Анастасия Дергачева 0 Опубликовано 12 июня, 2016 Share Опубликовано 12 июня, 2016 Запустила антивирус на проверку ноутбука на наличие вирусов. Все, которые он нашел, были удалены, кроме одного. Постоянно при входе в систему появляется уведомление, что обнаружен вирус, и на стартовой странице антивируса есть оповещение о наличии одной проблемы. При этом, он не устраняет вирус. Из-за вируса теперь в поисковике google идет перенаправление на go.mail, устанавливаются автоматически расширения в Googlechrome, при входе в систему появляется окно с рекламой, в MSOffice создана вкладка с китайскими символами. CollectionLog-2016.06.12-14.29.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 июня, 2016 Share Опубликовано 12 июня, 2016 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; SetServiceStart('tsnethlpx64', 4); SetServiceStart('SRepairDrv', 4); SetServiceStart('softaal', 4); SetServiceStart('QMUdisk', 4); SetServiceStart('dowidoly', 4); SetServiceStart('jevisuvyzbt', 4); SetServiceStart('QifiryplohelebuilderSrv', 4); SetServiceStart('QQRepair63', 4); SetServiceStart('QQRepairFixSVC', 4); SetServiceStart('rijufoze', 4); QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe',''); QuarantineFile('C:\Program Files (x86)\ttwifi\tiantianwifi.exe',''); QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe',''); QuarantineFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe',''); QuarantineFile('C:\ProgramData\WindowsMsg\osmsg.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe',''); QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe',''); QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe',''); QuarantineFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63',''); QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp',''); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp','32'); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs','32'); DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC','32'); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys','32'); DeleteFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe','32'); DeleteFile('C:\Windows\Tasks\7774633137_2547.job','32'); DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_1.job','32'); DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_1.job','32'); DeleteFile('C:\Windows\Tasks\UrlControl.job','32'); DeleteFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe','32'); DeleteFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe','32'); DeleteFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe','32'); DeleteFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe','32'); DeleteFile('C:\Windows\system32\Tasks\7774633137_2547','64'); DeleteFile('C:\Windows\system32\Tasks\AVAST Software\Avast settings backup','64'); DeleteFile('C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe','32'); DeleteFile('C:\Windows\system32\Tasks\PPTAssistantNotifyTask_1','64'); DeleteFile('C:\Windows\system32\Tasks\PPTAssistantUpdateTask_1','64'); DeleteFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Pritc','64'); DeleteFile('C:\Windows\system32\Tasks\Qifiryplohele Builder','64'); DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe','32'); DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QGuan90132'); DeleteService('tsnethlpx64'); DeleteService('SRepairDrv'); DeleteService('softaal'); DeleteService('QMUdisk'); DeleteService('dowidoly'); DeleteService('jevisuvyzbt'); DeleteService('QifiryplohelebuilderSrv'); DeleteService('QQRepair63'); DeleteService('QQRepairFixSVC'); DeleteService('rijufoze'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner. Порядок действий на портале Kaspersky Online Scanner:: 1) Нажмите "Выбрать файл" и укажите путь к архиву. 2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты. 3) Нажмите "Отправить". Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} O4 - HKCU\..\Run: [QGuan90132] C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe /autorun O20 - AppInit_DLLs: C:\ProgramData\Lamzap\Mathin.dll Сделайте новые логи по правилам (только пункт 2). +приложите логи AdwCleaner и FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Цитата Ссылка на сообщение Поделиться на другие сайты
Анастасия Дергачева 0 Опубликовано 14 июня, 2016 Автор Share Опубликовано 14 июня, 2016 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; SetServiceStart('tsnethlpx64', 4); SetServiceStart('SRepairDrv', 4); SetServiceStart('softaal', 4); SetServiceStart('QMUdisk', 4); SetServiceStart('dowidoly', 4); SetServiceStart('jevisuvyzbt', 4); SetServiceStart('QifiryplohelebuilderSrv', 4); SetServiceStart('QQRepair63', 4); SetServiceStart('QQRepairFixSVC', 4); SetServiceStart('rijufoze', 4); QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe',''); QuarantineFile('C:\Program Files (x86)\ttwifi\tiantianwifi.exe',''); QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe',''); QuarantineFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe',''); QuarantineFile('C:\ProgramData\WindowsMsg\osmsg.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe',''); QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe',''); QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe',''); QuarantineFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63',''); QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp',''); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp','32'); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs','32'); DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC','32'); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys','32'); DeleteFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe','32'); DeleteFile('C:\Windows\Tasks\7774633137_2547.job','32'); DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_1.job','32'); DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_1.job','32'); DeleteFile('C:\Windows\Tasks\UrlControl.job','32'); DeleteFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe','32'); DeleteFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe','32'); DeleteFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe','32'); DeleteFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe','32'); DeleteFile('C:\Windows\system32\Tasks\7774633137_2547','64'); DeleteFile('C:\Windows\system32\Tasks\AVAST Software\Avast settings backup','64'); DeleteFile('C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe','32'); DeleteFile('C:\Windows\system32\Tasks\PPTAssistantNotifyTask_1','64'); DeleteFile('C:\Windows\system32\Tasks\PPTAssistantUpdateTask_1','64'); DeleteFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Pritc','64'); DeleteFile('C:\Windows\system32\Tasks\Qifiryplohele Builder','64'); DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe','32'); DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QGuan90132'); DeleteService('tsnethlpx64'); DeleteService('SRepairDrv'); DeleteService('softaal'); DeleteService('QMUdisk'); DeleteService('dowidoly'); DeleteService('jevisuvyzbt'); DeleteService('QifiryplohelebuilderSrv'); DeleteService('QQRepair63'); DeleteService('QQRepairFixSVC'); DeleteService('rijufoze'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner. Порядок действий на портале Kaspersky Online Scanner:: 1) Нажмите "Выбрать файл" и укажите путь к архиву. 2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты. 3) Нажмите "Отправить". Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} O4 - HKCU\..\Run: [QGuan90132] C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe /autorun O20 - AppInit_DLLs: C:\ProgramData\Lamzap\Mathin.dll Сделайте новые логи по правилам (только пункт 2). + приложите логи AdwCleaner и FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 На почту ответ еще не пришел. Это то, что тоже надо было прикрепить Addition.txt AdwCleanerS1.txt CollectionLog-2016.06.13-00.35.zip FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 14 июня, 2016 Share Опубликовано 14 июня, 2016 1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки и отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Еще раз повторите логи FRST. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Анастасия Дергачева 0 Опубликовано 15 июня, 2016 Автор Share Опубликовано 15 июня, 2016 1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки и отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве. 2. Еще раз повторите логи FRST. Я полностью удалила Chrome, потому что Касперский распознает его не иначе как вирус. Если снова его скачивать с сайта, то установка даже не проходит, на этапе скачивания все заканчивается, прерывается загрузка. установила Orbitum вместо Chrome. Те действия, которые Вы предложили, в этом случае применять? Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 июня, 2016 Share Опубликовано 15 июня, 2016 да Цитата Ссылка на сообщение Поделиться на другие сайты
Анастасия Дергачева 0 Опубликовано 15 июня, 2016 Автор Share Опубликовано 15 июня, 2016 да Addition.txt AdwCleanerC1.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 июня, 2016 Share Опубликовано 15 июня, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File S2 QifiryplohelebuilderSrv; "C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] CHR Extension: (Lowcostbar) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nepakmljodobhlbbkpobblnifmhclemh [2016-06-12] 2016-06-11 13:25 - 2016-06-11 13:25 - 00000000 ____D C:\Users\1\AppData\Roaming\kingsoft 2016-06-11 13:14 - 2016-06-11 17:25 - 00000000 ____D C:\ProgramData\kingsoft 2016-06-11 13:14 - 2016-05-04 12:44 - 04232400 _____ (Kingsoft Corp. Ltd.) C:\Users\1\AppData\Roaming\OfficeAssist.0172.80.1384.exe 2016-06-11 13:13 - 2016-02-18 13:10 - 05267952 _____ () C:\Users\1\AppData\Roaming\ziptool_wc-9015_setup.exe 2016-06-10 23:16 - 2016-06-11 15:30 - 00250912 _____ C:\Windows\SysWOW64\kz.exe 2016-06-10 22:32 - 2016-06-10 22:32 - 00092872 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys 2016-06-10 22:32 - 2016-06-10 22:32 - 00000000 ____D C:\Users\1\AppData\Roaming\Softlink 2016-06-10 22:32 - 2016-03-03 06:14 - 00656952 _____ (Beijing Hongda wanfang technology Co.,Ltd.) C:\Users\1\AppData\Roaming\setup_31019.exe 2016-06-10 22:31 - 2016-06-10 22:47 - 00000000 ____D C:\Users\1\AppData\Roaming\Kuaizip 2016-06-10 22:31 - 2016-02-18 06:56 - 07318464 _____ C:\Users\1\AppData\Roaming\KuaiZip_Setup_1875570831_jiuzhuan_001.exe 2016-06-10 22:24 - 2016-04-22 14:35 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72564_Silence.exe 2016-06-10 22:19 - 2016-06-10 22:19 - 06867968 _____ C:\Users\1\AppData\Roaming\agent.dat 2016-06-10 22:19 - 2016-06-10 22:19 - 00126464 _____ C:\Users\1\AppData\Roaming\noah.dat 2016-06-10 22:19 - 2016-06-10 22:19 - 00069072 _____ C:\Users\1\AppData\Roaming\Config.xml 2016-06-10 22:19 - 2016-06-10 22:19 - 00018432 _____ C:\Users\1\AppData\Roaming\Main.dat 2016-06-10 22:18 - 2016-06-10 22:19 - 00005568 _____ C:\Users\1\AppData\Roaming\md.xml 2016-06-10 22:18 - 2016-06-10 22:18 - 01760384 _____ C:\Users\1\AppData\Roaming\Groovelux.tst 2016-06-10 22:18 - 2016-06-10 22:18 - 00126464 _____ C:\Users\1\AppData\Roaming\lobby.dat 2016-06-10 22:18 - 2016-06-10 22:18 - 00072704 _____ C:\Users\1\AppData\Roaming\MathCore.tst 2016-06-10 22:18 - 2016-06-10 22:18 - 00054272 _____ C:\Users\1\AppData\Roaming\ApplicationHosting.dat 2016-06-10 22:15 - 2016-06-10 22:26 - 00000000 ____D C:\Program Files (x86)\HPProtector 2016-06-10 22:14 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Roaming\UrlControl_ 2016-06-10 22:13 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Local\7774633137_2547 2016-06-10 22:13 - 2016-06-13 00:01 - 00000000 ____D C:\Program Files (x86)\Qifiryplohele 2016-06-10 22:13 - 2016-06-10 22:20 - 00000000 ____D C:\Program Files (x86)\Bmotain 2016-06-10 22:13 - 2016-04-22 14:39 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72530_Silence.exe 2016-06-10 22:12 - 2016-06-12 14:04 - 00000000 ____D C:\Program Files (x86)\mpck 2016-06-10 22:12 - 2016-06-10 22:13 - 00018288 _____ C:\Users\1\AppData\Roaming\InstallationConfiguration.xml 2016-06-10 22:12 - 2016-06-10 22:12 - 00128512 _____ C:\Users\1\AppData\Roaming\Installer.dat 2016-06-10 22:06 - 2016-06-10 22:03 - 00001043 _____ C:\Windows\system32\Drivers\etc\hp.bak 2016-06-10 22:03 - 2016-06-12 14:04 - 00000000 ____D C:\Users\1\AppData\Local\SystemMonitor2016 2016-05-28 20:27 - 2016-05-28 20:27 - 00000000 ____D C:\Users\1\AppData\Roaming\ProductData 2016-05-28 20:25 - 2016-06-13 12:22 - 00000000 ____D C:\ProgramData\ProductData 2016-05-28 20:25 - 2016-05-28 20:31 - 00000000 ____D C:\Program Files (x86)\IObit 2016-05-28 20:25 - 2016-05-28 20:27 - 00000000 ____D C:\ProgramData\IObit 2016-05-28 20:25 - 2016-05-28 20:26 - 00000000 ____D C:\Users\1\AppData\Roaming\IObit 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\Roaming\Apple Computer 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\LocalLow\IObit 2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\LocalLow\Unity 2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\Local\Unity 2016-05-28 20:22 - 2016-05-28 20:34 - 00000000 ____D C:\Users\1\AppData\Roaming\SyManager 2016-05-28 20:22 - 2016-05-28 20:22 - 00003240 _____ C:\Windows\System32\Tasks\SyManager Task: {0CDCAF0C-CC57-4F89-A18A-D82E9479DF18} - System32\Tasks\SyManager => C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe Task: {0F019B87-460F-4ADA-9C6D-9E2969445379} - \Pritc -> No File <==== ATTENTION Task: {6C491E46-25D8-485E-8459-2E5020662AAF} - \Qifiryplohele Builder -> No File <==== ATTENTION Task: {6D2F1514-812B-4ED4-BF97-E176AE324460} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION Task: {9B025281-BABA-4B11-8F91-18A6CF0BB37D} - \{D2BCF12B-67CA-41A5-A23F-1CC9ECC8949A} -> No File <==== ATTENTION Task: {B54088DF-F7DE-4414-B9A3-9A8DB371F505} - System32\Tasks\PPTAssistantUpdateTask_1 => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION Task: C:\Windows\Tasks\PPTAssistantUpdateTask_1.job => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Анастасия Дергачева 0 Опубликовано 15 июня, 2016 Автор Share Опубликовано 15 июня, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File S2 QifiryplohelebuilderSrv; "C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] CHR Extension: (Lowcostbar) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nepakmljodobhlbbkpobblnifmhclemh [2016-06-12] 2016-06-11 13:25 - 2016-06-11 13:25 - 00000000 ____D C:\Users\1\AppData\Roaming\kingsoft 2016-06-11 13:14 - 2016-06-11 17:25 - 00000000 ____D C:\ProgramData\kingsoft 2016-06-11 13:14 - 2016-05-04 12:44 - 04232400 _____ (Kingsoft Corp. Ltd.) C:\Users\1\AppData\Roaming\OfficeAssist.0172.80.1384.exe 2016-06-11 13:13 - 2016-02-18 13:10 - 05267952 _____ () C:\Users\1\AppData\Roaming\ziptool_wc-9015_setup.exe 2016-06-10 23:16 - 2016-06-11 15:30 - 00250912 _____ C:\Windows\SysWOW64\kz.exe 2016-06-10 22:32 - 2016-06-10 22:32 - 00092872 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys 2016-06-10 22:32 - 2016-06-10 22:32 - 00000000 ____D C:\Users\1\AppData\Roaming\Softlink 2016-06-10 22:32 - 2016-03-03 06:14 - 00656952 _____ (Beijing Hongda wanfang technology Co.,Ltd.) C:\Users\1\AppData\Roaming\setup_31019.exe 2016-06-10 22:31 - 2016-06-10 22:47 - 00000000 ____D C:\Users\1\AppData\Roaming\Kuaizip 2016-06-10 22:31 - 2016-02-18 06:56 - 07318464 _____ C:\Users\1\AppData\Roaming\KuaiZip_Setup_1875570831_jiuzhuan_001.exe 2016-06-10 22:24 - 2016-04-22 14:35 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72564_Silence.exe 2016-06-10 22:19 - 2016-06-10 22:19 - 06867968 _____ C:\Users\1\AppData\Roaming\agent.dat 2016-06-10 22:19 - 2016-06-10 22:19 - 00126464 _____ C:\Users\1\AppData\Roaming\noah.dat 2016-06-10 22:19 - 2016-06-10 22:19 - 00069072 _____ C:\Users\1\AppData\Roaming\Config.xml 2016-06-10 22:19 - 2016-06-10 22:19 - 00018432 _____ C:\Users\1\AppData\Roaming\Main.dat 2016-06-10 22:18 - 2016-06-10 22:19 - 00005568 _____ C:\Users\1\AppData\Roaming\md.xml 2016-06-10 22:18 - 2016-06-10 22:18 - 01760384 _____ C:\Users\1\AppData\Roaming\Groovelux.tst 2016-06-10 22:18 - 2016-06-10 22:18 - 00126464 _____ C:\Users\1\AppData\Roaming\lobby.dat 2016-06-10 22:18 - 2016-06-10 22:18 - 00072704 _____ C:\Users\1\AppData\Roaming\MathCore.tst 2016-06-10 22:18 - 2016-06-10 22:18 - 00054272 _____ C:\Users\1\AppData\Roaming\ApplicationHosting.dat 2016-06-10 22:15 - 2016-06-10 22:26 - 00000000 ____D C:\Program Files (x86)\HPProtector 2016-06-10 22:14 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Roaming\UrlControl_ 2016-06-10 22:13 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Local\7774633137_2547 2016-06-10 22:13 - 2016-06-13 00:01 - 00000000 ____D C:\Program Files (x86)\Qifiryplohele 2016-06-10 22:13 - 2016-06-10 22:20 - 00000000 ____D C:\Program Files (x86)\Bmotain 2016-06-10 22:13 - 2016-04-22 14:39 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72530_Silence.exe 2016-06-10 22:12 - 2016-06-12 14:04 - 00000000 ____D C:\Program Files (x86)\mpck 2016-06-10 22:12 - 2016-06-10 22:13 - 00018288 _____ C:\Users\1\AppData\Roaming\InstallationConfiguration.xml 2016-06-10 22:12 - 2016-06-10 22:12 - 00128512 _____ C:\Users\1\AppData\Roaming\Installer.dat 2016-06-10 22:06 - 2016-06-10 22:03 - 00001043 _____ C:\Windows\system32\Drivers\etc\hp.bak 2016-06-10 22:03 - 2016-06-12 14:04 - 00000000 ____D C:\Users\1\AppData\Local\SystemMonitor2016 2016-05-28 20:27 - 2016-05-28 20:27 - 00000000 ____D C:\Users\1\AppData\Roaming\ProductData 2016-05-28 20:25 - 2016-06-13 12:22 - 00000000 ____D C:\ProgramData\ProductData 2016-05-28 20:25 - 2016-05-28 20:31 - 00000000 ____D C:\Program Files (x86)\IObit 2016-05-28 20:25 - 2016-05-28 20:27 - 00000000 ____D C:\ProgramData\IObit 2016-05-28 20:25 - 2016-05-28 20:26 - 00000000 ____D C:\Users\1\AppData\Roaming\IObit 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\Roaming\Apple Computer 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\LocalLow\IObit 2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\LocalLow\Unity 2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\Local\Unity 2016-05-28 20:22 - 2016-05-28 20:34 - 00000000 ____D C:\Users\1\AppData\Roaming\SyManager 2016-05-28 20:22 - 2016-05-28 20:22 - 00003240 _____ C:\Windows\System32\Tasks\SyManager Task: {0CDCAF0C-CC57-4F89-A18A-D82E9479DF18} - System32\Tasks\SyManager => C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe Task: {0F019B87-460F-4ADA-9C6D-9E2969445379} - \Pritc -> No File <==== ATTENTION Task: {6C491E46-25D8-485E-8459-2E5020662AAF} - \Qifiryplohele Builder -> No File <==== ATTENTION Task: {6D2F1514-812B-4ED4-BF97-E176AE324460} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION Task: {9B025281-BABA-4B11-8F91-18A6CF0BB37D} - \{D2BCF12B-67CA-41A5-A23F-1CC9ECC8949A} -> No File <==== ATTENTION Task: {B54088DF-F7DE-4414-B9A3-9A8DB371F505} - System32\Tasks\PPTAssistantUpdateTask_1 => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION Task: C:\Windows\Tasks\PPTAssistantUpdateTask_1.job => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 июня, 2016 Share Опубликовано 15 июня, 2016 Что сейчас с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Анастасия Дергачева 0 Опубликовано 15 июня, 2016 Автор Share Опубликовано 15 июня, 2016 Что сейчас с проблемой? вот такое уведомление было постоянно, на всех этапах. Он не удаляется при выборе "устранить" Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 16 июня, 2016 Share Опубликовано 16 июня, 2016 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
Анастасия Дергачева 0 Опубликовано 17 июня, 2016 Автор Share Опубликовано 17 июня, 2016 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. после завершения был создан еще report 2 CollectionLog-2016.06.17-14.36.zip report2.log Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 17 июня, 2016 Share Опубликовано 17 июня, 2016 Архив почти пустой. При сборе логов антивирус отключаете? Повторите еще раз новый CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Анастасия Дергачева 0 Опубликовано 17 июня, 2016 Автор Share Опубликовано 17 июня, 2016 первый раз запустила с выключенным антивирусом, потом поняла, что сделала что-то не то и запустила второй раз, но отключить антивирус уже забыла CollectionLog-2016.06.17-15.00.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.