Решена Появляются ярлыки на рабочем столе

Статус
В этой теме нельзя размещать новые ответы.

idiscodancer

Новый пользователь
Сообщения
31
Реакции
0
Здравствуйте. Брат установил какую-то странную программу и не обратил внимание на галочки. Установилась целая куча программок, часть mail, остальные до сих пор нахожу. После чего стали появляться ярлыки ссылки на рабочем столе, сами собой появились программа мониторящие компьютер, сами собой меняются настройки системы, компьютер стал заходить при перезагрузке в другие профили, начал запрашивать пароль, который я отключил. Куда то исчезает оперативная память. Компьютер стал жить своей жизнью. Антивирус при глубоком сканировании не обнаружил проблем.
 

Вложения

  • CollectionLog-2016.08.27-22.02.zip
    88.2 KB · Просмотры: 5
PBot удалите через Установку программ.

Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\alexn\AppData\Local\PBot\uninstall.exe','');
 QuarantineFile('C:\ProgramData\RenewalService\Renewal.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
 QuarantineFile('C:\Users\alexn\AppData\Local\PBot\launchall.js','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\Users\alexn\AppData\Local\PBot\launchall.js','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\RenewalService','64');
 DeleteFile('C:\ProgramData\RenewalService\Renewal.exe','32');
 DeleteFile('C:\Users\alexn\AppData\Local\PBot\uninstall.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{1FFEA577-BB20-43B2-9F21-70724D78CCBD}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 
pbot не удалялся через unistaller, пришлось удалить вручную папку и почистить реестр.
 

Вложения

  • CollectionLog-2016.08.28-16.06.zip
    87.3 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
 
Отчет во вложении
 

Вложения

  • FRST.rar
    42 KB · Просмотры: 6
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
Tcpip\..\Interfaces\{6c6a296e-d22f-4a34-88d7-2a017d247a11}: [NameServer] 89.108.106.89,8.8.8.8
2016-08-23 21:07 - 2016-08-24 03:26 - 00000000 ____D C:\Users\alexn\AppData\Local\Kometa
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Forge of Empires.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Booking.com.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk
2016-08-23 21:07 - 2016-08-23 21:07 - 00001136 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk
2016-08-15 20:19 - 2016-08-28 15:45 - 00000000 __SHD C:\Users\Все пользователи\KRB Updater Utility
2016-08-15 20:19 - 2016-08-28 15:45 - 00000000 __SHD C:\ProgramData\KRB Updater Utility
2016-08-15 20:19 - 2016-08-23 21:07 - 00000000 ____D C:\Users\alexn\AppData\Local\Amigo
2016-08-15 20:19 - 2016-08-15 20:19 - 00000000 ____D C:\Users\alexn\AppData\Local\Поиcк в Интeрнете
2016-08-15 20:18 - 2016-08-27 20:47 - 00000000 ____D C:\Program Files (x86)\Kinoroom Browser
C:\Users\alexn\AppData\Local\Temp\kernel32.dll
Task: {2B12731D-0B24-4312-8DA9-E8CEC0BCBAF5} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {8D6E8A9F-AE81-4E21-8978-0F6E5E9942A0} - \{1FFEA577-BB20-43B2-9F21-70724D78CCBD} -> No File <==== ATTENTION
Task: {F461453E-A801-427A-A4F0-D96BD1E8BF53} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
 
Еще почему-то у меня на компьютере вдруг стало два моих аккаунта и стал запрашиваться пароль при входе, хотя я его отключил
 

Вложения

  • Fixlog.txt
    4.8 KB · Просмотры: 2
Ничего критического не трогали. Или это из первоначальных проблем? Что с исходной проблемой?
 
Ничего критического не трогали. Или это из первоначальных проблем? Что с исходной проблемой?
Ярлыки больше не появляются, спасибо. Но при загрузки системы вылетает сообщение отсутствует подключение к сети и требует ввести пароль, хотя ввод пароля везде отключен. Никаких изменений в системе не проиводил.
 
Кажется понял, о чем речь :)

В настройках выхода в Интернет пропишите DNS-адреса, выданные Вам провайдером
 
Вчера появилась новая или продолжилась старая проблема. После загрузки Windows начинается постоянное обновление рабочего стола. Запустить могу только диспетчер задач и все что из него можно запустить. Восстановление не помогло. Антивирус запустить не могу, даже с флешки, флешку не видит. В безопасном режиме тоже самое. Может ли это быть вирус?
 
Клавишу F5 попробуйте поклацать, ощущение, что она залипла
 
нет, не помогает. Писал в техподдержку Майкрософт, сказали, что вирус и он какие-то важные системные файлы уничтожил. Пришлось переустанавливать систему.
 
Значит проблема не актуальна,я полагаю?
 
да, уже не актуально. Спасибо за помощь
 
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу