Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Китайские проги и т.д.

1 2 След.
RSS
 
Денис К
Денис К
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 06.11.2016
Размещено 06.11.2016 16:10:17
Что-то установило кучу программ, в том числе несколько китайских (kingsoft), какие-то якобы анти-вирусы. В хроме теперь стоит приложение lowcostbar, его нельзя выключить или удалить, кнопки просто не активны. Из поисковика Google идёт перенаправление на рамблер во время поиска. Из меню "программы и компоненты" удалил, что смог, но я так понимаю этого мало и они опять восстановятся. Меню пуск, поиск и элементы трея не разворачиваются от левого щелчка мыши. Пожалуйста, помоги.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 06.11.2016 16:46:22
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
sreg

delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\KXESCORE.EXE
delref %Sys32%\DRIVERS\KSAPI64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.0.18061.220\QMUDISK64_EV.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.0.18061.220\QQPCHW-X64_EV.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.0.18061.220\SOFTAAL64_EV.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.0.18061.220\TSNETHLPX64_EV.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\SECURITY\KXESCAN\KDHACKER64.SYS
delref %Sys32%\DRIVERS\KISKNL.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\SECURITY\KSNETM\KISNETM64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\KXETRAY.EXE
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\TEMP\SERVICESC.EXE
areg

перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска системы.
[ Как создать образ автозапуска? ]
 
Денис К
Денис К
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 06.11.2016
Размещено 06.11.2016 17:38:09
Произошла какая-то ошибка во время выполнения скрипта, прикладываю лог. Всё осталось по-прежнему.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 06.11.2016 17:48:25
выполните этот же скрипт, но из безопасного режима системы.
+
новый образ автозапуска после выполнения скрипта.
[ Как создать образ автозапуска? ]
 
Денис К
Денис К
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 06.11.2016
Размещено 06.11.2016 18:24:23
При включении windows китайские проги не появились, диспетчере задач их тоже нет. Всё остальное, что описывал в первом посте, осталось.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 06.11.2016 19:45:24
уже лучше, китайского антивируса нет в автозапуске.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\SCREENUP\FUTURE_HELPER.EXE
addsgn 1A17C49A5583338CF42B467603C8128EF501BE9AB2FF8B03C1C3B1ACDBDB29306717461D4E2098A122DE849FCD564D39957E8F72555160A76F1B9F2A537D6673 8 Win32/RiskWare.NetFilter

addsgn 98EC888F4991C672A8D4BECD64A212FA3096077C89591F68F9C3AFBCAFC36DB7A91760572E299D232B7F9183BD9C49597DCF94723FDA4F39318C2E2F6406320F 8 Trojan.Turboinstall.12 [DrWeb]

zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\MZIZNTM0MZC=\S_INST.EXE
;------------------------autoscript---------------------------

chklst
delvir

;delref %Sys32%\DNSAPI.DLL

;delref %SystemRoot%\SYSWOW64\DNSAPI.DLL

deldirex %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS

delref {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNLBEJMCCBHKNCGOKJCMGHPFLOAAJCFFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref {10921475-03CE-4E04-90CE-E2E7EF20C814}\[CLSID]

delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
проверьте эти системные файлы на http://virustotal.com

Цитата
C:\WINDOWS\SYSWOW64\DNSAPI.DLL
C:\WINDOWS\SYSTEM32\DNSAPI.DLL
и дайте ссылку на линки проверок, возможно они модифицированы трояном.
(удалять их пока не надо, если модифицированы, мы их заменим на чистые файлы.)
[ Как создать образ автозапуска? ]
 
Денис К
Денис К
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 06.11.2016
Размещено 06.11.2016 20:26:05
C:\WINDOWS\SYSWOW64\DNSAPI.DLL
https://virustotal.com/ru/file/2e80cdd03ed614d5b844d639a3eb12104d6084127afa9b14­1b6dad3ec7fbffdc/anal...
C:\WINDOWS\SYSTEM32\DNSAPI.DLL
https://virustotal.com/ru/file/2e80cdd03ed614d5b844d639a3eb12104d6084127afa9b14­1b6dad3ec7fbffdc/anal...

Насчет проблем: всё так же, новых не появилось.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 07.11.2016 05:09:43
Денис,
да, пропатчены системные dll

1. скачайте по ссылке архив с чистыми файлами dnsapi.dll
http://rgho.st/6vRmZl4jv
2. распакуйте архив в папку, откуда вы будете запускать uVS

далее, только если выполнены действия 1 и 2!

3. выполните данный скрипт в uVS


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\DNSAPI.DLL
zoo %Sys32%\DNSAPI.DLL

EXEC cmd /c "rename %SystemRoot%\SYSWOW64\DNSAPI.DLL DNSAPI.DLL.old"
EXEC cmd /c "rename %Sys32%\DNSAPI.DLL DNSAPI.DLL.old"
EXEC cmd /c "copy DNSAPI.DLL %sys32%\DNSAPI.DLL"
EXEC cmd /c "copy DNSAPI64.DLL %SystemRoot%\SYSWOW64\DNSAPI.DLL" 
czoo
;-------------------------------------------------------------

restart


перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z)  отправить в почту [email protected], [email protected]

+
добавьте новый образ автозапуска для контроля.
Изменено: santy - 07.11.2016 05:53:42
[ Как создать образ автозапуска? ]
 
Денис Кузьминов
Денис Кузьминов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 10.11.2016
Размещено 10.11.2016 08:21:23
Извините за задержку, но у меня всё стало ещё хуже. Из трея пропали текущие подключения, а из сетевых подключений нельзя зайти (скрин приложен), Так что теперь у меня нет доступа к интернету с компьютера. Только сейчас смог зайти с другого места. Вся нижняя панель вместе с пуском, так и не работает. Практически любые программы теперь перед тем как открыться, спрашивают чем открыть, забывая настройки по умолчанию. Анти-вирус выдаёт ошибку и не включается вообще. Вот такие дела.

На почту файл zoo скинул.
скрин.jpg (86.41 КБ)
Изменено: Денис Кузьминов - 10.11.2016 08:27:51
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 10.11.2016 09:11:51
скрипт отработал как положено, заменил протрояненные dll на чистые.
DNSapi.dll теперь чистые, без троянов.

судя по образу, у вас AVAST покалечен. необходимо его вычистить с помощью утилиты из безопасного режима системы
https://www.avast.ru/uninstall-utility

после удаления проверьте доступ к сети.
если проблемы сохранятся,
запустите cmd.exe с правами администратора и выполните команду
Цитата
netsh winsock reset catalog
перегрузите систему,
проверьте доступ к сети.

если не поможет,
добавьте новый образ автозапуска.
Изменено: santy - 10.11.2016 09:16:52
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему