Перейти к содержанию
Правила раздела

Вирус устанавливает непонятные программы и плагины в браузер

ListigerWolf

Автор ListigerWolf,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

ListigerWolf

ListigerWolf 0

Опубликовано
Опубликовано

Доброе время. Прошу помощи в борьбе с вирусом. Примерно месяц назад поймал вирус который открывал всплывающие окна с рекламой, прямо на рабочем столе, устанавливал сторонние непонятные программы (майловский софт, браузеры амиго, хром, яндекс, которыми я вообще не пользуюсь, какие то защитники от вирусов). Постоянно менял стартовую страницу в браузере на майловскую. Перенаправлял с поисковика гугла на майл, опять же. С помощью стартера, фара и бесплатного касперского как то удалось это все дело победить, кроме самоустанвки плагина "Антимат" в файрфоксе. Я его просто отключал, но после каждой перезагрузки он устанавливался/включался заново. Т.к. компьютер перезагружается очень редко, он мне особо не мешал а потому решил оставить как есть. Сейчас опять, спустя где то месяц, начал устанавливаться непонятный софт (qksee, uncheckit, YAC), браузер хром. прошу помочь в удалении этой заразы, заранее спасибо.

CollectionLog-2016.05.19-13.43.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Деинсталлируйте:

qksee [2016/05/17 13:18:34]-->C:\Program Files (x86)\qksee\uninstall.exe
YAC(Yet Another Cleaner!) [2016/05/18 12:21:49]-->C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
ListigerWolf

ListigerWolf 0

Опубликовано
  • Автор
Опубликовано

готово


после отправки последнего сообщения, с логом, файрфркс перезагрузился, а потом выдал сообщение что другая программа хочет его изменить с помощью плагина "антимат"

AdwCleanerC1.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Удаляйте.

 

Everything 1.3.4.686 (x64) (HKLM\...\Everything) (Version:  - )

 

Еще если это незнакомо, то тоже деинсталлируйте.

 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files\Everything\Everything.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1795656496-799760380-2165950513-1005\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Extension: Антимат - C:\Users\Ivan\AppData\Roaming\Mozilla\Firefox\Profiles\yrwxqfn9.ListigerWolf\Extensions\helper@helper [2016-05-24] [not signed]
OPR Extension: (Advertising block) - C:\Users\Ivan\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-05-24]
2016-05-18 12:19 - 2016-05-18 12:19 - 00003872 _____ C:\Windows\System32\Tasks\UncheckitTaskMN
2016-05-18 12:19 - 2016-05-18 12:19 - 00003540 _____ C:\Windows\System32\Tasks\WenessUpdateTaskMachineCore
2016-05-18 12:19 - 2016-05-18 12:19 - 00003456 _____ C:\Windows\System32\Tasks\WenessUpdateTaskMachineUA
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Все пользователи\Weness
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Все пользователи\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Все пользователи\uckt
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Ivan\AppData\Roaming\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\Weness
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\uckt
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Program Files (x86)\Weness
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Program Files (x86)\Uncheckit
2016-03-25 16:57 - 2016-03-29 17:43 - 00000000 ____D C:\Program Files\908b85227a38fde4fd5636c5d20bef5b
2016-03-24 17:09 - 2016-05-24 10:36 - 00000438 _____ C:\Windows\Tasks\6B67773331_1037.job
2016-03-24 17:09 - 2016-04-11 11:43 - 00000000 ____D C:\Users\Ivan\AppData\Roaming\6B67773331_1037
2016-03-23 15:53 - 2016-03-23 15:53 - 00073216 _____ C:\Windows\taskmgr.exe
2016-03-23 15:53 - 2016-03-23 15:53 - 00028819 _____ C:\Windows\decred.cl
2016-03-23 15:53 - 2016-03-23 15:53 - 00000000 ____D C:\Windows\Azart
2016-03-23 15:52 - 2016-03-23 15:52 - 00000000 ____D C:\Users\Ivan\AppData\Roaming\MyDesktop
Task: {4373510E-E6C2-4D1B-9706-699577AD7A2B} - \6B67773331_1037 -> No File <==== ATTENTION
Task: {A34FC11C-9F30-496E-8356-31C0714FF2BE} - System32\Tasks\Microsoft Windows Video => C:\Users\Ivan\AppData\Roaming\Microsoft\Video\pokk.exe [2016-03-23] ()
Task: {E1D179AC-3887-4EEB-A200-F2066D456087} - System32\Tasks\UncheckitTaskMN => C:\Program Files (x86)\Uncheckit\cktSvc.exe [2016-05-17] (EVANGEL TECHNOLOGY (HK) LIMITED)
Task: {F160F242-F57E-4C78-9F69-ED1E80586499} - System32\Tasks\WenessUpdateTaskMachineCore => C:\Program Files (x86)\Weness\Update\WenessUpdate.exe [2016-05-18] ()
Task: C:\Windows\Tasks\6B67773331_1037.job => C:\Users\Ivan\AppData\Roaming\6B67773331_1037\Wl8W0TkDwQ.exe
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

  • Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе


  • Запустите DelFix

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да





  • В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup


  • Нажмите на кнопку Run

 

 

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...