Альберт\appdata\locallow\searchgo\searchgo.dll', '32');
 DeleteFile('C:\Users\Альберт\appdata\local\searchgo\searchgo.exe', '32');
 DeleteFileMask('c:\users\альберт\appdata\locallow\searchgo', '*', true);
 DeleteFileMask('c:\users\альберт\appdata\local\searchgo', '*', true);
 DeleteDirectory('c:\users\альберт\appdata\locallow\searchgo');
 DeleteDirectory('c:\users\альберт\appdata\local\searchgo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SSMaker2');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
+ программа freemaker - ваше?
 
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 
Подготовил лог UVS.
 

Вложения

  • HOME-PC_2016-10-25_20-09-43.rar
    602.6 KB · Просмотры: 3
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.87.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v388c
    breg
    sreg
    
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTERSTART\FILTERSTART.EXE
    addsgn 1A9FF89A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088FAF6CC7075174 64 Trojan.Triosir.708 [DrWeb]
    
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTERSTART\FILTERSTART.EXE
    bl 6BA4F2AA93A33951C8B029882E1F1156 200192
    deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTERSTART
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS
    bl 54E3A82208F75FDF5E09D32BDA2854DF 420
    delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS
    delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS
    delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS
    delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS
    delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS
    delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\ROOT TRUSTED HELPER.EXE
    addsgn A7679B19B192F4C63AD4AE5964CF120576DCAB7BCDDE33287AD6998C10D621B33663F3173EDE4D7AF0055690C2AE4BFA7DEC21336C96940022F90F2DC706A977 64 Trojan-Downloader.Win32.Adload.jyrq 
    
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\ROOT TRUSTED HELPER.EXE
    bl 44F4FD2545372EB4918AF95670BAC1F8 13312
    deldir %SystemDrive%\PROGRAM FILES\YOUTUBE ADBLOCK\IEEF
    delref HTTP://GO-SEARCH.RU/SEARCH?Q={SEARCHTERMS}
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL
    addsgn A7679B1928664D070E3C821F64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D1DBA28906C5F0F1649C9BD9F6307595F4659214E91378402327C 64 Trojan.LoadMoney.1408 [DrWeb]
    
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL
    bl 0F21077ACD26B74E219AAA824E7581C4 288768
    dirzoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCALLOW\SEARCHGO
    deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCALLOW\SEARCHGO
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBKNBNAPADDJDNBILPMLACDKJDKJMBJHD%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FUPDATE\FUPDATE.EXE
    addsgn 1A26739A5583CC8CF42B5194B849530570011000CCF21E2E0E3202BA3C51304C571DA95B68BDA3B5D47FDDC6CDD017A7BFDBE8BE99167C7DA03B8027ECCEA192 64 Trojan.DownLoader22.51269 [DrWeb]
    
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FUPDATE\FUPDATE.EXE
    bl 3C6DC10C0269DA71150E47A0B931B410 138464
    dirzoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FUPDATE
    deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FUPDATE
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
    addsgn 1AE2B39A5583338CF42B464E1BC8128EF501BE9AB2FF2B67C0C3B1ACDBDB89536617461D4E2098A1B7F6849FCD564D3995069772555160A76F1B9F2AF3196773 64 Trojan.LoadMoney.1441 [DrWeb]
    
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
    bl 64A8157837D5DF49827F232F1295DEC2 415232
    deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SEARCHGO
    ; C:\USERS\АЛЬБЕРТ\APPDATA\ROAMING\SCREENMAKER2\SSMAKER.EXE
    addsgn 1A60729A5583C28CF42B51942CF95C05AEC7089200F71F7885C39CE30F882AC7C64A92A5FD05F9B61E80849F469B0DDE71F48C565989E67BA45F2FC766760221 64 Trojan.StartPage1.31020 [DrWeb]
    
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\ROAMING\SCREENMAKER2\SSMAKER.EXE
    bl 0DD7F7CEFD2DA76CDD041B778E3D6BA7 1255424
    deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\ROAMING\SCREENMAKER2
    ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SVSHOST\SVSHOST.EXE
    addsgn A7679BF0AA02444640D4C6AD4F881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C5FA0CE9F75C4C32EF4CA685219DA3BE4AC965B2FC706AB7E 64 Trojan.LoadMoney.1845 [DrWeb]
    
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SVSHOST\SVSHOST.EXE
    bl 78C9E98F51994A7AF369DB9A9ED6CDF9 829392
    deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SVSHOST
    delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\ROOT TRUSTED HELPER.EXE
    delref HTTP:\\GO-SEARCH.RU\?UTM_SOURCE=QUICKLAUNCH
    chklst
    delvir
    czoo
    deltmp
    areg
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Повторите лог UVs.
 
Скрипт выполнил один раз. После создания первого архива выполнить этот скрипт ещё раз, и выложить второй архив или что? Архив к форме на oszone не цепляется, так как имя архива не совпадает с заявленными на oszone, или переименовать так, чтобы совпадал с заявленными в форме? Или можно выложить прямо сюда?
 
Последнее редактирование:
Когда скрипты выполнился - компьютер должен перезагрузиться,а в папке с uvs должен появиться файл типа: ZOO_2013-06-30_22-04-27.7z (только с актуальной датой)
Этот файл прикрепите на oszone.
Если что то не получится пишите.

Затем азново повторите такую процедуру,что бы убедиться что все вредоносное правильно удалилось:

  1. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  2. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  3. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  4. Подробнее читайте в руководстве Как подготовить лог UVS.
 
Архив ZOO_2016-10-26_20-19-13.rar с формой на oszone не отправляется, так как "Имя файла не совпадает с требуемыми". Лог автозапуска после выполнения скрипта прикрепляю к теме.
 

Вложения

  • HOME-PC_2016-10-30_09-22-22.rar
    587.2 KB · Просмотры: 4
ZOO_2016-10-26_20-19-13.rar
Залейте на файлообменник и прикрепите ссылку.
VIDEO ADBLOCK FOR CHROME - удалите из расширений хрома.

Если майл ру и его сервисы не нужны,то выполняем такой скрипт

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.87.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v388c
    breg
    
    delref %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BKNBNAPADDJDNBILPMLACDKJDKJMBJHD\1.4.3_0\VIDEO ADBLOCK FOR CHROME
    delref HTTP:\\WWW.MAIL.RU
    delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B2C38E2F8-391D-4981-9981-CE4D2CE77B59%7D&GP=811014
    delref HTTP://MAIL.RU/CNT/10445?GP=811013
    delref %SystemDrive%\USERS\АЛЬБЕРТ\DESKTOP\(MSITSTORE) HTTP://WWW.MAIL.RU/MRA?LANG=RU
    delref %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
    deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\MAIL.RU\SPUTNIK
    delref %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
    zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
    deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\ROAMING\MAIL.RU\AGENT
    deltmp
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.



  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу