Xromoff 0 Опубликовано 22 ноября, 2016 Share Опубликовано 22 ноября, 2016 После торрент скачивания появилось у меня куча проблем, началась автоматическая установка ненужного софта, от которого я избавился, а вот проблема с автоматическим открыванием сайтов казино в браузере осталась, еще появилась папка папка ghostery storage server, которая не удаляется из-за того что она запущена, возможно еще что скрыто от моих глаз. KIS никаких угроз не обнаружил. Скрипты прилагаю. Нашел в диспетчере задач ghost32.exe остановил его и смог удалить папку ghostery storage server, но проблема с автоматическим открытием всяких сайтов не ушла. CollectionLog-2016.11.22-13.12.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 22 ноября, 2016 Share Опубликовано 22 ноября, 2016 (изменено) Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Auslogics BoostSpeed 5.4.0.10 TuneUp Utilities 2013 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe'); StopService('Ghostery Storage Server'); QuarantineFile('c:\program files (x86)\ghostery storage server\ghstore.exe',''); QuarantineFile('C:\Users\Александр\Desktop\Новая папка (2)\Программы\Opera.lnk', ''); QuarantineFile('C:\ProgramData\OUxspfktPJ\AJmzctqUaZA2.bat', ''); QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\users\александр\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\Users\Александр\AppData\Local\Hostinstaller\549937253_installcube.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "InternetAA" /F', 0, 15000, true); DeleteFile('c:\program files (x86)\ghostery storage server\ghstore.exe','32'); DeleteFile('C:\ProgramData\OUxspfktPJ\AJmzctqUaZA2.bat', ''); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\Users\Александр\AppData\Local\Hostinstaller\549937253_installcube.exe', '32'); DeleteService('Ghostery Storage Server'); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteFileMask('c:\users\александр\appdata\local\hostinstaller', '*', true); DeleteDirectory('c:\program files (x86)\zaxar'); DeleteDirectory('c:\users\александр\appdata\local\hostinstaller'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar'); ExecuteSysClean; ExecuteRepair(3); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Изменено 22 ноября, 2016 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
Xromoff 0 Опубликовано 22 ноября, 2016 Автор Share Опубликовано 22 ноября, 2016 KLAN-5374978473 AJmzctqUaZA2.bat Получен неизвестный файл, он будет передан в Вирусную Лабораторию. AdwCleanerS0.txt ClearLNK-22.11.2016_18-54.log Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 22 ноября, 2016 Share Опубликовано 22 ноября, 2016 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Прокси Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Xromoff 0 Опубликовано 22 ноября, 2016 Автор Share Опубликовано 22 ноября, 2016 . AdwCleanerC0.txt AdwCleanerC2.txt Addition.txt Shortcut.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 22 ноября, 2016 Share Опубликовано 22 ноября, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: OPR Extension: (coprofit) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\fkbmjpofpcpmmokgmkehcpbofjombfoe [2015-11-08] EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Xromoff 0 Опубликовано 22 ноября, 2016 Автор Share Опубликовано 22 ноября, 2016 (изменено) Вот Fixlog.txt Изменено 22 ноября, 2016 пользователем Xromoff Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 22 ноября, 2016 Share Опубликовано 22 ноября, 2016 Что из проблем сейчас осталось? Цитата Ссылка на сообщение Поделиться на другие сайты
Xromoff 0 Опубликовано 22 ноября, 2016 Автор Share Опубликовано 22 ноября, 2016 Большое спасибо, пока ничего не замечал, надеюсь и не замечу. Сайты аля Вулкан сами больше не открываются. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 22 ноября, 2016 Share Опубликовано 22 ноября, 2016 В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Подробнее читайте в этом руководстве. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Xromoff 0 Опубликовано 23 ноября, 2016 Автор Share Опубликовано 23 ноября, 2016 . SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 23 ноября, 2016 Share Опубликовано 23 ноября, 2016 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.9.42923 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 111 (64-bit) v.8.0.1110.14 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^ --------------------------- [ AppleProduction ] --------------------------- iTunes v.12.0.1.26 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ Bonjour v.3.0.0.10 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ QuickTime v.7.73.80.64 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 10 ActiveX v.10.2.152.26 Внимание! Скачать обновления Adobe Reader XI (11.0.03) - Russian v.11.0.03 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Opera 12.17 v.12.17.1863 Внимание! Скачать обновления Прочтите и выполните Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.