Появляются разные окна, баннеры, самоустанавливаются программы

[Saabr]

На компьютере человек обновил браузер, после этого появился амиго и так далее, пытался бороться сам, но познаний не хватило. Появляются разные окна, баннеры, самоустанавливаются программы.

помогите пожалуйста.

P.S. два компьютера с такой проблемой, один в другой теме (находится на расстоянии 140 км). Так что буду сначала с этим, а потом тот доделаю.

 

 

 

 

CollectionLog-2016.05.29-00.08.zip

[Sandor]

Здравствуйте!

 

Следы avast удалите: Чистка системы после некорректного удаления антивируса.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО (что сможете):

Crossbrowse

Cyti Web

eShield Browser Security

Extended Update

Feed Notifier 2.6

GamesDesktop 033. - все одиннадцать штук

HP Defender

istartpageing uninstall

PC Speed Up

Quick Ref 1.10.0.9

SmartWeb

SpaceSoundPro Service

YAC(Yet Another Cleaner!)

Служба автоматического обновления программ

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\saophase\saophase.exe');
 TerminateProcessByName('c:\program files (x86)\feed notifier\notifier.exe');
 TerminateProcessByName('c:\program files (x86)\savepass 1.1\e44ac809-aac2-4494-ae88-7f586abf3af6-1-6.exe');
 TerminateProcessByName('c:\programdata\dchp\dchp.exe');
 TerminateProcessByName('c:\program files (x86)\1f70662a-1442558553-e211-b3c0-b888e3accc8e\knsabde9.tmp');
 StopService('Saophase');
 StopService('DCHP');
 StopService('puziseqe');
 QuarantineFile('C:\Users\Вика\AppData\Local\UpdateAdmin\UpdateAdmin.exe','');
 QuarantineFile('c:\programdata\saophase\saophase.exe','');
 QuarantineFile('c:\program files (x86)\feed notifier\notifier.exe','');
 QuarantineFile('c:\program files (x86)\savepass 1.1\e44ac809-aac2-4494-ae88-7f586abf3af6-1-6.exe','');
 QuarantineFile('c:\programdata\dchp\dchp.exe','');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\вика\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\1f70662a-1442558553-e211-b3c0-b888e3accc8e\knsabde9.tmp', '');
 QuarantineFile('C:\ProgramData\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\Program Files (x86)\48 dresses\48_dresses_updating_service.exe', '');
 QuarantineFile('C:\Users\Вика\appdata\local\smartweb\__u.exe', '');
 QuarantineFile('C:\Users\Вика\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Вика\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Вика\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Вика\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Вика\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\Users\Вика\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndеx.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gоoglе Chromе.lnk', '');
 QuarantineFile('C:\Users\Вика\Desktop\Яндекс.lnk', '');
 QuarantineFile('C:\Users\Вика\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('C:\Users\Вика\AppData\Roaming\Browsers\exe.resworb.bat', '');
 QuarantineFile('C:\Users\Вика\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('c:\programdata\dchp\dchp.exe','32');
 DeleteFile('c:\program files (x86)\savepass 1.1\e44ac809-aac2-4494-ae88-7f586abf3af6-1-6.exe','32');
 DeleteFile('c:\program files (x86)\feed notifier\notifier.exe','32');
 DeleteFile('c:\programdata\saophase\saophase.exe','32');
 DeleteFile('C:\Users\Вика\AppData\Local\UpdateAdmin\UpdateAdmin.exe','32');
 DeleteFile('C:\Users\Вика\AppData\Local\Yandex\browser.bat', '');
 DeleteFile('C:\Users\Вика\AppData\Roaming\Browsers\exe.resworb.bat', '');
 DeleteFile('C:\Users\Вика\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('C:\Windows\Tasks\48_dresses_updating_service.job', '64');
 DeleteFile('c:\program files (x86)\1f70662a-1442558553-e211-b3c0-b888e3accc8e\knsabde9.tmp', '32');
 DeleteFile('C:\ProgramData\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFile('C:\Users\Вика\AppData\Local\Yandex\browser.bat', '32');
 DeleteFile('C:\Program Files (x86)\48 dresses\48_dresses_updating_service.exe', '32');
 DeleteFile('C:\Users\Вика\appdata\local\smartweb\__u.exe', '32');
 DeleteService('Saophase');
 DeleteService('DCHP');
 DeleteService('puziseqe');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteFileMask('c:\users\вика\appdata\local\smartweb', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\program files\spacesoundpro');
 DeleteDirectory('c:\users\вика\appdata\local\smartweb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UpdateAdmin');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PPort11reminder');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве. Изменено 28 мая, 2016 пользователем Sandor

[Saabr]

готово.загажен комп вирусами.не получается вообще ничего толком сделать

P.S.

не спал почти сутки, воевал с компом. Удалил Tringulance  и другие вредоносные объекты вручную. Логи смогу только через неделю предоставить, потому как уезжаю, покажу логи, посмотрите пожалуйста нормально все или нет.Все таки я экономист по образованию, хотя ой как жалею что не программист(

ClearLNK-29.05.2016_01-49.log

AdwCleanerS1.txt

AdwCleanerS1.txt

Изменено 29 мая, 2016 пользователем Saabr

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.