Snapdo, Sannyday, Kuazip, Zaxar.

[Genas]

После того как я, полазил в сети в поисках нужного себе софта, нашёл себе кучу вредоносного софта. В момент начало творится непонятно что, устанавливались какие то проги, ни один браузер не грузился, а если загружался, то невозможно было работать, на рабочем столе куча рекламы. Быстро осознав что, что то пошло не так, предринял следующее:

1. просканировал и удалил при помощи Dr. Web Cureit.

2. установил, обновил, настроил, просканировал и удалил при помощи Kaspercky Total Security.

3. просканировал и удалил при помощи SpyHunter4.

4. просканировал и удалил при помощи AdwCleaner.

5. просканировал и удалил при помощи MBAM.

После проделанного касперский при запуске системы постоянно выдаёт Объект не обработан, но в отчёте этой записи нету или не могу найти. И остался какой то "Compress" со значком winrar'а чуть ниже него, пробывал переустанавливать его - не помогло. Спайхантер так и не удалил какой то kuazip из реестра. Вот в приципе и всё, помогите разобраться, действительно ли нечисть прогнана.

CollectionLog-2016.08.17-05.02.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteFile('C:\Users\Генас\AppData\Local\hieyuz.dll','32');
 DeleteFile('C:\Program Files (x86)\DPower\VUS0KV1TXI.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PY9HT5HO02');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hieyuz');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','N7C4QE31Y4');
 DeleteFile('C:\Program Files (x86)\DPower\M070H1QM14.exe','32');
 DeleteFile('C:\Users\Генас\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager','64');
 DeleteFile('C:\Windows\system32\Tasks\SpyHunter4Startup','64');
 DeleteFile('C:\Windows\system32\Tasks\{0ACED1DD-2A40-4FCD-920C-BDBC33CF2E34}','64');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 

 

 

[Genas]

Сделано.

CollectionLog-2016.08.17-14.48.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Genas]

Проделано.

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

•  
  

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-2866029759-363808906-2956279341-1000\...\Run: [MAgent] => [X]

HKU\S-1-5-21-2866029759-363808906-2956279341-1000\...\Run: [spt_mm_s] => [X]

ShellExecuteHooks:  - {6710C780-E20E-4C49-A87D-321850ED3D7C} -  No File [ ]

ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  No File

ShellIconOverlayIdentifiers: [MyOverlayIcon] -> {B41B3408-923F-4B8B-85F2-146C509FA18C} =>  No File

URLSearchHook: HKLM-x32 -> Default = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}

SearchScopes: HKLM-x32 -> DefaultScope value is missing

FF Homepage: C:\ProgramData\Statdexs\ff.HP

CHR Extension: (Chrome Media Router) - C:\Users\Генас\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-17]

CHR HKLM-x32\...\Chrome\Extension: [ajkpgdiejopejkllbihfkpcbmgclpkij] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [mafpbclkdiejmpjnmioihcafdnlbmkco] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [nkooappjeoniffjmoplbagpngedkckpl] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx

S3 esgiguard; \?\C:\Program Files\SpyHunter\esgiguard.sys [X]

2016-08-16 09:42 - 2016-08-16 09:42 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys

2016-08-16 02:39 - 2016-08-16 02:39 - 00112128 ____N C:\Users\Генас\AppData\Local\hieyuz.dll

2016-08-16 01:37 - 2016-08-16 01:37 - 00000000 ____D C:\Users\Генас\AppData\Roaming\ProductData

2016-08-16 01:36 - 2016-08-16 01:44 - 00000000 ____D C:\Users\Генас\AppData\LocalLow\Unity

2016-08-16 01:36 - 2016-08-16 01:44 - 00000000 ____D C:\Users\Генас\AppData\Local\Unity

2016-08-16 01:36 - 2016-08-16 01:36 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled

2016-08-16 01:35 - 2016-08-16 01:37 - 00000000 ____D C:\Users\Генас\AppData\LocalLow\IObit

2016-08-16 01:35 - 2016-08-16 01:35 - 00000000 ____D C:\Windows\IObit

2016-08-16 01:34 - 2016-08-16 01:46 - 00000000 ____D C:\Users\Генас\AppData\Roaming\prof2you

2016-08-16 01:34 - 2016-08-16 01:36 - 00000000 ____D C:\Users\Генас\AppData\Roaming\IObit

2010-08-29 00:43 - 2010-08-29 00:43 - 0096256 ____N (Google, inc) C:\Users\Генас\AppData\Roaming\AdbWinApi.dll

2010-08-29 00:43 - 2010-08-29 00:43 - 0060928 ____N (Google, inc) C:\Users\Генас\AppData\Roaming\AdbWinUsbApi.dll

Task: {444EC19F-8B0C-45EB-A460-B6CE7532B0C7} - \{0ACED1DD-2A40-4FCD-920C-BDBC33CF2E34} -> No File <==== ATTENTION

Task: {710849A6-8D2E-43F8-BE3E-65457889FD1B} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION

Task: {C3D9AE96-E3E2-4A4D-AAFA-6AEC13B2527E} - \SpyHunter4Startup -> No File <==== ATTENTION

EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Genas]

Архив не создался и прога обновилась.

Fixlog.txt

[mike 1]

Какая?

[Genas]

FRST.exe

Кстати, отчёт о необработанном файле перестал появляться при запуске системы, но compress остался 

[mike 1]

Она автоматически может обновляться. Проблема решена?

[Genas]

Нет, вот эта штука 

[mike 1]

Это WinRar. Поставьте себе русскую версию WinRar.