Удаление AdWare NetUtils2016

[igor_]

Добрый день. На компьютере установилась данная программа, как adware упакованный с другой программой. Касперский её не обнаруживает как зловредную. Установлен KSOS 5.

Прописался файл NetUtils2016.dll в папке C:\Windows\System32

Если его удалять, то он восстанавливается. В той же папке появляется файл tmplog.txt в котором ведутся какие-то подозрительные логи.

 

Прогнал Касперский (ничего не нашел), AdwCleaner (Он эту программу увидел и удалил, но она тут же восстановилась.)

 

Прилагаю логи автологгера, также в отдельном архиве тот файл tmplog.txt и отчеты adwcleaner.

 

Буду благодарен за любую помощь.

CollectionLog-2016.10.13-01.28.zip

логи.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[igor_]

Здравствуйте.

Прикрепил отчеты из Farbar

farbar.zip

[Sandor]

Эти политики настраивали самостоятельно?

GroupPolicy: Restriction <======= ATTENTION

GroupPolicy\User: Restriction <======= ATTENTION

GroupPolicyScripts: Restriction <======= ATTENTION

GroupPolicyScripts\User: Restriction <======= ATTENTION

[igor_]

Даже не знаю, что эти строки значат. По идее, ничего вроде applocker не включали. Единственное, системные диски спрятали.

[Sandor]

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перегрузите сервер вручную.

Подробнее читайте в этом руководстве.

[igor_]

Здравствуйте.

Запустил скрипт. Слетели настройки сервера лицензирования служб терминалов, и перестало пускать терминальных пользователей. Вернул настройки назад.

Fixlog.txt

[Roman_Five]

проверьте, что в папке, и сообщите.

C:\Program Files (x86)\GSLITE

создайте вручную новую точку восстановления.
 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

R1 NetUtils2016; C:\Windows\system32\drivers\NetUtils2016.sys [909944 2016-10-13] () <==== ATTENTION
C:\Windows\system32\drivers\NetUtils2016.sys 9EE21F7D46BD2B0F128E0907BABC7D28
2016-10-13 01:06 - 2016-10-13 01:45 - 00625272 _____ C:\Windows\system32\NetUtils2016.dll
2016-09-26 11:55 - 2016-10-13 01:04 - 00909944 _____ C:\Windows\system32\Drivers\NetUtils2016.sys
2016-09-26 11:55 - 2016-09-26 11:55 - 00000000 ____D C:\Windows\SysWOW64\sstmp
2016-09-26 11:55 - 2016-09-26 11:55 - 00000000 ____D C:\Windows\system32\sstmp

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Изменено 24 октября, 2016 пользователем mike 1
https://forum.kasperskyclub.ru/index.php?showtopic=12617&page=30

[igor_]

В папке GSLITE лежит один пустой файл distrib.ini и больше ничего.

Тут серверная ОС в облаке и точку восстановления делать некуда, поэтому запустил скрипт без неё на свой страх и риск.

Лог приложил.

NetUtils2016 опять возродился в system32 вместе с tmplog.log

Fixlog.txt

[Sandor]

Подготовьте лог сканирования MBAM.