MotherBoard Опубликовано 20 декабря, 2016 Опубликовано 20 декабря, 2016 Помогите пожалуйста, схватили ребятки горсточку вирусов CollectionLog-2016.12.21-00.20.zip
Sandor Опубликовано 21 декабря, 2016 Опубликовано 21 декабря, 2016 (изменено) Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: DealPly (remove only) SmartAdverts for Google Chrome™ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\users\home\appdata\local\microsoft\extensions', '*', true, '', 0 ,0); QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', ''); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\Users\home\AppData\Local\Microsoft\Extensions\extsetup.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\extsetup" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SafeBrowser" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SafeBrowser" /F', 0, 15000, true); DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32'); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\Users\home\AppData\Local\Microsoft\Extensions\extsetup.exe', '32'); DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true); DeleteFileMask('c:\programdata\krb updater utility', '*', true); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteFileMask('c:\users\home\appdata\local\microsoft\extensions', '*', true); DeleteDirectory('c:\program files (x86)\kinoroom browser'); DeleteDirectory('c:\programdata\krb updater utility'); DeleteDirectory('c:\program files (x86)\zaxar'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','KRB Updater Utility'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = nas.iksnet R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(Default) = 0nas.iksnet O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O2-32 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O3-32 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O4 - HKLM\..\Policies\Explorer\Run: [A0927B08-6203-4BA1-A74E-E730E4DE8511] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\5E537A37-0147-4BF8-9829-18E489D873F7.exe" --getupdate-ppapi-plugin O4 - HKLM\..\Policies\Explorer\Run: [AppDownloads] "C:\Program Files (x86)\Common Files\AppDownloads\0276008B-4552-4F00-96D3-88FBFC979767.exe" /S O4-32 - HKLM\..\Policies\Explorer\Run: [A0927B08-6203-4BA1-A74E-E730E4DE8511] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\5E537A37-0147-4BF8-9829-18E489D873F7.exe" --getupdate-ppapi-plugin O4-32 - HKLM\..\Policies\Explorer\Run: [AppDownloads] "C:\Program Files (x86)\Common Files\AppDownloads\0276008B-4552-4F00-96D3-88FBFC979767.exe" /S O4-32 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s O4-32 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Изменено 21 декабря, 2016 пользователем Sandor
MotherBoard Опубликовано 21 декабря, 2016 Автор Опубликовано 21 декабря, 2016 (изменено) Удалите SmartAdverts for Google Chrome™ Error unistall not exists CollectionLog-2016.12.21-14.03.zip ClearLNK-21.12.2016_13-21.log PS: Насчет iksnet - точно надо фиксить? Это просто данные провайдера Инфоком Изменено 21 декабря, 2016 пользователем MotherBoard
Sandor Опубликовано 21 декабря, 2016 Опубликовано 21 декабря, 2016 iksnet - точно надо фиксить?Вы правы, я должен был уточнить ) Продолжаем: Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
MotherBoard Опубликовано 21 декабря, 2016 Автор Опубликовано 21 декабря, 2016 Новый лог AdwCleanerS0.txt
Sandor Опубликовано 21 декабря, 2016 Опубликовано 21 декабря, 2016 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
MotherBoard Опубликовано 21 декабря, 2016 Автор Опубликовано 21 декабря, 2016 (изменено) Первый лог после перезагрузки AdwCleanerC0.txt Второй лог: Чего на компе не хватает? Прямая ссылка грузится вечность, так и не загрузилась, зеркало - вообще нет доступа к сайту и кнопка: Перезагрузить... А толку.. Изменено 21 декабря, 2016 пользователем MotherBoard
Sandor Опубликовано 21 декабря, 2016 Опубликовано 21 декабря, 2016 Отчет об очистке должен быть с символом [Cx], где x - цифра. так и не загрузиласьПробуйте отсюда.
MotherBoard Опубликовано 21 декабря, 2016 Автор Опубликовано 21 декабря, 2016 Отчет об очистке должен быть с символом [Cx], где x - цифра. Исправила Пробуйте отсюда. Не грузится
MotherBoard Опубликовано 21 декабря, 2016 Автор Опубликовано 21 декабря, 2016 Отправил в ЛС. Логи Addition.txt FRST.txt Shortcut.txt
Sandor Опубликовано 21 декабря, 2016 Опубликовано 21 декабря, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> RuSearcher CHR Extension: (Яндекс) - C:\Users\home\AppData\Local\Google\Chrome\User Data\Default\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi [2016-12-15] CHR Extension: (Стартовая — Яндекс) - C:\Users\home\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2016-12-15] CHR Extension: (Яндекс) - C:\Users\home\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn [2016-12-15] CHR Extension: (Smart Browser) - C:\Users\home\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-07-28] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-06-09] OPR Extension: (Smart Browser™) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-10-07] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-06-20] OPR Extension: (Smart Browser™) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2015-08-25] OPR Extension: (Smart Browser™) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\iblenkmcolcdonmlfknbpbgjebabcoae [2016-01-27] OPR Extension: (Smart Browser™) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-12-01] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcahibnffhnnjcedflmchmokndkjnhpg [2015-07-28] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-07-11] OPR Extension: (Smart Browser) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-07-28] FirewallRules: [{46F9122F-CCCD-48CF-B329-6FCC00BA38C3}] => C:\Users\home\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{5305300B-C286-4779-8F9D-46AD412E7476}] => C:\Users\home\AppData\Local\MediaGet2\mediaget.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
MotherBoard Опубликовано 21 декабря, 2016 Автор Опубликовано 21 декабря, 2016 Пока ничего не сказали. Значит всё нормалёк! спасибо!
Рекомендуемые сообщения