Николай Панин Опубликовано 24 августа, 2016 Опубликовано 24 августа, 2016 (изменено) Добрый день. Скачивал файл через файло-обменник, который в свою очередь не спрашивая меня установил программы майла, амиго и прочей фигни. Не в первый раз, быстренько удалил всё установленное через панель управления и почистил браузер. Но поймал вирус который вообще никак не удаляется. Касперычем, докторомВебом, advcleaner'ом неснолько раз проходился по компу. Но нет, после перезагрузки через какое-то время снова выползает этот pluginplus... Начал искать решение проблемы - наткнулся на ваш форум, где вы помогали людям с точно такой же проблемой. Но т.к. это были рекомендации только для них, пишу заявочку на помощь. В свою очередь добавляю требуемые логи. В отчёте от ADVCleaner'a находит 3 шт. НО не удаляет. Скорее всего, он их удаляет, но они создаются по-новому. И что б не тратить время сразу кидаю лог Farbar Recovery Scan Tool. Всё скачено, понадобятся логи ещё раз - отправлю новые. Спасибо за помощь CollectionLog-2016.08.24-10.04.zip AdwCleanerS10.txt Addition.txt FRST.txt Изменено 24 августа, 2016 пользователем Николай Панин
mike 1 Опубликовано 24 августа, 2016 Опубликовано 24 августа, 2016 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); DeleteFile('C:\Users\RUSSLAND\AppData\Local\ic\ic.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\ic','64'); DeleteFile('c:\Temp\System32\start.vbs','32'); DeleteFile('C:\WINDOWS\system32\Tasks\System_update','64'); DeleteFile('C:\WINDOWS\system32\Tasks\{B65A49F8-2B26-4CB2-9E9C-2B9D9729D88D}','64'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. Сделайте новые логи Автологгером. 2
Николай Панин Опубликовано 24 августа, 2016 Автор Опубликовано 24 августа, 2016 (изменено) Вот новые логи, спасибо. Жду дальнейших действий. CollectionLog-2016.08.24-12.53.zip Изменено 24 августа, 2016 пользователем Николай Панин
mike 1 Опубликовано 24 августа, 2016 Опубликовано 24 августа, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Николай Панин Опубликовано 24 августа, 2016 Автор Опубликовано 24 августа, 2016 (изменено) Сделал. Addition.txt в первом сообщении. Сейчас он не создался похоже, я его не нашёл. FRST.txt Изменено 24 августа, 2016 пользователем Николай Панин
mike 1 Опубликовано 24 августа, 2016 Опубликовано 24 августа, 2016 Галочку в FRST поставьте напротив Addition.txt
Николай Панин Опубликовано 24 августа, 2016 Автор Опубликовано 24 августа, 2016 Гм, вроде её и не снимал :/ Ну ладно, прошу прощения за свою невнимательность. Addition.txt FRST.txt
mike 1 Опубликовано 24 августа, 2016 Опубликовано 24 августа, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: CHR Extension: (Chrome Media Router) - C:\Users\RUSSLAND\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-23] CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib CHR HKU\S-1-5-21-344277163-485747925-1536405997-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - <no Path/update_url> CHR HKU\S-1-5-21-344277163-485747925-1536405997-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - <no Path/update_url> CHR HKU\S-1-5-21-344277163-485747925-1536405997-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - <no Path/update_url> CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx OPR Extension: (__MSG_gmailcheck_name__) - C:\Program Files (x86)\CondRed2\Extensions\chrome [2016-08-19] 2016-08-13 22:22 - 2016-08-13 22:22 - 00000000 ____D C:\Users\RUSSLAND\AppData\Local\Tempzxpsigndd3dbb38be7860f3 2016-08-13 22:22 - 2016-08-13 22:22 - 00000000 ____D C:\Users\RUSSLAND\AppData\Local\Tempzxpsign5e6b40520d858877 2016-08-13 21:33 - 2016-08-13 21:33 - 00000000 ____D C:\Users\RUSSLAND\AppData\Local\Tempzxpsign6dcf112f0e422c4b 2016-08-13 21:33 - 2016-08-13 21:33 - 00000000 ____D C:\Users\RUSSLAND\AppData\Local\Tempzxpsign3ab78f1bba1069da 2016-08-13 21:28 - 2016-08-13 21:28 - 00000000 ____D C:\Users\RUSSLAND\AppData\Local\Tempzxpsignad30fac993f9d033 2016-08-13 21:28 - 2016-08-13 21:28 - 00000000 ____D C:\Users\RUSSLAND\AppData\Local\Tempzxpsign5d177e52d7ad588f 2016-08-13 21:28 - 2016-08-13 21:28 - 00000000 ____D C:\Users\RUSSLAND\AppData\Local\Tempzxpsign3ae07d0956bd92d3 2016-08-13 21:28 - 2016-08-13 21:28 - 00000000 ____D C:\Users\RUSSLAND\AppData\Local\Tempzxpsign0a743fd2d2bd15b1 C:\Users\RUSSLAND\AppData\Local\Temp\5s67sMpMDAHO.exe C:\Users\RUSSLAND\AppData\Local\Temp\7ZHECfRFfH1b.exe C:\Users\RUSSLAND\AppData\Local\Temp\aa5c7KAQMoRH.exe C:\Users\RUSSLAND\AppData\Local\Temp\AWtFrfPGMObt.exe C:\Users\RUSSLAND\AppData\Local\Temp\BA0gILDtI28E.exe C:\Users\RUSSLAND\AppData\Local\Temp\bitool.dll C:\Users\RUSSLAND\AppData\Local\Temp\bJHxKIVc00ab.exe C:\Users\RUSSLAND\AppData\Local\Temp\coi1633.exe C:\Users\RUSSLAND\AppData\Local\Temp\DH2MdVHR1XKD.exe C:\Users\RUSSLAND\AppData\Local\Temp\Dz4bfmY6Fhfj.exe C:\Users\RUSSLAND\AppData\Local\Temp\fuqluADo4KlC.exe C:\Users\RUSSLAND\AppData\Local\Temp\gPMCsyH9gw3e.exe C:\Users\RUSSLAND\AppData\Local\Temp\Ho0xAPGCmtbA.exe C:\Users\RUSSLAND\AppData\Local\Temp\Kh5yi7BqxkyE.exe C:\Users\RUSSLAND\AppData\Local\Temp\stconv.exe C:\Users\RUSSLAND\AppData\Local\Temp\TLJtREK0JtWT.exe C:\Users\RUSSLAND\AppData\Local\Temp\toolbar.exe C:\Users\RUSSLAND\AppData\Local\Temp\u6ExbSyzyBxo.exe C:\Users\RUSSLAND\AppData\Local\Temp\UjcCLifMSIJx.exe C:\Users\RUSSLAND\AppData\Local\Temp\vcredist14_x86.exe C:\Users\RUSSLAND\AppData\Local\Temp\xiGwEh0wSVUG.exe C:\Users\RUSSLAND\AppData\Local\Temp\xmlUpdater.exe C:\Users\RUSSLAND\AppData\Local\Temp\xpzEgx7xvOyi.exe C:\Users\RUSSLAND\AppData\Local\Temp\yR0dJWN0aGOF.exe Task: {012E1E62-196A-4A37-9377-475F0357DE33} - \System_update -> No File <==== ATTENTION Task: {2FD7C868-0A2E-4329-9632-ECEAE3E922A9} - \{B65A49F8-2B26-4CB2-9E9C-2B9D9729D88D} -> No File <==== ATTENTION Task: {8F7C198C-DDEC-4202-9661-61B3CD17D5D9} - \ic -> No File <==== ATTENTION EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
Николай Панин Опубликовано 25 августа, 2016 Автор Опубликовано 25 августа, 2016 Больше не замечаю этих окон. + advcleaner ничего не находит. Огромнейшее спасибо за помощь. Удачи в работе.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти