Перейти к содержанию
Правила раздела
Викторина по домашним продуктам "Лаборатории Касперского"

Amigo + Mail.ru + реклама в браузере

neotrance

Автор neotrance,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

neotrance

neotrance 816

Опубликовано
Опубликовано (изменено)

Всем привет.

После перехода на Win10 нашел на ноуте Амиго (в списке всех програм, в ПУ не было), Меил Апдейтер и началась запускаться реклама при открытии Г.Хром.
Помогите удалить  вирусы. 

CollectionLog-2015.09.30-17.53.zip

Изменено пользователем neotrance
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 418

Опубликовано
Опубликовано

HP Defender удалите через Установку программ

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Olichka\AppData\Local\Browsers\browser2.bat','');
QuarantineFile('C:\ProgramData\Browsers\browser6.bat','');
QuarantineFile('C:\ProgramData\Browsers\browser0.bat','');
SetServiceStart('HHandler Service', 4);
DeleteService('HHandler Service');
TerminateProcessByName('c:\program files (x86)\hp defender\hhandler.exe');
QuarantineFile('c:\program files (x86)\hp defender\hhandler.exe','');
DeleteFile('c:\program files (x86)\hp defender\hhandler.exe','32');
DeleteFile('C:\ProgramData\Browsers\browser0.bat','32');
DeleteFile('C:\ProgramData\Browsers\browser6.bat','32');
DeleteFile('C:\Users\Olichka\AppData\Local\Browsers\browser2.bat','32');
DeleteFileMask('c:\program files (x86)\hp defender', '*', true);
DeleteDirectory('c:\program files (x86)\hp defender');
DeleteFileMask('C:\ProgramData\Browsers', '*', true);
DeleteDirectory('C:\ProgramData\Browsers');
DeleteFileMask('C:\Users\Olichka\AppData\Local\Browsers', '*', true);
DeleteDirectory('C:\Users\Olichka\AppData\Local\Browsers');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты
neotrance

neotrance 816

Опубликовано
  • Автор
Опубликовано
1. Выполнил первый скрипт

2. [KLAN-3182457448]

3. Прикрепил новые логи

4. Удалил HP Defender

CollectionLog-2015.09.30-18.43.zip

ClearLNK-30.09.2015_18-38.log

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 418

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 418

Опубликовано
Опубликовано

Remote Desktop Access удалите через Установку программ

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
Task: {024F5CD0-1E49-4DC7-B42F-BB00F9DB2953} - \chrome5 -> No File <==== ATTENTION
Task: {0CE7380F-2058-4D41-B45E-8AAA3B4573F7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {14417AAE-5E3C-45B0-964A-039D6FC67B36} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {2286D07D-FF81-4632-938B-53C1091A591B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {33C628CB-7561-40CE-A7FA-9A38A605C3C1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {44D5FA90-0E6E-4DAA-9530-E23748547FF7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {63F06329-2565-46FD-AD4B-8CB444C6B497} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {9784C369-F7F9-4A27-A7B0-62FF6D7BDB62} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {99D3DC0C-98C6-4768-B8BD-F17900DA39C1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {CAE6D40D-0BB3-473A-B6A6-7BD6CE006BB9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {D8691495-8F05-4927-9583-3FE0E26C13D4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {E2261D42-797C-43B4-9CC3-339E726582BD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {E9E613C7-BA09-4587-BBD3-81AAAC8D4D03} - \chrome5_logon -> No File <==== ATTENTION
HKLM\...\RunOnce: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1503277481-863528806-1219388389-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Olichka\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-1503277481-863528806-1219388389-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: NetFilterPRO - C:\Users\Olichka\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\admin@netfilter.pro [2015-03-19]
OPR Extension: (Quick Searcher) - C:\Users\Olichka\AppData\Roaming\Opera Software\Opera Stable\Extensions\adokjfanaflbkibffcbhihgihpgijcei [2015-09-24]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=blackbear9"
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"],"urls_signature":"XMIrv1PkTw/0HjiEPkLtsPxaWfAsoCAQ4dR7hDrA6uPcPVZKQRy9brk3r6oRerLG"},"speeddial":{"bookmarks_folder_guid":"E4A8074C-733B-4A22-AD5E-06C514A89B57","imported_to_bookmarks":true},"spellcheck":{"dictionaries":["ru"
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=blackbear9
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
2015-09-27 12:16 - 2015-03-19 22:47 - 00000000 ____D C:\Users\Olichka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Mason19
      Строка поиска на рабочем столе.
      От Mason19
      Приветствую, по клавиатуре ноутбука прошелся кот и появилось поле для ввода поискового запроса с надписью: "введите текст здесь", подобное окно еще удалось вызвать на стационарном ПК, но что нажимал уже не помню. Какая программа или служба его вызывает? Окно похожее как на скришоте, только там Windows 11, а у меня на обоих ПК стоит Windows 10.

    • Сергей Danilov
      [РЕШЕНО] Не устанавливается Kaspersky Free, после удаления майнера
      От Сергей Danilov
      Произвёл чиску dr. web и KVRT, не устанавливается касперский, отчёт Autologger прилогаю
      CollectionLog-2024.09.28-11.30.zip
    • S14Y3R
      Неактивен/выключен Windows Defender
      От S14Y3R
      При попытке скачать программу VoiceMod с телеграм-канала Voicemod Pro и запуске из него файла Voicemod_setup.exe поймал вирус-шифровальщик вымогатель LockBit 3.0, от которого мне помогли окончательно избавиться здесь на форуме "Помощь в борьбе с шифровальщиками-вымогателями", но остались проблемы - был отключён и сделан неактивным Windows Defender (прилагаю скриншоты ниже), а также слетела активация самой Windows с ошибкой "Не удаётся активировать Windows на этом устройстве, так как наши серверы активации на данный момент недоступны...", код ошибки - 0x80072EE7 (также прилагаю скриншот ниже)



    • ГГеоргий
      BSOD после установки File: \Windows\System32\DRIVERS\Klelam.sys
      От ГГеоргий
      В процессе локальной установки  КЕС на устройство, оно выключилось и включилось уже с синим экраном
      error code 0xc00000f 
       "The operating system couldnt be loaded because a critical driver  missing or contains error" File: \Windows\System32\DRIVERS\Klelam.sys.
      в Safemode зайти не удается - всё равно выкидывает ошибку
      точки восстановления нет
      что делать? 
      мы ставили на два идентичных устройства до этого - всё прошло успешно
       
    • pZjQ
      [РЕШЕНО] NET.MALWARE.URL не удаляется прошу помочь
      От pZjQ
      Проверял через cureit, вирус не удаляется прошу помочь.cureit.zip
×
×
  • Создать...