Перейти к содержанию
Правила раздела

Опять о больном, браузер рекламу!

Анастасия Вах

От Анастасия Вах
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Анастасия Вах Новичок

Анастасия Вах

Опубликовано
Опубликовано

Всем доброе время суток, 

 

Столкнулся тут с проблемой, устанавливаются сами по себе программы и браузер стал сам открывать через какое-то время одну страницу с рекламой, даже если смотришь фильм и.т.д!

 

Сам виноват качал на сканер драйвера из сомнительного источника, после этого такие приключения и начались. 

С головой дружу сам все нашел, реестр почистил, прогнал через антивирус и через AdwCleaner, программы перестали устанавливаться все ОК! А вот браузер не как не хочет лечится, проверял пути в ярлыке все нормально, так что прощу помощи!

 

Скидываю лог AdwCleaner 1 и 2 вариант прогонял 2 раза первый раз как видно уйму всего было, второй вроде все нормально но проблема актуальна.

 

Первый раз

Превый лог AdwCleaner.:

# AdwCleaner v5.118 - Отчёт создан 30/05/2016 в 15:34:25
# Обновлено 23/05/2016 by Xplode
# База данных : 2016-05-30.1 [Сервер]
# Операционная система : Windows 10 Home Single Language (X64)
# Пользователь : SjayLiFe - DRIVEFOX
# Запущено из : C:\Users\SjayLiFe\Desktop\adwcleaner_5.118.exe
# Настройка : Очистка
# помощь : http://toolslib.net/forum

***** [ Службы ] *****

[-] Служба Удалено : UbarCalloutDriver
[-] Служба Удалено : UbarPolicyProvider

***** [ Папки ] *****

[-] Папка Удалено : C:\ProgramData\KRB Updater Utility
[-] Папка Удалено : C:\ProgramData\Mail.Ru
[-] Папка Удалено : C:\ProgramData\UBar
[#] Папка Удалено : C:\ProgramData\Application Data\KRB Updater Utility
[#] Папка Удалено : C:\ProgramData\Application Data\Mail.Ru
[#] Папка Удалено : C:\ProgramData\Application Data\UBar
[-] Папка Удалено : C:\Program Files (x86)\KINOROOM BROWSER
[-] Папка Удалено : C:\Program Files (x86)\Mail.Ru
[-] Папка Удалено : C:\Program Files (x86)\MagicPlus
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Local\Mail.Ru
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Local\MailRu
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\AceWebExtension
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\tencent
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\zona
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\MailProducts
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\magicplayer@acestream.org
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\search@mail.ru
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\homepage@mail.ru
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim
[-] Папка Удалено : C:\Program Files\UBar
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Local\com

***** [ Файлы ] *****

[-] Файл Удалено : C:\Users\SjayLiFe\Favorites\Mail.Ru.url
[-] Файл Удалено : C:\Users\SjayLiFe\Favorites\Mail.Ru Агент - используй для общения!.url
[-] Файл Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml

***** [ DLLs ] *****


***** [ WMI ] *****


***** [ Ярлыки ] *****


***** [ Запланированные задания ] *****

[-] Задание Удалено : Microsoft\KRBUUS\KRB Updater Utility Service
[-] Задание Удалено : Microsoft\KRBUUS\KRBLNKRUN

***** [ Реестр ] *****

[-] Параметр Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run [KRB Updater Utility]
[-] Ключ Удалено : HKCU\Software\Classes\acestream
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ Удалено : HKCU\Software\Microsoft\Tinstalls
[-] Ключ Удалено : HKCU\Software\TutoTag
[-] Ключ Удалено : HKCU\Software\zona
[-] Ключ Удалено : HKCU\Software\WIN
[-] Ключ Удалено : HKCU\Software\Mail.Ru
[-] Ключ Удалено : HKCU\Software\MagicPlus
[-] Ключ Удалено : HKCU\Software\AppDataLow\Software\Mail.Ru
[-] Ключ Удалено : HKLM\SOFTWARE\Mail.Ru
[-] Ключ Удалено : HKLM\SOFTWARE\MagicPlus
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Zona)
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494
[-] Значение Восстановлено : HKCU\Software\Microsoft\Internet Explorer\Main [start Page]
[-] Значение Восстановлено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Internet Explorer\Main [start Page]
[-] Параметр Удалено : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules [{0584A907-3411-49A1-8E48-365DEB5B673B}]
[-] Ключ Удалено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A06ED961-D98F-4CF9-A89B-80AB11DB149C}
[-] Значение Восстановлено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope]
[-] Ключ Удалено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[-] Значение Восстановлено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope]
[-] Параметр Удалено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run [AceUpdater]
[-] Параметр Удалено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run [cmd]
[-] Параметр Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Kinoroom Browser]
[#] Параметр Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run [KRB Updater Utility]

***** [ Веб браузеры ] *****

[-] [C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js] Удалено : user_pref("browser.search.defaultenginename", "Поиск@Mail.Ru");
[-] [C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js] Удалено : user_pref("browser.search.selectedEngine", "Поиск@Mail.Ru");
[-] [C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js] Удалено : user_pref("browser.startup.homepage", "hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529");
[-] [C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js] Удалено : user_pref("network.hxxp.request.max-start-delay", 0);
[-] [C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js] Удалено : user_pref("browser.startup.homepage", "hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529");

*************************

:: Ключи "Tracing" удалены
:: Настройки Winsock очищены

*************************

C:\AdwCleaner\AdwCleaner[C1].txt - [7569 байт] - [30/05/2016 15:34:25]
C:\AdwCleaner\AdwCleaner[s1].txt - [8822 байт] - [30/05/2016 15:30:24]

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [7721 байт] ##########

 

Второй раз

Второй лог AdwCleaner:

# AdwCleaner v5.119 - Отчёт создан 31/05/2016 в 12:38:51
# Обновлено 30/05/2016 by Xplode
# База данных : 2016-05-30.3 [Сервер]
# Операционная система : Windows 10 Home Single Language (X64)
# Пользователь : SjayLiFe - DRIVEFOX
# Запущено из : C:\Users\SjayLiFe\Desktop\Софт l Soft\adwcleaner_5.119.exe
# Настройка : Сканировать
# помощь : http://toolslib.net/forum

***** [ Службы ] *****


***** [ Папки ] *****


***** [ Файлы ] *****


***** [ DLL ] *****


***** [ WMI ] *****


***** [ Ярлыки ] *****


***** [ Запланированные задания ] *****


***** [ Реестр ] *****

Значение Найдено : HKCU\Software\Microsoft\Internet Explorer\Main [start Page] - hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529
Значение Найдено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Internet Explorer\Main [start Page] - hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529
Ключ Найдено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A06ED961-D98F-4CF9-A89B-80AB11DB149C}
Значение Найдено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] - {A06ED961-D98F-4CF9-A89B-80AB11DB149C}
Ключ Найдено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Internet Explorer\SearchScopes\{A06ED961-D98F-4CF9-A89B-80AB11DB149C}
Значение Найдено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] - {A06ED961-D98F-4CF9-A89B-80AB11DB149C}

***** [ Веб браузеры ] *****

[C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js] Найдено : user_pref("browser.startup.homepage", "hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529");
[C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js] Найдено : user_pref("browser.startup.homepage", "hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529");

*************************

C:\AdwCleaner\AdwCleaner[C1].txt - [7815 байт] - [30/05/2016 15:34:25]
C:\AdwCleaner\AdwCleaner[C2].txt - [2651 байт] - [30/05/2016 16:55:00]
C:\AdwCleaner\AdwCleaner[C3].txt - [1953 байт] - [30/05/2016 21:35:12]
C:\AdwCleaner\AdwCleaner[s1].txt - [8822 байт] - [30/05/2016 15:30:24]
C:\AdwCleaner\AdwCleaner[s2].txt - [2923 байт] - [30/05/2016 16:06:06]
C:\AdwCleaner\AdwCleaner[s3].txt - [1979 байт] - [30/05/2016 20:55:00]
C:\AdwCleaner\AdwCleaner[s4].txt - [3018 байт] - [31/05/2016 12:38:51]

########## EOF - C:\AdwCleaner\AdwCleaner[s4].txt - [3094 байт] ##########

 

Ссылка на комментарий
Поделиться на другие сайты
Анастасия Вах Новичок

Анастасия Вах

Опубликовано
  • Автор
Опубликовано

Вот пожалуйста, пока сканирование шло, опять установилось куча ерунды типо (Black Desert, War Thunder, Новости, Star Conflict, Aliexpress) которые я даже не ставил, а браузер все по прежнему за свое!

 

 

CollectionLog-2016.06.01-20.07.zip

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\sjaylife\appdata\local\temp\nsucffa.tmp\1424ba27-ae5f-46cf-8b69-3c50aaca4854.exe');
 QuarantineFile('C:\Users\SjayLiFe\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\SjayLiFe\AppData\Local\Temp\nsjE5CF.tmp\System.dll','');
 QuarantineFile('C:\Users\SjayLiFe\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\42F91C3E-33FF-415B-9C88-C083EBEBAC8D\8D9F6CBC-349F-419F-B15D-921F8B9CB5A4.exe','');
 QuarantineFile('C:\Users\SjayLiFe\Desktop\344-345-util-windows\autorun.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\Macromed\Flash\pepflashplayer32_22_0_0_168.dll','');
 QuarantineFile('c:\users\sjaylife\appdata\local\temp\nsucffa.tmp\1424ba27-ae5f-46cf-8b69-3c50aaca4854.exe','');
 DeleteFile('C:\Users\SjayLiFe\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Users\SjayLiFe\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\42F91C3E-33FF-415B-9C88-C083EBEBAC8D\8D9F6CBC-349F-419F-B15D-921F8B9CB5A4.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\SafeBrowser','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A42F91C3E-33FF-415B-9C88-C083EBEBAC8D','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\extsetup','64');
 DeleteFile('c:\users\sjaylife\appdata\local\temp\nsucffa.tmp\1424ba27-ae5f-46cf-8b69-3c50aaca4854.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrent');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','42F91C3E-33FF-415B-9C88-C083EBEBAC8D');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)


- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты
Анастасия Вах Новичок

Анастасия Вах

Опубликовано
  • Автор
Опубликовано

[KLAN-4397525474]

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

extsetup.exe,
8D9F6CBC-349F-419F-B15D-921F8B9CB5A4.exe,
pepflashplayer32_22_0_0_168.dll

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

 

лог AdwCleaner:

# AdwCleaner v5.119 - Отчёт создан 06/06/2016 в 10:48:46
# Обновлено 30/05/2016 by Xplode
# База данных : 2016-06-03.1 [Сервер]
# Операционная система : Windows 10 Home Single Language (X64)
# Пользователь : SjayLiFe - DRIVEFOX
# Запущено из : C:\Users\SjayLiFe\Desktop\Софт l Soft\adwcleaner_5.119.exe
# Настройка : Очистка
# помощь : http://toolslib.net/forum

***** [ Службы ] *****


***** [ Папки ] *****

[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Local\Amigo
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Local\Kometa
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev

***** [ Файлы ] *****


***** [ DLLs ] *****


***** [ WMI ] *****


***** [ Ярлыки ] *****


***** [ Запланированные задания ] *****

[-] Задание Удалено : Microsoft\SafeBrowser
[-] Задание Удалено : Microsoft\Windows\extsetup
[-] Задание Удалено : Microsoft\Windows\SafeBrowser
[-] Задание Удалено : GameNet

***** [ Реестр ] *****

[-] Ключ Удалено : HKCU\Software\Mobogenie3
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ASPackage

***** [ Веб браузеры ] *****


*************************

:: Ключи "Tracing" удалены
:: Настройки Winsock очищены

*************************

C:\AdwCleaner\AdwCleaner[C1].txt - [7815 байт] - [30/05/2016 15:34:25]
C:\AdwCleaner\AdwCleaner[C2].txt - [2651 байт] - [30/05/2016 16:55:00]
C:\AdwCleaner\AdwCleaner[C3].txt - [1953 байт] - [30/05/2016 21:35:12]
C:\AdwCleaner\AdwCleaner[C4].txt - [2904 байт] - [31/05/2016 12:55:27]
C:\AdwCleaner\AdwCleaner[C5].txt - [1794 байт] - [31/05/2016 13:58:52]
C:\AdwCleaner\AdwCleaner[C6].txt - [3792 байт] - [01/06/2016 20:20:02]
C:\AdwCleaner\AdwCleaner[C7].txt - [2076 байт] - [06/06/2016 10:48:46]
C:\AdwCleaner\AdwCleaner[s1].txt - [8822 байт] - [30/05/2016 15:30:24]
C:\AdwCleaner\AdwCleaner[s2].txt - [2923 байт] - [30/05/2016 16:06:06]
C:\AdwCleaner\AdwCleaner[s3].txt - [1979 байт] - [30/05/2016 20:55:00]
C:\AdwCleaner\AdwCleaner[s4].txt - [3176 байт] - [31/05/2016 12:38:51]
C:\AdwCleaner\AdwCleaner[s5].txt - [1608 байт] - [31/05/2016 13:55:51]
C:\AdwCleaner\AdwCleaner[s6].txt - [4129 байт] - [01/06/2016 20:16:28]
C:\AdwCleaner\AdwCleaner[s7].txt - [2641 байт] - [06/06/2016 10:42:48]

########## EOF - C:\AdwCleaner\AdwCleaner[C7].txt - [2684 байт] ##########

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Сами устанавливали следующее ПО?

HKU\S-1-5-21-657499718-3248821441-2090416912-1002\...\Run: [Foxmail] => C:\Foxmail 7.2\Foxmail.exe [16021048 2015-11-04] (Tencent Inc.)

Какие из следующих расширений сами ставили?
CHR Extension: (Stylenews) - C:\Users\SjayLiFe\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-06-02]
CHR Extension: (Новости) - C:\Users\SjayLiFe\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-06-01]
CHR Extension: (News Tab) - C:\Users\SjayLiFe\AppData\Local\Google\Chrome\User Data\Default\Extensions\kjacjjdnoddnpbbcjilcajfhhbdhkpgk [2016-06-02]
OPR Extension: (Stylenews) - C:\Users\SjayLiFe\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-06-02]
OPR Extension: (News Tab) - C:\Users\SjayLiFe\AppData\Roaming\Opera Software\Opera Stable\Extensions\kjacjjdnoddnpbbcjilcajfhhbdhkpgk [2016-06-02]

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-657499718-3248821441-2090416912-1002\...\Run: [uTorrent] => C:\Users\SjayLiFe\AppData\Roaming\uTorrent\uTorrent.exe [2133504 2016-05-15] (BitTorrent Inc.)
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Plugin-x32: @ieinspector.com/ha_plugin -> C:\Program Files (x86)\IEInspector\HTTPAnalyzerFullV7\firefox\Components [No File]
FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
FF Plugin HKU\S-1-5-21-657499718-3248821441-2090416912-1002: ubisoft.com/uplaypc -> C:\Games\The Settlers 7 - Paths to a Kingdom\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [No File]
FF Extension: No Name - C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\netvideohunter@netvideohunter.com [not found]
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
FF HKLM-x32\...\Firefox\Extensions: [{B1463975-4E00-4AC6-9D03-D3644B09422D}] - C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
2016-06-01 20:03 - 2016-06-01 20:03 - 00001132 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk
2016-06-01 20:03 - 2016-06-01 20:03 - 00001132 _____ C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
2016-06-01 20:03 - 2016-06-01 20:03 - 00001132 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
2016-06-01 20:03 - 2016-06-01 20:03 - 00001132 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk
2016-06-01 20:03 - 2016-06-01 20:03 - 00001132 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk
Folder: C:\Users\SjayLiFe\AppData\Roaming\Checkers
2015-12-12 20:23 - 2015-12-12 20:23 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
C:\Users\SjayLiFe\AppData\Local\Temp\tasklisten.exe
CustomCLSID: HKU\S-1-5-21-657499718-3248821441-2090416912-1002_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-657499718-3248821441-2090416912-1002_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-657499718-3248821441-2090416912-1002_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
Task: {01BCD422-4779-4C3F-A9BB-2D6B2B7429D8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {061703C5-57DE-4B79-B7CA-5CF50FF67A03} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {07401A74-4FC5-4EDA-94D0-D8539C7F1035} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {25BB7D54-93FB-4975-A34C-81CD611BE00E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {2B026A52-8B3D-43F9-BB92-64F2A4F96FC0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {3033A418-5518-4206-A389-AE88286FC108} - \Microsoft\extsetup -> No File <==== ATTENTION
Task: {48BABA16-874C-473F-9745-B3C6E3CBBE76} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {7BC3AF39-5C87-460B-9D88-E0A11CA06F6A} - \KMSAutoNet -> No File <==== ATTENTION
Task: {87C9220A-6795-4179-AD59-715FD52822D5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {87D58906-8B2F-4149-87EB-3CAD3B91F77B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {967D833F-0447-4004-A470-F9F3745DA40B} - \Microsoft\Windows\A42F91C3E-33FF-415B-9C88-C083EBEBAC8D -> No File <==== ATTENTION
Task: {9B73613E-939C-4EE7-9B35-D68815D4D7BA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {B7467D82-4929-482C-917B-7966D116D641} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {FA772A7A-5867-4EE5-B314-359A9D6F3735} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:07BF512B [152]
AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [151]
AlternateDataStreams: C:\ProgramData\Temp:A064CECC [136]
AlternateDataStreams: C:\ProgramData\Temp:BC359956 [127]
AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B [152]
AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [151]
AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [136]
AlternateDataStreams: C:\Users\Все пользователи\Temp:BC359956 [127]
Reg: reg delete "HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\uTorrent" /f
Reg: reg delete "HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\AceWebExtensionUpdater" /f
FirewallRules: [{0ABBC921-CFEA-4541-9CC4-D9B82CFCE351}] => (Allow) C:\Users\SjayLiFe\AppData\Local\Temp\Setup.exe
FirewallRules: [{A0844DEB-B4D5-4999-8688-73A182BF6BC2}] => (Allow) C:\Users\SjayLiFe\AppData\Local\Temp\Setup.exe
EmptyTemp:
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
Анастасия Вах Новичок

Анастасия Вах

Опубликовано
  • Автор
Опубликовано

1. Foxmail ставил сам!

 

2. Не совсем понятно что за расширения News Tab с таким концом kjacjjdnoddnpbbcjilcajfhhbdhkpgk, скорее всего это встроенные в Opera Developed 39.0!

Так как расширения которые ставил сам это (Adblock Plus, Browsec, Get Styles, SaveFrom помощник, Unlimited Free VPN - Hola, XTranslate) все остальное точно не я ставил или просто встроенные!

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Анастасия Вах Новичок

Анастасия Вах

Опубликовано
  • Автор
Опубликовано

Готово, на самом деле проблема исчезла еще после сканирования AVZ, далее сканирование AdwCleaner!

 

Что дальше или на этом все?

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Готово, на самом деле проблема исчезла еще после сканирования AVZ, далее сканирование AdwCleaner!

 

Что дальше или на этом все?

   

Да, но для того чтобы удалить утилиты которые использовались во время лечения воспользуйтесь следующей инструкцией:

 

    1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.

    

    2. Запустите DelFix.

    Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

   

   3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

   

   4. Нажмите на кнопку Run.

 

   5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)

 

   6. Прикрепите этот отчет в вашей теме.

    

    

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Ant666
      Автозапуск браузера
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • 123343545646
      Автозапуск браузера
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • John-80
      [РЕШЕНО] Переадресация в браузере на sweetgain.top
      От John-80
      Добрый день.
      Во время работы, при переходе на некоторые страницы в браузере (яндекс браузер для организаций) происходит переадресация на страницу sweetgain.top
      Проверка машины антивирусом ничего не дает. Собран лог-файл... можете подсказать как удалить лишнее?
      avz_log.txt
    • Andrei93
      Yandex браузер. Блокировка.
      От Andrei93
      Здравствуйте. По какой-то причине Яндекс браузер блокируется Kasperskiy Security для Windows Server: 11.0.1.897. Определил отключением службы KAVFS.
      В событиях windows - Kasperskiy event log и Kasperskiy Security ни каких событий нет.
       
      Со стороны сервера отчет показывает, что ни каких проблем нет.
       
      Как понять, в чем проблема ? Как устранить ? Если решается только путем исключения, можете ли Вы подсказать как это сделать ?
       
    • Zroq
      Не удаляемое расширение T-Cashback в Яндекс Браузере
      От Zroq
      При каждом перезапуске браузера после удаления расширения происходит повторная его установка и активация.
      Также проверка такими средствами как Dr web и adwcleaner не помогли.
      CollectionLog-2024.11.23-20.22.zip
×
×
  • Создать...