при включении ноутбука включается edge с переходом на рекламы

[Станислав Грудцын]

сканировал стандартным защитником windows 10, находились трояны и еще несколько

в автозагрузке так же увидел подозритедьное и отключил, при включении системы открываться браузер перестал, реклама не исчезла

 

за ранее спасибо

CollectionLog-2017.01.05-11.20.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 DeleteFile('C:\Users\работа\AppData\Local\FilterOptions\regCheck.vbs','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
 DeleteFile('C:\Users\работа\AppData\Local\FileSystemOptions\regCheck.vbs','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
 DeleteFile('C:\Users\работа\AppData\Local\TestMenu\regCheck.vbs','32');
 DeleteFile('C:\Users\работа\AppData\Local\ImmediateHelp\regCheck.vbs','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
 DeleteFile('C:\Users\работа\AppData\Local\LastNews\regCheck.vbs','32');
 DeleteFile('C:\Users\работа\AppData\Local\ValidateLife\regCheck.vbs','32');
 DeleteFile('C:\Users\работа\AppData\Local\DateOption\regCheck.vbs','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
 DeleteFile('C:\Users\работа\AppData\Local\rightchose\regCheck.vbs','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Driver Booster SkipUAC (работа)','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Manifest RunTime Helper','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Request RunTime Manager','64');
 DeleteFile('C:\Users\работа\AppData\Local\FilterStart\FilterStart.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{792C69DB-3F15-4489-AE8A-FC413170BB40}','64');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером.

[Станислав Грудцын]

выполнил

CollectionLog-2017.01.05-12.57.zip

[mike 1]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Станислав Грудцын]

выполнил

AdwCleanerS5.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Станислав Грудцын]

.

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  Tcpip\..\Interfaces\{b1eff79d-6c80-4aec-b3a2-b9df94623e6c}: [DhcpNameServer] 40.2.1.100
  OPR Extension: (Tampermonkey) - C:\Users\работа\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-11-10]
  2017-01-05 12:49 - 2016-09-24 00:18 - 00000000 ____D C:\Users\работа\AppData\Local\ValidateLife
  2017-01-05 12:49 - 2016-09-24 00:18 - 00000000 ____D C:\Users\работа\AppData\Local\TestMenu
  2017-01-05 12:49 - 2016-09-24 00:18 - 00000000 ____D C:\Users\работа\AppData\Local\rightchose
  2017-01-05 12:49 - 2016-09-24 00:18 - 00000000 ____D C:\Users\работа\AppData\Local\LastNews
  2017-01-05 12:49 - 2016-09-24 00:18 - 00000000 ____D C:\Users\работа\AppData\Local\ImmediateHelp
  2017-01-05 12:49 - 2016-09-24 00:18 - 00000000 ____D C:\Users\работа\AppData\Local\FilterOptions
  2017-01-05 12:49 - 2016-09-24 00:18 - 00000000 ____D C:\Users\работа\AppData\Local\FileSystemOptions
  2017-01-05 12:49 - 2016-09-24 00:18 - 00000000 ____D C:\Users\работа\AppData\Local\DateOption
  2015-03-15 14:15 - 2015-03-15 14:15 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
  2016-04-18 17:22 - 2016-04-18 17:22 - 6494208 _____ () C:\Users\работа\AppData\Roaming\agent.dat
  2014-11-25 20:00 - 2013-07-11 14:06 - 0249120 _____ (NVIDIA Corporation) C:\Users\работа\AppData\Roaming\cudart32_55.dll
  2014-10-30 11:26 - 2014-10-30 11:26 - 0000232 _____ () C:\Users\работа\AppData\Roaming\del.bat
  2015-01-10 20:18 - 2015-01-10 20:18 - 0099384 _____ () C:\Users\работа\AppData\Roaming\inst.exe
  2016-04-18 17:21 - 2016-04-18 17:21 - 0127488 _____ () C:\Users\работа\AppData\Roaming\Installer.dat
  2014-11-25 20:00 - 2013-11-06 00:33 - 0538126 _____ () C:\Users\работа\AppData\Roaming\libcurl-4.dll
  2014-11-25 20:00 - 2013-11-06 00:33 - 1704448 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Users\работа\AppData\Roaming\libeay32.dll
  2014-11-25 20:00 - 2013-11-06 00:33 - 0192512 _____ () C:\Users\работа\AppData\Roaming\libidn-11.dll
  2014-11-25 20:00 - 2013-11-06 00:33 - 0133632 _____ () C:\Users\работа\AppData\Roaming\librtmp.dll
  2014-11-25 20:00 - 2013-11-06 00:33 - 0171008 _____ (The libssh2 library, http://www.libssh2.org/) C:\Users\работа\AppData\Roaming\libssh2.dll
  2014-11-25 20:00 - 2013-11-06 00:33 - 0005678 _____ () C:\Users\работа\AppData\Roaming\MCast.class
  2015-01-10 20:18 - 2015-01-10 20:18 - 0007859 _____ () C:\Users\работа\AppData\Roaming\pcouffin.cat
  2015-01-10 20:18 - 2015-01-10 20:18 - 0001167 _____ () C:\Users\работа\AppData\Roaming\pcouffin.inf
  2015-01-10 20:18 - 2015-01-10 20:18 - 0000055 _____ () C:\Users\работа\AppData\Roaming\pcouffin.log
  2015-01-10 20:18 - 2015-01-10 20:18 - 0082816 _____ (VSO Software) C:\Users\работа\AppData\Roaming\pcouffin.sys
  2014-11-25 20:00 - 2013-11-06 00:33 - 0043810 _____ () C:\Users\работа\AppData\Roaming\poclbm130302.cl
  2014-11-25 20:00 - 2012-05-27 01:36 - 0055808 _____ (Open Source Software community LGPL) C:\Users\работа\AppData\Roaming\pthreadVC2.dll
  2015-06-08 17:49 - 2015-11-20 17:49 - 0000000 _____ () C:\Users\работа\AppData\Roaming\smw_inst
  2014-11-25 20:00 - 2013-11-06 00:33 - 0364544 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Users\работа\AppData\Roaming\ssleay32.dll
  2010-02-20 01:39 - 2010-02-20 01:39 - 0000032 _____ () C:\ProgramData\{051B9612-4D82-42AC-8C63-CD2DCEDC1CB3}.log
  2009-11-27 20:23 - 2009-11-27 20:23 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
  2010-02-20 01:38 - 2010-02-20 01:38 - 0000032 _____ () C:\ProgramData\{23F3DA62-2D9E-4A69-B8D5-BE8E9E148092}.log
  2009-11-27 20:18 - 2009-11-27 20:19 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
  2010-02-20 01:38 - 2010-02-20 01:38 - 0000032 _____ () C:\ProgramData\{4FC670EB-5F02-4B07-90DB-022B86BFEFD0}.log
  2010-02-20 01:38 - 2010-02-20 01:38 - 0000032 _____ () C:\ProgramData\{9867824A-C86D-4A83-8F3C-E7A86BE0AFD3}.log
  2009-11-27 20:18 - 2009-11-27 20:18 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
  2009-11-27 20:19 - 2009-11-27 20:22 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
  2010-02-20 01:39 - 2010-02-20 01:39 - 0000105 _____ () C:\ProgramData\{d36dd326-7280-11d8-97c8-000129760cbe}.log
  2015-03-15 14:04 - 2014-05-19 16:04 - 0874280 ____H (Yandex LLC) C:\Users\работа\AppData\Local\ВrоwsеrМаnаgеr.bаt.exe
  Task: {2071DF90-6188-424C-AF08-5510267529E8} - \Driver Booster SkipUAC (работа) -> No File <==== ATTENTION
  Task: {2419563F-5C54-42E4-A6BD-F4997FB3B3FB} - \Request RunTime Manager -> No File <==== ATTENTION
  Task: {5051A422-423D-490E-82A1-D8DB7C701820} - \Manifest RunTime Helper -> No File <==== ATTENTION
  Task: {70A27C4E-C6F1-4348-AC4B-D13E35FC17FE} - \CCleanerSkipUAC -> No File <==== ATTENTION
  Task: {7E3110ED-3BFF-47A7-86F5-1C37A955A04C} - \{792C69DB-3F15-4489-AE8A-FC413170BB40} -> No File <==== ATTENTION
  FirewallRules: [{9ED232F1-0EDB-4371-8DF3-CE80B5EFE892}] => C:\Program Files\UBar\ubar.exe
  EmptyTemp:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено 6 января, 2017 пользователем mike 1

[Станислав Грудцын]

.

Fixlog.txt

[mike 1]

Что с проблемой?

[Станислав Грудцын]

Что с проблемой?

если честно, проблема ушла значительно раньше, всеравно спасибо и Рождеством!!!!!

[mike 1]

• Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
• Запустите DelFix

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
• Нажмите на кнопку Run

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Советы и рекомендации после лечения компьютера