CanisRabiosa Опубликовано 31 августа, 2016 Опубликовано 31 августа, 2016 Всем привет. Машина заражена всякой дрянью, которая не удаляется либо переустанавливается после удаления AdwCleanerC0.txt
Mark D. Pearlstone Опубликовано 31 августа, 2016 Опубликовано 31 августа, 2016 Порядок оформления запроса о помощи
CanisRabiosa Опубликовано 31 августа, 2016 Автор Опубликовано 31 августа, 2016 Проблемма: автоустановка приложений с именами - hosts, sound +, поиск в интернете mail.ru, и т.п. А также выскакивающая реклама в браузере, замена стартовой страницы и поиска по умолчанию. ADW Cleaner находит много проблемных файлов, которые восстанавливаются после перезагрузки. CollectionLog-2016.08.31-10.29.zip
Sandor Опубликовано 31 августа, 2016 Опубликовано 31 августа, 2016 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Social2Search sunnyday version 1.1 WIN youndoo - Uninstall Zaxar Games Browser 4 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('VideoPlugin.FilterDriver'); QuarantineFile('C:\Program Files (x86)\Lomity\krtcoresmr.exe',''); QuarantineFile('C:\ProgramData\hdtask\hdtask.exe',''); QuarantineFile('C:\Program Files (x86)\DPower\5CN57BD4ET.exe',''); QuarantineFile('C:\Program Files (x86)\DPower\LBX42ZP3CO.exe',''); QuarantineFile('C:\Program Files\VideoPlugin\FilterService\VideoPlugin.FilterDriver.sys',''); QuarantineFile('C:\Program Files (x86)\Lomity\krtcorelrn.exe',''); QuarantineFileF('c:\program files (x86)\win_en_77', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Program Files (x86)\win_en_77\win_en_77.exe', ''); DeleteFile('C:\Program Files (x86)\Lomity\krtcorelrn.exe','32'); DeleteFile('C:\Program Files\VideoPlugin\FilterService\VideoPlugin.FilterDriver.sys','32'); DeleteFile('C:\Program Files (x86)\DPower\LBX42ZP3CO.exe','32'); DeleteFile('C:\Program Files (x86)\DPower\5CN57BD4ET.exe','32'); DeleteFile('C:\ProgramData\hdtask\hdtask.exe','32'); DeleteFile('C:\Program Files (x86)\Lomity\krtcoresmr.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Kuraty Core','64'); DeleteFile('C:\Program Files (x86)\win_en_77\win_en_77.exe', '32'); DeleteService('VideoPlugin.FilterDriver'); DeleteService('krtcorelrn.exe'); DeleteFileMask('c:\program files (x86)\win_en_77', '*', true); DeleteDirectory('c:\program files (x86)\win_en_77'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','TGS30PH4ED'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','4R5DHQZ4UZ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','hdtask'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','win_en_77'); ExecuteSysClean; ExecuteRepair(13); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
CanisRabiosa Опубликовано 31 августа, 2016 Автор Опубликовано 31 августа, 2016 [KLAN-4935018017] mrupdsrv.exe, mailrusetup.exe,wemoservice.exe,VideoPlugin.FilterDriver.sysПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.win_en_77.exe - not-a-virus:AdWare.Win32.Eorezo.ghlyЭто файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление баз. CollectionLog-2016.08.31-11.18.zipClearLNK-31.08.2016_11-12.log
Sandor Опубликовано 31 августа, 2016 Опубликовано 31 августа, 2016 Сделайте и прикрепите еще раз лог сканирования AdwCleaner.
Sandor Опубликовано 31 августа, 2016 Опубликовано 31 августа, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
CanisRabiosa Опубликовано 31 августа, 2016 Автор Опубликовано 31 августа, 2016 Shortcut.txtAddition.txtFRST.txt
Sandor Опубликовано 31 августа, 2016 Опубликовано 31 августа, 2016 youndoo - Uninstallне удаляется? Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Statdex\Yearing.dll => No File AppInit_DLLs-x32: C:\ProgramData\Statdex\Tampex.dll => No File BHO-x32: ArcPluginIEBHO Class -> {84BFE29A-8139-402a-B2A4-C23AE9E1A75F} -> H:\Games\Neverwinter\Arc\Plugins\ArcPluginIE.dll => No File CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://mail.ru/cnt/10445?gp=820322" CHR Extension: (Chrome Media Router) - C:\Users\CR\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-31] S2 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X] S2 SojusymecageClient; C:\Program Files (x86)\Tofatythamaent\phwHelper.dll [X] S1 ojtrbniu; no ImagePath 2016-08-30 17:07 - 2016-08-31 11:12 - 00000000 ____D C:\Users\CR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sound+ 1.0 2016-08-30 17:07 - 2016-08-30 17:07 - 00000000 ____D C:\Users\CR\AppData\LocalLow\Unity 2016-08-30 17:07 - 2016-08-30 17:07 - 00000000 ____D C:\Users\CR\AppData\Local\Unity 2016-08-30 17:07 - 2016-08-30 17:07 - 00000000 ____D C:\Users\CR\AppData\Local\MailruSetup 2016-08-30 16:44 - 2016-08-30 16:44 - 00003180 _____ C:\WINDOWS\System32\Tasks\MailRuUpdater 2016-08-29 17:02 - 2016-08-29 17:02 - 00000000 ___HD C:\Program Files (x86)\x1h8871 2016-08-29 17:02 - 2016-08-29 17:02 - 00000000 ___HD C:\Program Files (x86)\t4459A1 2016-08-29 17:02 - 2016-08-29 17:02 - 00000000 ____D C:\Users\CR\AppData\Local\Wovsygogcult 2016-08-29 17:01 - 2016-08-29 17:01 - 00000000 ___HD C:\Program Files (x86)\1x7345B 2016-08-29 17:00 - 2016-08-29 17:00 - 00000000 ___HD C:\Program Files (x86)\xri85DB 2016-08-29 16:55 - 2016-08-29 17:06 - 00000000 ____D C:\Users\CR\AppData\Local\ghcerspzeceriedcoevers 2016-08-29 15:45 - 2016-08-29 15:45 - 00000004 _____ C:\Users\Все пользователи\VideoPluginDone.dat 2016-08-29 15:45 - 2016-08-29 15:45 - 00000004 _____ C:\ProgramData\VideoPluginDone.dat 2016-08-29 15:44 - 2016-08-31 11:12 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 3 2016-08-29 15:44 - 2016-08-29 15:44 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS 2016-08-29 15:44 - 2016-08-29 15:44 - 00003014 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (CR) 2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\WINDOWS\IObit 2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\Users\Все пользователи\ProductData 2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\Users\Все пользователи\IObit 2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\Users\CR\AppData\LocalLow\IObit 2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\ProgramData\ProductData 2016-08-29 15:44 - 2016-08-29 15:44 - 00000000 ____D C:\ProgramData\IObit Task: {B606ECE5-8C0C-40CA-B1EB-3B287EBE2D73} - \Kuraty Core -> No File <==== ATTENTION Task: {DA8CDDE5-4CC3-4838-B1A6-2D6CB2432597} - System32\Tasks\Driver Booster SkipUAC (CR) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {DA9770D4-C04F-4E57-BBFD-9713B443DA01} - System32\Tasks\Microsoft\Windows\Multimedia\MailruSetup => C:\Users\CR\AppData\Local\MailruSetup\MailruSetup.exe [2016-08-30] () <==== ATTENTION Task: {F62D43F7-43F2-452D-9E57-5F909DDDD7BB} - System32\Tasks\MailRuUpdater => C:\Users\CR\AppData\Local\Mail.Ru\MailRuUpdater.exe FirewallRules: [{D167BC16-678E-4AE6-B285-12D49D2F32F3}] => (Allow) C:\Program Files\VideoPlugin\FilterService\VideoPlugin.FilterServer.exe FirewallRules: [{05805F9E-5B06-42D3-AC43-2ED54E146512}] => (Allow) C:\Users\CR\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{B7409132-E938-484C-869A-500963BE2463}] => (Allow) C:\Users\CR\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{16A97C34-9478-46EF-9DE1-0EC6A7E1A4BF}] => (Allow) C:\Users\CR\AppData\Local\Amigo\Application\amigo.exe EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
CanisRabiosa Опубликовано 31 августа, 2016 Автор Опубликовано 31 августа, 2016 (изменено) Сейчас все хорошо, понаблюдаю сегодня, т.к. установка программ или открытие браузера с рекламмой могла начинаться через 2-3 часа после запуска ПК. Изменено 31 августа, 2016 пользователем CanisRabiosa
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти