Решена лечение от вирусов из темы " две системы".

[dmitriy]

https://safezone.cc/threads/dve-sistemy.23105

 

[dmitriy]

Отчет о сканировании AdwCleaner.Спасибо ,Koza Nozdri , а ту папку то из Програм Файлес могу удалить-раз ее нет в \Удаление программ\?

 

[akok]

Понял. Сейчас посмотрим.C:\Windows\winstart.bat - откройте в блокноте и скопируйте содержимое файла

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\дима\AppData\Local\WinnerDM\wdm.exe','');
 QuarantineFile('C:\Users\дима\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
 QuarantineFile('C:\Program Files\VLC Player GPU+\UsageLog.exe','');
 DeleteFile('C:\Program Files\VLC Player GPU+\UsageLog.exe','32');
 DeleteFile('C:\Users\дима\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

[akok]

Пофиксить в HijackThis следующие строчки

O17 - HKLM\System\CCS\Services\Tcpip\..\{258FF8A6-E982-4105-A267-6AE3DCFD01E4}: NameServer = 0.0.0.0 0.0.0.0
O17 - HKLM\System\CCS\Services\Tcpip\..\{71770B11-6350-4703-A5BB-948BDF77CA20}: NameServer = 0.0.0.0 0.0.0.0

Желательно деиснсталировать IObit Malware Fighter

 

[dmitriy]

akok, я не очень хорошо разбираюсь в разного рода терминах . Я не нашел в C Windows файла- winstart.bat. Меню Пуск- Блокнот-C-Windows-winstart.bat-последнего просто нет. мне, если будете помогать ,скорей всего придется объяснять 'на пальцах ' -будьте так добры.

'

 

[edde]

Если не нашли значит его там уже нет. Лог мбам прикрепите к вашему следующему сообщению. Что с проблемами?

 

[dmitriy]

что такое Лог мбам? и еще деинсталировать-это значит удалить?

 

[Sandor]

Пофиксить в HijackThis следующие строчки

https://safezone.cc/threads/kak-pofiksit-s-pomoschju-hijackthis.9/

что такое Лог мбам?

см. чуть выше:

Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:

деинсталировать-это значит удалить?

Панель управления - Установка/удаление программ. Находите указанную программу в списке, "становитесь" на нее и нажимаете Удалить.

 

[edde]

Перечитайте пост akok, в нем есть рекомендация исследования утилитой mbam, результат исследования который появится после окончания проверки, прикрепите к вашему следующему сообщению.
Деинсталлировать - да, значит удалить программу.

 

[dmitriy]

загрузил обновления mbam-все прошло в 2е секунды-никакой проверки-никакого результата.

 

[edde]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Обновление загружать следует только если вирус блокирует загрузку обновлений, наврядли в вашем случае это так.

 

[dmitriy]

извините- понял-приложение то не скачал!отчет.после сканирования в мвам\ удалить объекты\ нажать?не могу что то с Hijack This справится-отмечаю галочкой выделенное синим- нажимаю Fix checked и рамка на иностр. яз вылазит . см. ниже. ПОМОГАЙТЕ УЖ!вроде загрузил-с горем пополам

 

[regist]

1) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Обнаруженные ключи в реестре: 13
HKCR\AppID\{562B9316-C08A-444A-9482-62080DD851AE} (PUP.Optional.SpeedAnalysis3.A) -> Действие не было предпринято.
HKCR\CLSID\{E33FF41E-53CB-4D93-885A-FFEFA04CD804} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
HKCR\CLSID\{4751C3C7-3353-4F2E-AD9B-4A058C037D85} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
HKCR\TypeLib\{1C3E898D-6143-494F-A000-79D980DAE5A5} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E33FF41E-53CB-4D93-885A-FFEFA04CD804} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E33FF41E-53CB-4D93-885A-FFEFA04CD804} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E33FF41E-53CB-4D93-885A-FFEFA04CD804} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1L1J1L1S1R1N -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K0VS59ZA\ClickMeInGeneric[1].exe (PUP.Optional.Clickmein) -> Действие не было предпринято.
D:\Documents and Settings\Администратор\Application Data\OpenCandy\C15570022EAE49BA8E349B06AF980B3E\sas.exe (PUP.Optional.SaveSense.A) -> Действие не было предпринято.
D:\Documents and Settings\Администратор\Application Data\OpenCandy\C15570022EAE49BA8E349B06AF980B3E\SaveSense_p1v2.exe (PUP.Optional.SaveSense.A) -> Действие не было предпринято.
D:\Documents and Settings\Администратор\Application Data\OpenCandy\E07728B2E6DC487EA58FAFDF3D8D5DA3\sas.exe (PUP.Optional.SaveSense.A) -> Действие не было предпринято.
D:\Documents and Settings\Администратор\Application Data\OpenCandy\E07728B2E6DC487EA58FAFDF3D8D5DA3\SaveSense_p1v2.exe (PUP.Optional.SaveSense.A) -> Действие не было предпринято.

2) После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

3) Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала

• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите "Продолжить". Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Подробнее читайте в руководстве.

4) Папку

C:\Program Files\VLC Player GPU+\

заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

[dmitriy]

МВАМ-запустил заново... А как быть сHijack This-я скрин выложил. я его не закрываю-жду вашего участия.

 

[mike 1]

В HiJackThis вы отметили видимо случайно секцию R1, а вам в сообщении №4 сказали пофиксить следующие строки:

O17 - HKLM\System\CCS\Services\Tcpip\..\{258FF8A6-E982-4105-A267-6AE3DCFD01E4}: NameServer = 0.0.0.0 0.0.0.0
O17 - HKLM\System\CCS\Services\Tcpip\..\{71770B11-6350-4703-A5BB-948BDF77CA20}: NameServer = 0.0.0.0 0.0.0.0

Инструкцию как пофиксить можно найти здесь https://safezone.cc/threads/kak-pofiksit-s-pomoschju-hijackthis.9/

 

[dmitriy]

ну отметил-нажал этот фикс.....-дальше то что?в инструкции сказано -можно нажать кнопку такую то и отметить, что я хочу вернуть-откуда я знаю,что мне вернуть надо!?

 

[akok]

• Нажмите кнопку View the list of backups.
• Отметьте то, что хотите вернуть
• Нажмите кнопку Restore.

 

[regist]

что я хочу вернуть-откуда я знаю,что мне вернуть надо!?

ничего возвращать не надо - если только вас не попросят об обратном или вы сами по ошибке удалили, что-то кроме того что просили пофиксить.

МВАМ-запустил заново...

удалили файлы которые я просил?
Если да, сделайте новый лог скаирования MBAM (уже после удаления) и логи RSIT
все нужные ссылки в моём предыдущем посте.

 

[dmitriy]

покажите мне в этом изображении слово на букву V

 

[regist]

dmitriy, пожалуйста, выполните пока до конца инструкции написанные в этом посте https://safezone.cc/threads/lechenie-ot-virusov-iz-temy-dve-sistemy.23111/#post-171170
после этого будет видно, что нужно вам дальше делать.и запрошенный карантин вы отправили? Пожалуйста, продублируйте его ещё раз, не могу его найти.