Перейти к содержанию
Правила раздела

Вирус устанавливает непонятные программы и плагины в браузер

ListigerWolf

От ListigerWolf
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

ListigerWolf Новичок

ListigerWolf

Опубликовано
Опубликовано

Доброе время. Прошу помощи в борьбе с вирусом. Примерно месяц назад поймал вирус который открывал всплывающие окна с рекламой, прямо на рабочем столе, устанавливал сторонние непонятные программы (майловский софт, браузеры амиго, хром, яндекс, которыми я вообще не пользуюсь, какие то защитники от вирусов). Постоянно менял стартовую страницу в браузере на майловскую. Перенаправлял с поисковика гугла на майл, опять же. С помощью стартера, фара и бесплатного касперского как то удалось это все дело победить, кроме самоустанвки плагина "Антимат" в файрфоксе. Я его просто отключал, но после каждой перезагрузки он устанавливался/включался заново. Т.к. компьютер перезагружается очень редко, он мне особо не мешал а потому решил оставить как есть. Сейчас опять, спустя где то месяц, начал устанавливаться непонятный софт (qksee, uncheckit, YAC), браузер хром. прошу помочь в удалении этой заразы, заранее спасибо.

CollectionLog-2016.05.19-13.43.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Деинсталлируйте:

qksee [2016/05/17 13:18:34]-->C:\Program Files (x86)\qksee\uninstall.exe
YAC(Yet Another Cleaner!) [2016/05/18 12:21:49]-->C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
ListigerWolf Новичок

ListigerWolf

Опубликовано
  • Автор
Опубликовано

готово


после отправки последнего сообщения, с логом, файрфркс перезагрузился, а потом выдал сообщение что другая программа хочет его изменить с помощью плагина "антимат"

AdwCleanerC1.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Удаляйте.

 

Everything 1.3.4.686 (x64) (HKLM\...\Everything) (Version:  - )

 

Еще если это незнакомо, то тоже деинсталлируйте.

 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files\Everything\Everything.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1795656496-799760380-2165950513-1005\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Extension: Антимат - C:\Users\Ivan\AppData\Roaming\Mozilla\Firefox\Profiles\yrwxqfn9.ListigerWolf\Extensions\helper@helper [2016-05-24] [not signed]
OPR Extension: (Advertising block) - C:\Users\Ivan\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-05-24]
2016-05-18 12:19 - 2016-05-18 12:19 - 00003872 _____ C:\Windows\System32\Tasks\UncheckitTaskMN
2016-05-18 12:19 - 2016-05-18 12:19 - 00003540 _____ C:\Windows\System32\Tasks\WenessUpdateTaskMachineCore
2016-05-18 12:19 - 2016-05-18 12:19 - 00003456 _____ C:\Windows\System32\Tasks\WenessUpdateTaskMachineUA
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Все пользователи\Weness
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Все пользователи\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Все пользователи\uckt
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Ivan\AppData\Roaming\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\Weness
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\uckt
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Program Files (x86)\Weness
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Program Files (x86)\Uncheckit
2016-03-25 16:57 - 2016-03-29 17:43 - 00000000 ____D C:\Program Files\908b85227a38fde4fd5636c5d20bef5b
2016-03-24 17:09 - 2016-05-24 10:36 - 00000438 _____ C:\Windows\Tasks\6B67773331_1037.job
2016-03-24 17:09 - 2016-04-11 11:43 - 00000000 ____D C:\Users\Ivan\AppData\Roaming\6B67773331_1037
2016-03-23 15:53 - 2016-03-23 15:53 - 00073216 _____ C:\Windows\taskmgr.exe
2016-03-23 15:53 - 2016-03-23 15:53 - 00028819 _____ C:\Windows\decred.cl
2016-03-23 15:53 - 2016-03-23 15:53 - 00000000 ____D C:\Windows\Azart
2016-03-23 15:52 - 2016-03-23 15:52 - 00000000 ____D C:\Users\Ivan\AppData\Roaming\MyDesktop
Task: {4373510E-E6C2-4D1B-9706-699577AD7A2B} - \6B67773331_1037 -> No File <==== ATTENTION
Task: {A34FC11C-9F30-496E-8356-31C0714FF2BE} - System32\Tasks\Microsoft Windows Video => C:\Users\Ivan\AppData\Roaming\Microsoft\Video\pokk.exe [2016-03-23] ()
Task: {E1D179AC-3887-4EEB-A200-F2066D456087} - System32\Tasks\UncheckitTaskMN => C:\Program Files (x86)\Uncheckit\cktSvc.exe [2016-05-17] (EVANGEL TECHNOLOGY (HK) LIMITED)
Task: {F160F242-F57E-4C78-9F69-ED1E80586499} - System32\Tasks\WenessUpdateTaskMachineCore => C:\Program Files (x86)\Weness\Update\WenessUpdate.exe [2016-05-18] ()
Task: C:\Windows\Tasks\6B67773331_1037.job => C:\Users\Ivan\AppData\Roaming\6B67773331_1037\Wl8W0TkDwQ.exe
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  • Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе


  • Запустите DelFix

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да





  • В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup


  • Нажмите на кнопку Run

 

 

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • misska
      Проверка на вирусы, шпионы, кейлоггеры, сталкерская программа
      От misska
      Добрый день,
       
      моя система взломана: есть доступ к монитору, все видится, считывается, злоумышленник знает все пароли от соц. сетей, мессенджера и пр.
      В мессенджере, в настройках безопасности, чужие (другие) устройства не отображаются, все - только мои.
      Антивирус вирусов не обнаруживает, но просит закрыть какой-то порт...
       
      Внизу прилагаются отчеты
       
       

      CollectionLog-2025.02.22-18.18.zip
    • decadannce
      Kaspersky не устанавливается
      От decadannce
      Пытаюсь установить Kaspersky, но из раза в раз установка закрывается примерно на 95%, никаких ошибок, просто закрывается и больше не открывается
    • Couita
      Vmware и VirtualBox не хотят устанавливаться
      От Couita
      Здравствуйте! 
      Не получается никак установить виртуальную машину на устройство. Ошибки летят.
       Ошибка при создании виртуальной машины на VirtualBox.
       При установке VMware.
       
    • NoVirusAvailable
      Окно CMD при старте windows, вирус открывает страницу в браузере
      От NoVirusAvailable
      Здравствуйте! Вероятно компьютер требует лечения.
       
      При запуске windows запускается три(!) окна CMD и мигом закрываются. Так происходит несколько месяцев.
       
      Сегодня в браузере начал открываться сайт с рекламой. Заходить на него не пробовал. Начал искать решение на форуме.
       
      Еще у меня подозрение, что на моем компьютере что-то запускается в фоне, так как иногда загрузка процессора достигает 80%, хотя фактически нагрузки нет. В диспетчере задач не нахожу ничего подозрительного.
       
      Система Windows 10 x64
       
      Что сделал:
      Скачал AutoLogger.exe, но с первого (пятого) раза программа не запустилась: "Ошибка при выполнении AV_Z.exe "Скрипт=AV\script2.txt hidden mode=0". Не удается найти указанный файл."
      Поэтому скачал FRST, запустил, получил 3 лога: FRST, addition, shortcut. Вероятно, поторопился, но такие советы также встретил.
       
      Снова начал искать AutoLogger, который запустился и создал файл CollectionLog-2025.01.18-00.36, его и прилагаю.
       
      Какие дальнейшие действия, чтобы вылечить компьютер? Спасибо за советы.
      CollectionLog-2025.01.18-00.36.zip
    • Vadim Nube
      В браузер Yandex автоматически устанавливается расширение "Adblock Plus"
      От Vadim Nube
      Здравствуйте! Помогите пожалуйста. Adwcleaner - не помогает в решении проблемы.
      В браузер Yandex автоматически устанавливается расширение "Adblock Plus" - который не является оригинальным расширением. Данное расширение маскируется под него.
      Скачал программу FRST64, отчеты приложил.
      К слову я слабый пользователь ПК.
      Shortcut.txt Addition.txt FRST.txt
×
×
  • Создать...