Adblock удаляется после перезагрузки компьютера.

[zenya21]

Добрый день. После перезагрузки ПК удаляется любая программа блокирующая рекламу и иногда добавляются ненужные расширения в хроме. 

KL_syscure.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[zenya21]

Извините , вот правильный сбор логов 

CollectionLog-2016.07.21-21.24.zip

[SQ]

Здравствуйте,

 

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
  QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\AC43511E2E41C9011769112D2056912C\E07C4A57E0E7DB790FDC6AA9F4FC3FBB.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\F93927C1-2707-417D-974F-BC6E4F0219C4\5169B62F-7D30-4D1D-898E-FB2B423A4D9F.exe','');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\AC43511E2E41C9011769112D2056912C\E07C4A57E0E7DB790FDC6AA9F4FC3FBB.exe','32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\F93927C1-2707-417D-974F-BC6E4F0219C4\5169B62F-7D30-4D1D-898E-FB2B423A4D9F.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Пользователь','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\FC3FBB4F9AA6CDF097BD7E0E75E07C4A','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\FC3FBB4F9AA6CDF097BD7E0E75E07C4ASB','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\AF93927C1-2707-417D-974F-BC6E4F0219C4','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\FC3FBB4F9AA6CDF097BD7E0E75E07C4A','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\FC3FBB4F9AA6CDF097BD7E0E75E07C4ASB','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','F93927C1-2707-417D-974F-BC6E4F0219C4');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','FC3FBB4F9AA6CDF097BD7E0E75E07C4ASB');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[zenya21]

. Полученный ответ сообщите здесь (с указанием номера KLAN)

KLAN-4721158812

Пишут что архив не найден. 

 

Лог с Adw.

AdwCleanerS1.txt

[SQ]

Удалите в AdwCleaner всё. Отчет после удаления прикрепите.

[zenya21]

 Отчет после удаления прикрепите.

AdwCleanerC1.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[zenya21]

 

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

FRST.txt

Addition.txt

[SQ]

Что из этого сами ставили в Opera?

OPR Extension: (Google Sheets) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-07-18]
OPR Extension: (News Tab) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-07-18]
OPR Extension: (Google Docs) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\hcmdpeobfoppdkhcneogcflfmfceenlf [2016-07-18]
OPR Extension: (TimeMark) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-07-18]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  FF Plugin HKU\S-1-5-21-3789095487-710693392-809478587-1000: ubisoft.com/uplaypc -> D:\Tom Clancys Ghost Recon Future Soldier\orbit\npuplaypc.dll [No File]
  FF HKLM\...\Firefox\Extensions: [{63DD954A-7CF8-DC21-9641-284EEA46BF1B}] - C:\Users\Пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\vtyci4ac.default\extensions\sbext@slext.dev => not found
  2016-07-18 23:34 - 2016-07-18 23:34 - 00001166 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk
  2016-07-18 23:34 - 2016-07-18 23:34 - 00001166 _____ C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
  2016-07-18 23:34 - 2016-07-18 23:34 - 00001166 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
  2016-07-18 23:34 - 2016-07-18 23:34 - 00001166 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Forge of Empires.lnk
  2016-07-18 23:34 - 2016-07-18 23:34 - 00001166 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk
  2016-07-18 23:34 - 2016-07-18 23:34 - 00001166 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk
  Folder: C:\Users\Пользователь\AppData\Local\Вoйти в Интeрнет
  Folder: C:\Users\Пользователь\AppData\Local\Поиcк в Интeрнете
  2016-07-18 23:33 - 2016-07-18 23:33 - 0000124 ___SH () C:\Program Files\Common Files\SBEXTS
  2016-04-17 17:22 - 2016-04-17 17:22 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  CustomCLSID: HKU\S-1-5-21-3789095487-710693392-809478587-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> D:\Tom Clancys Ghost Recon Future Soldier\orbit\npuplaypc.dll => No File
  Task: {27E60670-9C80-40EC-8E7F-4DC4513391AF} - \Microsoft\FC3FBB4F9AA6CDF097BD7E0E75E07C4ASB -> No File <==== ATTENTION
  Task: {2A468684-3B72-4077-81CA-317D7883A61F} - \Microsoft\Windows\FC3FBB4F9AA6CDF097BD7E0E75E07C4ASB -> No File <==== ATTENTION
  Task: {5B791FCE-D856-48AB-83C6-B991B8B35AD2} - \Microsoft\Windows\AF93927C1-2707-417D-974F-BC6E4F0219C4 -> No File <==== ATTENTION
  Task: {670A6921-C1BD-4110-8888-C51C0FA17E5D} - \Microsoft\FC3FBB4F9AA6CDF097BD7E0E75E07C4A -> No File <==== ATTENTION
  Task: {9F305B9D-F387-4F99-B65A-97CA047B31EB} - System32\Tasks\Пользователь => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Пользователь /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org"
  Task: {AC3D77BF-1BA2-447C-9B2A-E8D92AE3058C} - \Microsoft\Windows\FC3FBB4F9AA6CDF097BD7E0E75E07C4A -> No File <==== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[zenya21]

 

Что из этого сами ставили в Opera?

OPR Extension: (Google Sheets) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-07-18]
OPR Extension: (News Tab) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-07-18]
OPR Extension: (Google Docs) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\hcmdpeobfoppdkhcneogcflfmfceenlf [2016-07-18]
OPR Extension: (TimeMark) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-07-18]

Оперой не пользуюсь поэтому сам я нечего не ставил. 

 

Fixlog.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  OPR Extension: (Google Sheets) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-07-18]
  OPR Extension: (News Tab) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-07-18]
  OPR Extension: (Google Docs) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\hcmdpeobfoppdkhcneogcflfmfceenlf [2016-07-18]
  OPR Extension: (TimeMark) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-07-18]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер возможно будет перезагружен.
  

Сообщите, что с проблемой?

[zenya21]

 

Сообщите, что с проблемой?

 

 

Устранена . Блокировщики реклам не удаляются после перезапуска ПК. 

Fixlog.txt

[SQ]

    1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.
    
    2. Запустите DelFix.
    Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
   
   3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
   
   4. Нажмите на кнопку Run.

   5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)

   6. Прикрепите этот отчет в вашей теме.
    
    
Выполните скрипт в AVZ при наличии доступа в интернет:
 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[zenya21]

 Прикрепите этот отчет в вашей теме.

  

Спасибо за помощь. ) 

DelFix.txt