|
Как удалить в интерфейсе следы malware
Недели 2 назад мне непосчастливилось поймать Baidu. По ссылке описание этой нечисти и как с ней бороться.
Пара дней ушла на очищение, эта Байда больше не мешает, но кое-где следы этой нечисти остались. Антивирусы и антималваре эти следы не видят и, следовательно, вычистить не могут. Так, у меня в "уведомлениях и действиях" красуются две китайские надписи (см. вложение). Как их удалить? |
dmitryvv, сбросить настройки можно, удалив параметр AppDB в разделе реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\PushNotifications |
Цитата:
|
Цитата:
|
Цитата:
|
dmitryvv,
Сделайте экспорт этого раздела в удобное место на случай восстановления, удалите все четыре параметра в нем и проверьте проблему. |
ruslan...,
Удалил, проверил, результат на скринах. Параметр DatabaseMigrationCompleted в реестре был удален наряду с другими тремя, но после перезагрузки он восстал из пепла)) Файл 139293, Файл 139294 Восстанавливаю как было? |
Вложений: 1
dmitryvv,
Извлеките файл реестра, запустите и согласитесь на слияние. После этого проверьте еще раздел реестра HKEY_USERS\S-1-5-21-уникальны код Вашего пользователя \SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications, там то же самое ? Проверьте проблему, если останется, то удалите параметры появившиеся после слияния из HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications и импортируйте обратно свою копию. |
Сделал, как вы сказали.
Цитата:
Перегрузил комп, проблема осталась - китайцы на месте )) Возвращаю все взад. |
Была похожая байда при установке "левой" сборки DesktopGadgetsRevived... в ней был гаджет от Baidu.
При его запуске вся эта гадость устанавливалась втихую на комп... Лечил в ручном режиме... удалил гаджет... остановил сервисы от Baidu... удалил все папки.... почистил реестр... и проверил каспером из-под лайва.... проблем после не было. удачи... попробуй запустить от админа ещё Autoruns и Shell Extensions Manager, может там что покажет... |
SVG, Спасибо!
Я вылечил прогой UnHackMe, но следы кое-где попадаются до сих пор. Работе они не мешают, но смотреть неприятно. |
Не за что... я не о лечении... Autoruns и Shell Extensions Manager запускал???
|
dmitryvv,
Запустите AutoRuns для Windows В окне программы File > Save . Файл формата .arn подкрепите к сообщению. |
SVG,
Цитата:
ruslan..., вот файл |
dmitryvv,
Ну вот к примеру на вкладке Службы снять галки с JIPJCAP и SKNQZJ и очистите папку C:\Users\User\AppData\Local\Temp Это сами устанавливали ? Connect Manager. c:\program files\connect manager\updatedog\ouc.exe |
ruslan...,
Да, Коннект-менеджер от МТС устанавливал сам. Я сейчас на даче и пользуюсь мобильным интернетом 4g, через модем LTE. А что такое JIPJCAP и SKNQZJ? Папку C:\Users\User\AppData\Local\Temp очистить всю? Подчистую? Там есть папкки от антивируса, от анти-малваре, файлы от дропбокс... |
Цитата:
Выглядит странно, что загружаются в службах. |
ruslan..., Вот что у меня в папке
|
dmitryvv,
Да я знаю, что этих файлов нет. Но записи-то в реестре присутствую ... Снимите галки и проверьте проблему. В C:\Users\User\AppData\Local\Temp можно все выделить и удалить. Некоторое не удалится. |
ruslan...,
Галки снял, перезагрузил, проблема осталась. Удалил, 2 файла остались. Не в тему - здесь такая гроза с градом, мой инет 4g отрубился, но опять восстановился )) |
dmitryvv,
Создайте лог файл 1. Запустите Process Monitor > в окне Process Monitor нажмите на значек фильтра > в окне фильтра нажмите RESET > APPLY > OK 2. Запустите интерфейс, где отображаются следы malware 3. Идете в Process Monitor, в окне Process Monitor > нажимаете меню File -> Save -> CSV-формат Выложите лог В архиве на любой файлообменник, например rghost.ru. |
|
dmitryvv,
Не увидел ничего. 1. Откройте командную строку с Административными правами. Для этого нажмите кнопку Пуск > выберите Все программы > Стандартные > щелкните правой кнопкой мыши командную строку и выберите команду Запуск от имени администратора. 2. В командной строке введите следующую команду и нажмите клавишу ВВОД: Код:
sfc /scannow |
|
dmitryvv,
Попробуйте в реестре по поиску запустить по одному иероглифу: ? ? ? ? |
ruslan..., проверил, ничего не нашел.
Может русский регедит не умеет искать по-китайски? Быстрее было бы переустановить винду, но... не факт, что байда исчезнет, некуда записать дистрибутив, здесь у меня только небольшая флешка - все файлы хранятся дома на НАСе, я с ним связываюсь удаленно, если надо что-то и оттуда беру. |
Цитата:
Запускаете установку в режиме обновления. Система восстанавливается, личные файлы и программы остаются на месте. Или качаете, записываете на диск или флэшку и Как переустановить Windows, сохранив настройки и установленные программы |
Цитата:
Если да, то не подойдет - у меня 4g не очень стабилен, частенько отключается и перезапускается. |
dmitryvv,
У вас есть хоть какой-то образ 10?? |
ruslan..., Казбек,
Спасибо за попытки помочь )) Скачал образ WIN10 (2.8Гб за полчаса, Слава Мегафону и его 4g LTE), правда пришлось встать в 5 утра. Спер у внука диск из медиаплеера, записал туда образ, смонтировал, запустил DISM с проверкой и восстановлением. Проверка выявила какие-то неисправные файлы, восстановление все восстановило, в общем, все прошло успешно - так сказала система DISM. Увы, китайцы остались. Есть какие-то идеи еще? Очень не хочется переустанавливать винду, придется все заново настраивать. |
Переустановил винду, китайцы остались на месте, зато появились проблемы с клавиатурой.
По умолчанию включен NumLk, клава маленькая, без цифровой панели. Некоторые клавиши в русской раскладке становятся цифровыми. Лечится переводом в спящий режим Fn+F4 и выводом из него любой клавишей. Слетела регистрация с некоторых лицензионных программ, придется восстанавливать, но это не страшно. Китайцы остались новая напасть - клавиатура |
Цитата:
|
Казбек, Накатил поверх, методом обновления. Сносить не стал, т.к. не знаю к чему это приведет, да и много чего устанавливать заново придется.
|
Цитата:
Код:
HKEY_USERS\.DEFAULT\Control Panel\KeyboardAutoruns ты уже запускал, но вот смотрел ли ты в нём задачи, которые по умолчанию не отображаются? Касается это задач Microsoft и Windows (первый пункт на второй распространяется, а вот второй может быть включен отдельно и, если я правильно помню, он как раз включен по умолчанию) сними галки в Options -> Hide Microsoft Entries и Hide Windwos Entries За одним, там же, можно включить проверку на VirusTotal и проверку цифровых подписей. |
dmitryvv,
Пройдитесь последовательно утилитами, как описано здесь. И сделайте лог из Autoruns: Ctrl + S - выберите arn формат - запакуйте его в архив и прикрепите к сообщению. |
E-zheg,
Цитата:
Авторанс запускал без галок в опциях, VirusTotal использовал. Казбек, Я все эти шаги проделывал - Байды на компе нет, остались лишь следы в виде тех, что я приводил на скриншотах. Они не мешают жить, работать, но просто раздражают. |
Цитата:
|
Казбек, Забыл совсем, я откатил драйвер клавы, надо вернуть и посмотреть.
Спасибо. Все т1 -е сам1е // Это была попытка написать: "Все то же самое ))" |
E-zheg,
В BIOS про клаву ничего. |
|
E-zheg,
Цитата:
см. пост #37 И вот что интересно - почему при переходе в спящий режим и выходе из него, все с клавой нормализуется. Шаманство какое-то. Как связан спящий режим и клавиатура? |
dmitryvv,
Так и есть.
 
|
Казбек, спасибо, конечно ))
Я, вообще-то, математик по професии... |
Цитата:
|
dmitryvv,
Дополнительно посмотрите настройки BIOS, нет ли настройки NumLock. |
Казбек, Попробовал - выключил и потом опять включил быструю загрузку, эффекта нет.
На NumLk реакции никакой - не включается НумЛок. ruslan..., в БИОС про NumLock и про клавиатуру ничего нет. Такое впечатление, драйвер клавы встает как-то криво, а когда ОС уснет, он прошмыгнет и встанет как надо. Бред какой-то )) |
Цитата:
|
E-zheg, Не парься с клавой небольшая проблема - откатил я драйвер и все стало правильно. ))
Вот что делать с китайцами - ума не приложу... Где рыть - не представляю. |
dmitryvv, так ты пробовал искать по полной выдаче программы autoruns или нет?
например я ещё и сам в реестре поискал бы и просто поиском по файлам |
E-zheg, Пробовал, как ты и говорил - снял галочки с Hide... и выдал полный журнал. Не нашел.
Но вот, что я нашел. В "Сведениях о системе"-> Программная среда->Группы программ имеется строка Имя группы_________________Имя______________________________Пользователь Start Menu\Programs\?? _____ACER\User:Start Menu\Programs\??_____АCER\User Т.е., если я правильно понимаю, в папке User сидит Start Menu, в котором прописаны эти китайцы. В папке User действительно есть ярлык папки "Главное меню", но попытка ее открыть не удается - нет доступа. Как ее открыть? И правильно ли я понял? НАШЕЛ!!! C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs - и вот они, 2 китайца! В уведомлениях они все равно остались... |
|
dmitryvv,
Возьмите, последовательно пройдите по путям, указанным здесь. |
Цитата:
|
Цитата:
|
Казбек, Прошел, нигде ничего нет китайского. Файлов и папок Байды давно уже нет на компе, в реестре слово Baidu отсутствует также. Осталась только надпись в уведомлениях, точнее 2 надписи.
|
По этому адресу C:\Users\User\AppData\Local\Microsoft\Windows\Notifications находится несколько файлов, наибольший интерес представляет wpndatabase.db Похоже, что в нем находится перечень приложений, перечисленных в "Уведомлениях".
Открывал блокнотом, но, естественно, ничего не разберешь. Даже русские буквы не читаются - другая кодировка. Чем можно открыть этот файл и, при необходимости, отредактировать? |
dmitryvv,
Создайте новую Учетную запись, загрузитесь в нее и проверьте наличие проблемы. |
ruslan..., в новой учетной записи в окне:
Все параметры->Система->Уведомления и действия\Получать уведомления от этих отправителей Китайцев нет. Там вообще никого нет, т.к. уч.запись новая, ни одной программы не установлено. Может,просто удалить это файл? ОС его восстановит уже без китайских надписей? |
dmitryvv, можно скопировать с заменой чистый файл из дистрибутива (если он там есть, я не нашёл в своих), а текущий сохранить.
кстати, можно попробовать его открыть каким-нибудь редактором баз данных, так как у меня нет этого файла, то и проверить нечем хотя, вот кой-какая инфа http://www.swiftforensics.com/2016/0...-database.html |
dmitryvv,
Попробуйте пока удалить в корзину этот файл. |
E-zheg, ruslan..., Этот файл заблокирован системой. Не удаляется, не переименовывается даже в безопасном режиме. Но дело не только в следах и письменных свидетельствах пребывания малваре на компе. Дело в том, что вполне себе приличные программы, которые попадают в список окна "Уведомления..." остаются там даже после того, как их удалили вполне легальным способом - через собственный деинсталлятор. Есть ли какой-то механизм в ОС, который обновляет это окно и приводит в соответствие с перечнем действительно установленных программ?
|
dmitryvv,
Перекочуйте в новый профиль. Возможно этот битый вирусом. Заодно проверьте в нем удаляется ли список после удаления программы. |
Кстати, я себе установил эту Baidu для эксперимента. И подобных записей не осталось после удаление программы.
|
ruslan..., Новый профиль - это все равно, что новый комп...
Казбек, Вот это странно. А как удаляли? С помощью его родного инсталлятора? Который по китайски говорит. У меня даже добропорядочные проги остались там после удаления родным или винусовским деинсталлятором. Значит что-то не так с МОИМИ уведомлениями. |
Цитата:
Цитата:
Или загрузитесь в среду восстановления и переместите. Как добраться, к примеру здесь Дело о восстановлении реестра |
ruslan..., Кстати о среде восстановления. Какие-то странные ошибки появились. Свойства системы->Защита системы --- выскакивает окно с ошибкой: "произошла ошибка на странице свойств: Произошла ошибка программы восстановления системы. Попробуйте повторно запустить программу восстановления. (0х81000203)."
Попытка запустить программу восстановления: Конфигурация системы->Сервис->Восстановление приводит к тому, что в новом окне говорится, что на диске нет точек восстановления ,чтобы их создать откройте защиту системы. Т.е. по кругу... Разобрался с ошибкой - служба не была запущена |
Цитата:
|
Цитата:
Видимо, поэтому не все удалилось. Может, мне опять поставить эту Байду и потом "правильно" удалить? |
dmitryvv,
Покажите из нового профиля скрин того же пути в реестре: Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\PushNotifications |
Вот они - скрины. old - существующая уч.запись, new - новая. У меня уже лимит заканчивается...
|
Интересная вещь выяснилась про Байду. Оказывается, помимо того, что она гадит в компе, эта зараза прописывает в брандмауэре (у меня Avast) среди "друзей" IP-адрес из Гонконга 58.64.152.158.
У меня постоянно идет сканирование портов оттуда. Удалось переименовать файлы в папке ...\Notifications Как и ожидалось, в окне "Уведомления и действия" все поля, касающиеся конкретных программ пустые - отсутствуют. Написано - уведомления от отправителей отсутствуют. ОС создала новые файлы БД уведомлений взамен переименованных. Судя по всему, уведомления туда прописываются при установке программ. Таким образом, задача заключается в том, чтобы найти редактор этой БД, чтобы можно было оттуда удалить ненужные записи. Возможно, существует какой-то другой способ заставить Винду обновить эту БД в соответствии с реально установленными программами. |
| Время: 22:22. |
Время: 22:22.
© OSzone.net 2001-