Анастасия Дергачева Опубликовано 12 июня, 2016 Опубликовано 12 июня, 2016 Запустила антивирус на проверку ноутбука на наличие вирусов. Все, которые он нашел, были удалены, кроме одного. Постоянно при входе в систему появляется уведомление, что обнаружен вирус, и на стартовой странице антивируса есть оповещение о наличии одной проблемы. При этом, он не устраняет вирус. Из-за вируса теперь в поисковике google идет перенаправление на go.mail, устанавливаются автоматически расширения в Googlechrome, при входе в систему появляется окно с рекламой, в MSOffice создана вкладка с китайскими символами. CollectionLog-2016.06.12-14.29.zip
Roman_Five Опубликовано 12 июня, 2016 Опубликовано 12 июня, 2016 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; SetServiceStart('tsnethlpx64', 4); SetServiceStart('SRepairDrv', 4); SetServiceStart('softaal', 4); SetServiceStart('QMUdisk', 4); SetServiceStart('dowidoly', 4); SetServiceStart('jevisuvyzbt', 4); SetServiceStart('QifiryplohelebuilderSrv', 4); SetServiceStart('QQRepair63', 4); SetServiceStart('QQRepairFixSVC', 4); SetServiceStart('rijufoze', 4); QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe',''); QuarantineFile('C:\Program Files (x86)\ttwifi\tiantianwifi.exe',''); QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe',''); QuarantineFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe',''); QuarantineFile('C:\ProgramData\WindowsMsg\osmsg.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe',''); QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe',''); QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe',''); QuarantineFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63',''); QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp',''); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp','32'); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs','32'); DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC','32'); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys','32'); DeleteFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe','32'); DeleteFile('C:\Windows\Tasks\7774633137_2547.job','32'); DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_1.job','32'); DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_1.job','32'); DeleteFile('C:\Windows\Tasks\UrlControl.job','32'); DeleteFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe','32'); DeleteFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe','32'); DeleteFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe','32'); DeleteFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe','32'); DeleteFile('C:\Windows\system32\Tasks\7774633137_2547','64'); DeleteFile('C:\Windows\system32\Tasks\AVAST Software\Avast settings backup','64'); DeleteFile('C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe','32'); DeleteFile('C:\Windows\system32\Tasks\PPTAssistantNotifyTask_1','64'); DeleteFile('C:\Windows\system32\Tasks\PPTAssistantUpdateTask_1','64'); DeleteFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Pritc','64'); DeleteFile('C:\Windows\system32\Tasks\Qifiryplohele Builder','64'); DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe','32'); DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QGuan90132'); DeleteService('tsnethlpx64'); DeleteService('SRepairDrv'); DeleteService('softaal'); DeleteService('QMUdisk'); DeleteService('dowidoly'); DeleteService('jevisuvyzbt'); DeleteService('QifiryplohelebuilderSrv'); DeleteService('QQRepair63'); DeleteService('QQRepairFixSVC'); DeleteService('rijufoze'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner. Порядок действий на портале Kaspersky Online Scanner:: 1) Нажмите "Выбрать файл" и укажите путь к архиву. 2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты. 3) Нажмите "Отправить". Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} O4 - HKCU\..\Run: [QGuan90132] C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe /autorun O20 - AppInit_DLLs: C:\ProgramData\Lamzap\Mathin.dll Сделайте новые логи по правилам (только пункт 2). +приложите логи AdwCleaner и FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696
Анастасия Дергачева Опубликовано 14 июня, 2016 Автор Опубликовано 14 июня, 2016 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; SetServiceStart('tsnethlpx64', 4); SetServiceStart('SRepairDrv', 4); SetServiceStart('softaal', 4); SetServiceStart('QMUdisk', 4); SetServiceStart('dowidoly', 4); SetServiceStart('jevisuvyzbt', 4); SetServiceStart('QifiryplohelebuilderSrv', 4); SetServiceStart('QQRepair63', 4); SetServiceStart('QQRepairFixSVC', 4); SetServiceStart('rijufoze', 4); QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe',''); QuarantineFile('C:\Program Files (x86)\ttwifi\tiantianwifi.exe',''); QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe',''); QuarantineFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe',''); QuarantineFile('C:\ProgramData\WindowsMsg\osmsg.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe',''); QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe',''); QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe',''); QuarantineFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63',''); QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs',''); QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp',''); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp','32'); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs','32'); DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC','32'); DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys','32'); DeleteFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe','32'); DeleteFile('C:\Windows\Tasks\7774633137_2547.job','32'); DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_1.job','32'); DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_1.job','32'); DeleteFile('C:\Windows\Tasks\UrlControl.job','32'); DeleteFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe','32'); DeleteFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe','32'); DeleteFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe','32'); DeleteFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe','32'); DeleteFile('C:\Windows\system32\Tasks\7774633137_2547','64'); DeleteFile('C:\Windows\system32\Tasks\AVAST Software\Avast settings backup','64'); DeleteFile('C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe','32'); DeleteFile('C:\Windows\system32\Tasks\PPTAssistantNotifyTask_1','64'); DeleteFile('C:\Windows\system32\Tasks\PPTAssistantUpdateTask_1','64'); DeleteFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Pritc','64'); DeleteFile('C:\Windows\system32\Tasks\Qifiryplohele Builder','64'); DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe','32'); DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QGuan90132'); DeleteService('tsnethlpx64'); DeleteService('SRepairDrv'); DeleteService('softaal'); DeleteService('QMUdisk'); DeleteService('dowidoly'); DeleteService('jevisuvyzbt'); DeleteService('QifiryplohelebuilderSrv'); DeleteService('QQRepair63'); DeleteService('QQRepairFixSVC'); DeleteService('rijufoze'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner. Порядок действий на портале Kaspersky Online Scanner:: 1) Нажмите "Выбрать файл" и укажите путь к архиву. 2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты. 3) Нажмите "Отправить". Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms} O4 - HKCU\..\Run: [QGuan90132] C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe /autorun O20 - AppInit_DLLs: C:\ProgramData\Lamzap\Mathin.dll Сделайте новые логи по правилам (только пункт 2). + приложите логи AdwCleaner и FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 На почту ответ еще не пришел. Это то, что тоже надо было прикрепить Addition.txt AdwCleanerS1.txt CollectionLog-2016.06.13-00.35.zip FRST.txt
Sandor Опубликовано 14 июня, 2016 Опубликовано 14 июня, 2016 1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки и отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Еще раз повторите логи FRST. 1
Анастасия Дергачева Опубликовано 15 июня, 2016 Автор Опубликовано 15 июня, 2016 1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки и отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве. 2. Еще раз повторите логи FRST. Я полностью удалила Chrome, потому что Касперский распознает его не иначе как вирус. Если снова его скачивать с сайта, то установка даже не проходит, на этапе скачивания все заканчивается, прерывается загрузка. установила Orbitum вместо Chrome. Те действия, которые Вы предложили, в этом случае применять?
Анастасия Дергачева Опубликовано 15 июня, 2016 Автор Опубликовано 15 июня, 2016 да Addition.txt AdwCleanerC1.txt FRST.txt
Sandor Опубликовано 15 июня, 2016 Опубликовано 15 июня, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File S2 QifiryplohelebuilderSrv; "C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] CHR Extension: (Lowcostbar) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nepakmljodobhlbbkpobblnifmhclemh [2016-06-12] 2016-06-11 13:25 - 2016-06-11 13:25 - 00000000 ____D C:\Users\1\AppData\Roaming\kingsoft 2016-06-11 13:14 - 2016-06-11 17:25 - 00000000 ____D C:\ProgramData\kingsoft 2016-06-11 13:14 - 2016-05-04 12:44 - 04232400 _____ (Kingsoft Corp. Ltd.) C:\Users\1\AppData\Roaming\OfficeAssist.0172.80.1384.exe 2016-06-11 13:13 - 2016-02-18 13:10 - 05267952 _____ () C:\Users\1\AppData\Roaming\ziptool_wc-9015_setup.exe 2016-06-10 23:16 - 2016-06-11 15:30 - 00250912 _____ C:\Windows\SysWOW64\kz.exe 2016-06-10 22:32 - 2016-06-10 22:32 - 00092872 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys 2016-06-10 22:32 - 2016-06-10 22:32 - 00000000 ____D C:\Users\1\AppData\Roaming\Softlink 2016-06-10 22:32 - 2016-03-03 06:14 - 00656952 _____ (Beijing Hongda wanfang technology Co.,Ltd.) C:\Users\1\AppData\Roaming\setup_31019.exe 2016-06-10 22:31 - 2016-06-10 22:47 - 00000000 ____D C:\Users\1\AppData\Roaming\Kuaizip 2016-06-10 22:31 - 2016-02-18 06:56 - 07318464 _____ C:\Users\1\AppData\Roaming\KuaiZip_Setup_1875570831_jiuzhuan_001.exe 2016-06-10 22:24 - 2016-04-22 14:35 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72564_Silence.exe 2016-06-10 22:19 - 2016-06-10 22:19 - 06867968 _____ C:\Users\1\AppData\Roaming\agent.dat 2016-06-10 22:19 - 2016-06-10 22:19 - 00126464 _____ C:\Users\1\AppData\Roaming\noah.dat 2016-06-10 22:19 - 2016-06-10 22:19 - 00069072 _____ C:\Users\1\AppData\Roaming\Config.xml 2016-06-10 22:19 - 2016-06-10 22:19 - 00018432 _____ C:\Users\1\AppData\Roaming\Main.dat 2016-06-10 22:18 - 2016-06-10 22:19 - 00005568 _____ C:\Users\1\AppData\Roaming\md.xml 2016-06-10 22:18 - 2016-06-10 22:18 - 01760384 _____ C:\Users\1\AppData\Roaming\Groovelux.tst 2016-06-10 22:18 - 2016-06-10 22:18 - 00126464 _____ C:\Users\1\AppData\Roaming\lobby.dat 2016-06-10 22:18 - 2016-06-10 22:18 - 00072704 _____ C:\Users\1\AppData\Roaming\MathCore.tst 2016-06-10 22:18 - 2016-06-10 22:18 - 00054272 _____ C:\Users\1\AppData\Roaming\ApplicationHosting.dat 2016-06-10 22:15 - 2016-06-10 22:26 - 00000000 ____D C:\Program Files (x86)\HPProtector 2016-06-10 22:14 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Roaming\UrlControl_ 2016-06-10 22:13 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Local\7774633137_2547 2016-06-10 22:13 - 2016-06-13 00:01 - 00000000 ____D C:\Program Files (x86)\Qifiryplohele 2016-06-10 22:13 - 2016-06-10 22:20 - 00000000 ____D C:\Program Files (x86)\Bmotain 2016-06-10 22:13 - 2016-04-22 14:39 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72530_Silence.exe 2016-06-10 22:12 - 2016-06-12 14:04 - 00000000 ____D C:\Program Files (x86)\mpck 2016-06-10 22:12 - 2016-06-10 22:13 - 00018288 _____ C:\Users\1\AppData\Roaming\InstallationConfiguration.xml 2016-06-10 22:12 - 2016-06-10 22:12 - 00128512 _____ C:\Users\1\AppData\Roaming\Installer.dat 2016-06-10 22:06 - 2016-06-10 22:03 - 00001043 _____ C:\Windows\system32\Drivers\etc\hp.bak 2016-06-10 22:03 - 2016-06-12 14:04 - 00000000 ____D C:\Users\1\AppData\Local\SystemMonitor2016 2016-05-28 20:27 - 2016-05-28 20:27 - 00000000 ____D C:\Users\1\AppData\Roaming\ProductData 2016-05-28 20:25 - 2016-06-13 12:22 - 00000000 ____D C:\ProgramData\ProductData 2016-05-28 20:25 - 2016-05-28 20:31 - 00000000 ____D C:\Program Files (x86)\IObit 2016-05-28 20:25 - 2016-05-28 20:27 - 00000000 ____D C:\ProgramData\IObit 2016-05-28 20:25 - 2016-05-28 20:26 - 00000000 ____D C:\Users\1\AppData\Roaming\IObit 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\Roaming\Apple Computer 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\LocalLow\IObit 2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\LocalLow\Unity 2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\Local\Unity 2016-05-28 20:22 - 2016-05-28 20:34 - 00000000 ____D C:\Users\1\AppData\Roaming\SyManager 2016-05-28 20:22 - 2016-05-28 20:22 - 00003240 _____ C:\Windows\System32\Tasks\SyManager Task: {0CDCAF0C-CC57-4F89-A18A-D82E9479DF18} - System32\Tasks\SyManager => C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe Task: {0F019B87-460F-4ADA-9C6D-9E2969445379} - \Pritc -> No File <==== ATTENTION Task: {6C491E46-25D8-485E-8459-2E5020662AAF} - \Qifiryplohele Builder -> No File <==== ATTENTION Task: {6D2F1514-812B-4ED4-BF97-E176AE324460} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION Task: {9B025281-BABA-4B11-8F91-18A6CF0BB37D} - \{D2BCF12B-67CA-41A5-A23F-1CC9ECC8949A} -> No File <==== ATTENTION Task: {B54088DF-F7DE-4414-B9A3-9A8DB371F505} - System32\Tasks\PPTAssistantUpdateTask_1 => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION Task: C:\Windows\Tasks\PPTAssistantUpdateTask_1.job => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Анастасия Дергачева Опубликовано 15 июня, 2016 Автор Опубликовано 15 июня, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File S2 QifiryplohelebuilderSrv; "C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] CHR Extension: (Lowcostbar) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nepakmljodobhlbbkpobblnifmhclemh [2016-06-12] 2016-06-11 13:25 - 2016-06-11 13:25 - 00000000 ____D C:\Users\1\AppData\Roaming\kingsoft 2016-06-11 13:14 - 2016-06-11 17:25 - 00000000 ____D C:\ProgramData\kingsoft 2016-06-11 13:14 - 2016-05-04 12:44 - 04232400 _____ (Kingsoft Corp. Ltd.) C:\Users\1\AppData\Roaming\OfficeAssist.0172.80.1384.exe 2016-06-11 13:13 - 2016-02-18 13:10 - 05267952 _____ () C:\Users\1\AppData\Roaming\ziptool_wc-9015_setup.exe 2016-06-10 23:16 - 2016-06-11 15:30 - 00250912 _____ C:\Windows\SysWOW64\kz.exe 2016-06-10 22:32 - 2016-06-10 22:32 - 00092872 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys 2016-06-10 22:32 - 2016-06-10 22:32 - 00000000 ____D C:\Users\1\AppData\Roaming\Softlink 2016-06-10 22:32 - 2016-03-03 06:14 - 00656952 _____ (Beijing Hongda wanfang technology Co.,Ltd.) C:\Users\1\AppData\Roaming\setup_31019.exe 2016-06-10 22:31 - 2016-06-10 22:47 - 00000000 ____D C:\Users\1\AppData\Roaming\Kuaizip 2016-06-10 22:31 - 2016-02-18 06:56 - 07318464 _____ C:\Users\1\AppData\Roaming\KuaiZip_Setup_1875570831_jiuzhuan_001.exe 2016-06-10 22:24 - 2016-04-22 14:35 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72564_Silence.exe 2016-06-10 22:19 - 2016-06-10 22:19 - 06867968 _____ C:\Users\1\AppData\Roaming\agent.dat 2016-06-10 22:19 - 2016-06-10 22:19 - 00126464 _____ C:\Users\1\AppData\Roaming\noah.dat 2016-06-10 22:19 - 2016-06-10 22:19 - 00069072 _____ C:\Users\1\AppData\Roaming\Config.xml 2016-06-10 22:19 - 2016-06-10 22:19 - 00018432 _____ C:\Users\1\AppData\Roaming\Main.dat 2016-06-10 22:18 - 2016-06-10 22:19 - 00005568 _____ C:\Users\1\AppData\Roaming\md.xml 2016-06-10 22:18 - 2016-06-10 22:18 - 01760384 _____ C:\Users\1\AppData\Roaming\Groovelux.tst 2016-06-10 22:18 - 2016-06-10 22:18 - 00126464 _____ C:\Users\1\AppData\Roaming\lobby.dat 2016-06-10 22:18 - 2016-06-10 22:18 - 00072704 _____ C:\Users\1\AppData\Roaming\MathCore.tst 2016-06-10 22:18 - 2016-06-10 22:18 - 00054272 _____ C:\Users\1\AppData\Roaming\ApplicationHosting.dat 2016-06-10 22:15 - 2016-06-10 22:26 - 00000000 ____D C:\Program Files (x86)\HPProtector 2016-06-10 22:14 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Roaming\UrlControl_ 2016-06-10 22:13 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Local\7774633137_2547 2016-06-10 22:13 - 2016-06-13 00:01 - 00000000 ____D C:\Program Files (x86)\Qifiryplohele 2016-06-10 22:13 - 2016-06-10 22:20 - 00000000 ____D C:\Program Files (x86)\Bmotain 2016-06-10 22:13 - 2016-04-22 14:39 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72530_Silence.exe 2016-06-10 22:12 - 2016-06-12 14:04 - 00000000 ____D C:\Program Files (x86)\mpck 2016-06-10 22:12 - 2016-06-10 22:13 - 00018288 _____ C:\Users\1\AppData\Roaming\InstallationConfiguration.xml 2016-06-10 22:12 - 2016-06-10 22:12 - 00128512 _____ C:\Users\1\AppData\Roaming\Installer.dat 2016-06-10 22:06 - 2016-06-10 22:03 - 00001043 _____ C:\Windows\system32\Drivers\etc\hp.bak 2016-06-10 22:03 - 2016-06-12 14:04 - 00000000 ____D C:\Users\1\AppData\Local\SystemMonitor2016 2016-05-28 20:27 - 2016-05-28 20:27 - 00000000 ____D C:\Users\1\AppData\Roaming\ProductData 2016-05-28 20:25 - 2016-06-13 12:22 - 00000000 ____D C:\ProgramData\ProductData 2016-05-28 20:25 - 2016-05-28 20:31 - 00000000 ____D C:\Program Files (x86)\IObit 2016-05-28 20:25 - 2016-05-28 20:27 - 00000000 ____D C:\ProgramData\IObit 2016-05-28 20:25 - 2016-05-28 20:26 - 00000000 ____D C:\Users\1\AppData\Roaming\IObit 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\Roaming\Apple Computer 2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\LocalLow\IObit 2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\LocalLow\Unity 2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\Local\Unity 2016-05-28 20:22 - 2016-05-28 20:34 - 00000000 ____D C:\Users\1\AppData\Roaming\SyManager 2016-05-28 20:22 - 2016-05-28 20:22 - 00003240 _____ C:\Windows\System32\Tasks\SyManager Task: {0CDCAF0C-CC57-4F89-A18A-D82E9479DF18} - System32\Tasks\SyManager => C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe Task: {0F019B87-460F-4ADA-9C6D-9E2969445379} - \Pritc -> No File <==== ATTENTION Task: {6C491E46-25D8-485E-8459-2E5020662AAF} - \Qifiryplohele Builder -> No File <==== ATTENTION Task: {6D2F1514-812B-4ED4-BF97-E176AE324460} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION Task: {9B025281-BABA-4B11-8F91-18A6CF0BB37D} - \{D2BCF12B-67CA-41A5-A23F-1CC9ECC8949A} -> No File <==== ATTENTION Task: {B54088DF-F7DE-4414-B9A3-9A8DB371F505} - System32\Tasks\PPTAssistantUpdateTask_1 => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION Task: C:\Windows\Tasks\PPTAssistantUpdateTask_1.job => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Fixlog.txt
Анастасия Дергачева Опубликовано 15 июня, 2016 Автор Опубликовано 15 июня, 2016 Что сейчас с проблемой? вот такое уведомление было постоянно, на всех этапах. Он не удаляется при выборе "устранить"
Sandor Опубликовано 16 июня, 2016 Опубликовано 16 июня, 2016 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Анастасия Дергачева Опубликовано 17 июня, 2016 Автор Опубликовано 17 июня, 2016 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. после завершения был создан еще report 2 CollectionLog-2016.06.17-14.36.zip report2.log
Sandor Опубликовано 17 июня, 2016 Опубликовано 17 июня, 2016 Архив почти пустой. При сборе логов антивирус отключаете? Повторите еще раз новый CollectionLog.
Анастасия Дергачева Опубликовано 17 июня, 2016 Автор Опубликовано 17 июня, 2016 первый раз запустила с выключенным антивирусом, потом поняла, что сделала что-то не то и запустила второй раз, но отключить антивирус уже забыла CollectionLog-2016.06.17-15.00.zip
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти