Евгений1989 0 Опубликовано 23 ноября, 2016 Share Опубликовано 23 ноября, 2016 Добрый день! Открываются окна с рекламой казино вулкан в гугл хроме. Делал несколько раз полную проверку Касперским Интернет Секьюрити, находит угрозы нейтрализует но ситуация не изменилась. Прикрепляю логи CollectionLog-2016.11.23-20.34.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 23 ноября, 2016 Share Опубликовано 23 ноября, 2016 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}'); QuarantineFile('C:\Program Files\Csrss Module\Runner.exe',''); DeleteService('gkernel'); DeleteFile('C:\Users\DEPOEG~1\AppData\Local\Temp\gkernel.sys','32'); DeleteFile('C:\PROGRA~2\Mozilla\zijwhzd.dll','32'); DeleteFile('C:\Windows\Tasks\At1.job','32'); DeleteFile('C:\Windows\system32\Tasks\At1','32'); DeleteFile('C:\Windows\system32\Tasks\callculator','32'); DeleteFile('C:\Users\DepoEgo8750\AppData\Local\callculator\callculator.exe','32'); DeleteFile('C:\Windows\system32\Tasks\DealPly','32'); DeleteFile('C:\Windows\system32\Tasks\DSite','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. Сделайте новые логи Автологгером. Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений1989 0 Опубликовано 24 ноября, 2016 Автор Share Опубликовано 24 ноября, 2016 Добрый день! Вышеперечисленные операции выполнил. Прикрепляю логи. CollectionLog-2016.11.24-09.48.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 24 ноября, 2016 Share Опубликовано 24 ноября, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений1989 0 Опубликовано 24 ноября, 2016 Автор Share Опубликовано 24 ноября, 2016 Высылаю отчеты Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 24 ноября, 2016 Share Опубликовано 24 ноября, 2016 Деинсталлируйте: callculator DealPly ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: File: C:\Program Files\Csrss Module\Runner.exe HKU\S-1-5-21-1736490867-71847173-1248217030-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2616320 2011-02-25] (Microsoft Corporation) <==== ATTENTION GroupPolicy: Restriction ? <======= ATTENTION GroupPolicy\User: Restriction ? <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKU\S-1-5-21-1736490867-71847173-1248217030-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search HKU\S-1-5-21-1736490867-71847173-1248217030-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search SearchScopes: HKU\S-1-5-21-1736490867-71847173-1248217030-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE SearchScopes: HKU\S-1-5-21-1736490867-71847173-1248217030-1000 -> {FC0D5DB4-EA85-40AE-8A42-4327318B4453} URL = hxxp://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^RU&gct=&itbv=12.24.1.51&apn_uid=6565B107-9CD3-466B-AF77-0915D6602DD0&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^RU&apn_dbr=ie&doi=2015-05-20&trgb=IE&q={searchTerms}&psv=&pt=tb Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-1736490867-71847173-1248217030-1000 -> No Name - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No File Toolbar: HKU\S-1-5-21-1736490867-71847173-1248217030-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-1736490867-71847173-1248217030-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF SearchPlugin: C:\Users\DepoEgo8750\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\webalta-search.xml [2012-03-13] CHR Extension: (Vkontakte Video Downloader) - C:\Users\DepoEgo8750\AppData\Local\Google\Chrome\User Data\Default\Extensions\cifhijkiiikloafabeloklapclpjgpom [2014-09-30] [UpdateUrl: hxxp://vkvideoloader.com/php/update/check_update_chrome.php] <==== ATTENTION CHR Extension: (Стартовая — Яндекс) - C:\Users\DepoEgo8750\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2016-11-03] CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [cifhijkiiikloafabeloklapclpjgpom] - C:\Users\DepoEgo8750\AppData\Roaming\VkVideo\chrome.crx [2012-09-30] S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-08-23] (IObit) 2016-11-22 10:29 - 2016-11-22 10:29 - 00000000 ____D C:\Users\DepoEgo8750\AppData\Local\ZaxarGameBrowser 2016-11-22 10:26 - 2016-11-22 14:13 - 00000000 ____D C:\Program Files\My Web Shield 2016-11-22 10:24 - 2016-11-24 09:24 - 00000000 ____D C:\Users\DepoEgo8750\AppData\Local\callculator 2016-11-22 10:24 - 2016-11-22 13:01 - 00000000 ____D C:\Users\Все пользователи\hdtask 2016-11-22 10:24 - 2016-11-22 13:01 - 00000000 ____D C:\ProgramData\hdtask Task: {2BC56254-EC19-4B1B-A235-4D3D3068D85D} - \Driver Booster Update -> No File <==== ATTENTION Task: {5F3BB5E6-8940-4AD6-8856-BE4B85FE06A0} - \Driver Booster SkipUAC (DepoEgo8750) -> No File <==== ATTENTION Task: {BE2E391D-F946-4759-B34A-25AC81DFF8D3} - \avast! Emergency Update -> No File <==== ATTENTION Task: {C02D244C-4AFD-4785-A7CE-2EEC600ED196} - \DSite -> No File <==== ATTENTION Task: {D1E3BF9A-3132-4806-B089-2AE6389BDD24} - \callculator -> No File <==== ATTENTION Task: {D494B045-5595-4B2A-B44F-94228A6C205A} - \DealPly -> No File <==== ATTENTION EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений1989 0 Опубликовано 25 ноября, 2016 Автор Share Опубликовано 25 ноября, 2016 Высылаю отчет фикслог. callculator удалил, DealPly уже удален. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 25 ноября, 2016 Share Опубликовано 25 ноября, 2016 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений1989 0 Опубликовано 26 ноября, 2016 Автор Share Опубликовано 26 ноября, 2016 высылаю отчет AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 27 ноября, 2016 Share Опубликовано 27 ноября, 2016 удалите все найденное в AdwCleaner (ghb желании можете оставить элементы Mail.ru) http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений1989 0 Опубликовано 27 ноября, 2016 Автор Share Опубликовано 27 ноября, 2016 удалил все. высылаю отчет AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 27 ноября, 2016 Share Опубликовано 27 ноября, 2016 не тот отчет Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений1989 0 Опубликовано 28 ноября, 2016 Автор Share Опубликовано 28 ноября, 2016 дубль AdwCleanerC0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 28 ноября, 2016 Share Опубликовано 28 ноября, 2016 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений1989 0 Опубликовано 28 ноября, 2016 Автор Share Опубликовано 28 ноября, 2016 все прошло ! спасибо за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.