Перейти к содержанию
Правила раздела

Подхватил Букет Программ

Ichi

От Ichi
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Ichi Новичок

Ichi

Опубликовано
Опубликовано

Доброго времени суток, прошу помощи у опытного сэнсэя. Подхватил около недели назад букет во время установки приложения. Не получается почистить полностью систему из-за недостатка знаний, где-то остались хвосты и ждут своего времени. Время от времени появляется ошибка про "DBUpdater" , не удалось запустить так как файл содержит вирус. Постоянно пытается качать файлы в папку локал/темп.

 

CollectionLog-2017.01.08-23.47.zip

Shortcut.txt

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Удалите Iobit, hdtask через установку программ в панели управления


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}');
 TerminateProcessByName('c:\programdata\hotfresh\hotfresh.exe');
 TerminateProcessByName('c:\programdata\networkpacketmanitor\nettrans.exe');
 StopService('Hotfresh');
 StopService('Nettrans');
 DeleteService('Hotfresh');
 DeleteService('Nettrans');
 QuarantineFile('C:\Program Files (x86)\DPower\JWHF9PCKWT.exe','');
 QuarantineFile('C:\Program Files (x86)\Reerbesy\nazat.exe','');
 QuarantineFile('C:\Program Files (x86)\The_Wiggles\unins000.exe','');
 QuarantineFile('C:\Program Files\22DX9PS0U0\22DX9PS0U.exe','');
 QuarantineFile('C:\Program Files\28BVCWLHES\BWVTZEFVD.exe','');
 QuarantineFile('C:\Program Files\33OT22MJ4L\33OT22MJ4.exe','');
 QuarantineFile('C:\Program Files\6O5QD4DMWF\W2IKT2POU.exe','');
 QuarantineFile('C:\Program Files\8T9ZCOQVUW\8T9ZCOQVU.exe','');
 QuarantineFile('C:\Program Files\96H96GH7IF\96H96GH7I.exe','');
 QuarantineFile('C:\Program Files\B1EILR2D4K\1FRC1QEF3.exe','');
 QuarantineFile('C:\Program Files\BIVQUSMP59\5XCXLWC80.exe','');
 QuarantineFile('C:\Program Files\FG0MK51MGW\FG0MK51MG.exe','');
 QuarantineFile('C:\Program Files\GLQM14CXHW\GLQM14CXH.exe','');
 QuarantineFile('C:\Program Files\I9ZGA6HZ93\I9ZGA6HZ9.exe','');
 QuarantineFile('C:\Program Files\NVI9I3RHEK\I9ZGA6HZ9.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\00IHBMNRQ7.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\wizzcaster.exe','');
 QuarantineFile('C:\Program Files\THZQN4ISNG\X2PS39MY9.exe','');
 QuarantineFile('C:\Program Files\W2IKT2POU8\NY1718NTI.exe','');
 QuarantineFile('C:\Program Files\WKC075CWGX\79PPMEDLX.exe','');
 QuarantineFile('C:\ProgramData\hdtask\hdtask.exe','');
 QuarantineFile('C:\ProgramData\Hotfresh\EcoRaneco.dll','');
 QuarantineFile('c:\programdata\hotfresh\hotfresh.exe','');
 QuarantineFile('C:\ProgramData\Hotfresh\Tan-Stock.dll','');
 QuarantineFile('c:\programdata\networkpacketmanitor\nettrans.exe','');
 QuarantineFile('C:\ProgramData\vCore\VCore.exe','');
 QuarantineFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','');
 QuarantineFile('C:\Users\Дима\AppData\Local\Hostinstaller\1856429571_installcube.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Local\Temp\M9AS5RKMCX.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Local\Temp\PBTNEYQAFK.exe','');
 QuarantineFile('C:\Users\Дима\appdata\roaming\adobe\manager.exe','');
 QuarantineFile('C:\Users\Дима\appdata\roaming\mydesktop\linkme.exe','');
 DeleteFile('C:\Program Files (x86)\DPower\JWHF9PCKWT.exe','32');
 DeleteFile('C:\Program Files (x86)\Grduseqverther System\local64spl.dll','32');
 DeleteFile('C:\Program Files (x86)\Reerbesy\nazat.exe','32');
 DeleteFile('C:\Program Files\22DX9PS0U0\22DX9PS0U.exe','32');
 DeleteFile('C:\Program Files\28BVCWLHES\BWVTZEFVD.exe','32');
 DeleteFile('C:\Program Files\33OT22MJ4L\33OT22MJ4.exe','32');
 DeleteFile('C:\Program Files\6O5QD4DMWF\W2IKT2POU.exe','32');
 DeleteFile('C:\Program Files\96H96GH7IF\96H96GH7I.exe','32');
 DeleteFile('C:\Program Files\B1EILR2D4K\1FRC1QEF3.exe','32');
 DeleteFile('C:\Program Files\BIVQUSMP59\5XCXLWC80.exe','32');
 DeleteFile('C:\Program Files\FG0MK51MGW\FG0MK51MG.exe','32');
 DeleteFile('C:\Program Files\GLQM14CXHW\GLQM14CXH.exe','32');
 DeleteFile('C:\Program Files\I9ZGA6HZ93\I9ZGA6HZ9.exe','32');
 DeleteFile('C:\Program Files\NVI9I3RHEK\I9ZGA6HZ9.exe','32');
 DeleteFile('C:\Program Files\SpaceSoundPro\00IHBMNRQ7.exe','32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
 DeleteFile('C:\Program Files\SpaceSoundPro\wizzcaster.exe','32');
 DeleteFile('C:\Program Files\THZQN4ISNG\X2PS39MY9.exe','32');
 DeleteFile('C:\Program Files\W2IKT2POU8\NY1718NTI.exe','32');
 DeleteFile('C:\Program Files\WKC075CWGX\79PPMEDLX.exe','32');
 DeleteFile('C:\ProgramData\hdtask\hdtask.exe','32');
 DeleteFile('C:\ProgramData\Hotfresh\EcoRaneco.dll','32');
 DeleteFile('c:\programdata\hotfresh\hotfresh.exe','32');
 DeleteFile('C:\ProgramData\Hotfresh\Tan-Stock.dll','32');
 DeleteFile('c:\programdata\networkpacketmanitor\nettrans.exe','32');
 DeleteFile('C:\ProgramData\vCore\VCore.exe','32');
 DeleteFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','32');
 DeleteFile('C:\Users\Дима\AppData\Local\Hostinstaller\1856429571_installcube.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Local\Temp\M9AS5RKMCX.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Local\Temp\PBTNEYQAFK.exe','32');
 DeleteFile('C:\Users\Дима\appdata\roaming\adobe\manager.exe','32');
 DeleteFile('C:\Users\Дима\appdata\roaming\mydesktop\linkme.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Fowage Reports" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Media Center\VCore" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows desktop installer" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6VVCM23I4D');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8R2W7WNJ7L');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8UAL4QOID9');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Caster');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DY2AV3YOPQ');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','E6QZ08BWZ1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GMFKVYQ451');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hdtask');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KQIACX9MPM');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LRIQ971GUF');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','N97KIOVM57');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NW4JPPZVX5');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','OSGYYEO5H1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QGDY3O42UB');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','R4EJV9RSEL');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RBS9A6RUL4');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SOI3NVBFGH');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','U9MZJ9O1AY');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGBH1AWF7N');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','XISR7SPKQD');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZR6PNZ7ZAX');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteRepair(3);
 ExecuteRepair(4);
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты
Ichi Новичок

Ichi

Опубликовано
  • Автор
Опубликовано

Копируйте скрипт аккуратно, ошибок нет.

я не спорю что ошибок нет, сам вижу что всё чётко написано и не понимаю почему не работает =)

что делаю не так?

post-43346-0-04030600-1483968182_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

- Если нажать на проверку синтаксиса, проблема воспроизводиться?
- Далее пробуйте убрать проблемную строку, проблема воспроизводиться?


Проверил на тестовой платформе проблем не замечено, уточните пожалуйста версию AVZ на которой Вы пытаетесь выполнить скрипт?

Ссылка на комментарий
Поделиться на другие сайты
Ichi Новичок

Ichi

Опубликовано
  • Автор
Опубликовано

- Если нажать на проверку синтаксиса, проблема воспроизводиться?

- Далее пробуйте убрать проблемную строку, проблема воспроизводиться?

Проверил на тестовой платформе проблем не замечено, уточните пожалуйста версию AVZ на которой Вы пытаетесь выполнить скрипт?

на последней версии, скачал с офф сайта, потом еще раз скачал с вашего сайта, результат тот-же.

 

без ExecuteRepair(13);  ExecuteRepair(3);  ExecuteRepair(4);  выполнился, порядок?

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

без ExecuteRepair(13);  ExecuteRepair(3);  ExecuteRepair(4);  выполнился, порядок?

Странное поведение. Если по отдельности выполняется? например:

begin
 ExecuteRepair(3); 
end.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты
Ichi Новичок

Ichi

Опубликовано
  • Автор
Опубликовано

 

без ExecuteRepair(13);  ExecuteRepair(3);  ExecuteRepair(4);  выполнился, порядок?

Странное поведение. Если по отдельности выполняется? например:

begin
 ExecuteRepair(3); 
end.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

выполняется, оказывается проблема была в пробелах, видимо компилятор как-то с ними взаимодействует.

ExecuteSysClean;  

ExecuteRepair(13);  

ExecuteRepair(3);  

ExecuteRepair(4);

BC_Activate;

​Вот так, без пробелов сработало, но я всё сделал по отдельности.

 

​Ответ:

[KLAN-5634917344]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

 

Антивирус Касперского проверил файлы.

 

Вредоносные программы не найдены в файлах:

unins000.exe

 

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

 

 

AdwCleanerC0.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
Ichi Новичок

Ichi

Опубликовано
  • Автор
Опубликовано

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM\...\Providers\l5x4tf1s: C:\Program Files (x86)\Grduseqverther System\local64spl.dll
ShellExecuteHooks: No Name - {DA8728BE-D0F6-11E6-ACFB-64006A5CFC23} - C:\Users\Дима\AppData\Roaming\Chusughtcersught\Rohopy.dll [149504 2017-01-08] ()
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
C:\Program Files (x86)\Grduseqverther System
C:\Users\Дима\AppData\Roaming\Chusughtcersught
2016-12-23 20:40 - 2016-12-23 20:43 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-12-23 20:40 - 2016-12-23 20:43 - 00000000 ____D C:\ProgramData\IObit
2016-12-23 20:40 - 2016-12-23 20:42 - 00000000 ____D C:\Users\Дима\AppData\LocalLow\IObit
2016-12-23 20:40 - 2016-12-23 20:40 - 00000000 ____D C:\WINDOWS\IObit
2016-12-23 20:38 - 2016-12-23 20:42 - 00000000 ____D C:\Users\Дима\AppData\Roaming\IObit
2017-01-08 13:27 - 2017-01-08 13:27 - 07316480 _____ C:\Users\Дима\AppData\Roaming\agent.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 01938538 _____ C:\Users\Дима\AppData\Roaming\Tiplex.bin
2017-01-08 13:27 - 2017-01-08 13:27 - 01907339 _____ C:\Users\Дима\AppData\Roaming\Superkix.tst
2017-01-08 13:27 - 2017-01-08 13:27 - 00629760 _____ C:\Users\Дима\AppData\Roaming\Superkix.exe
2017-01-08 13:27 - 2017-01-08 13:27 - 00278518 _____ C:\Users\Дима\AppData\Roaming\PlusDox.bin
2017-01-08 13:27 - 2017-01-08 13:27 - 00126464 _____ C:\Users\Дима\AppData\Roaming\noah.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 00070704 _____ C:\Users\Дима\AppData\Roaming\Config.xml
2017-01-08 13:27 - 2017-01-08 13:27 - 00018432 _____ C:\Users\Дима\AppData\Roaming\Main.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 00005568 _____ C:\Users\Дима\AppData\Roaming\md.xml
2017-01-08 13:17 - 2017-01-08 13:45 - 00000000 ____D C:\Users\Дима\AppData\Roaming\Chusughtcersught
2017-01-08 12:09 - 2017-01-08 13:27 - 00140288 _____ C:\Users\Дима\AppData\Roaming\Installer.dat
2017-01-08 12:09 - 2017-01-08 13:27 - 00016224 _____ C:\Users\Дима\AppData\Roaming\InstallationConfiguration.xml
2017-01-08 11:45 - 2017-01-09 10:40 - 00000000 ____D C:\Users\Все пользователи\hdtask
2017-01-08 11:45 - 2017-01-09 10:40 - 00000000 ____D C:\ProgramData\hdtask
2017-01-08 13:27 - 2017-01-08 13:27 - 7316480 _____ () C:\Users\Дима\AppData\Roaming\agent.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 0070704 _____ () C:\Users\Дима\AppData\Roaming\Config.xml
2017-01-08 12:09 - 2017-01-08 13:27 - 0016224 _____ () C:\Users\Дима\AppData\Roaming\InstallationConfiguration.xml
2017-01-08 12:09 - 2017-01-08 13:27 - 0140288 _____ () C:\Users\Дима\AppData\Roaming\Installer.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 0018432 _____ () C:\Users\Дима\AppData\Roaming\Main.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 0005568 _____ () C:\Users\Дима\AppData\Roaming\md.xml
2017-01-08 13:27 - 2017-01-08 13:27 - 0126464 _____ () C:\Users\Дима\AppData\Roaming\noah.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 0278518 _____ () C:\Users\Дима\AppData\Roaming\PlusDox.bin
2017-01-08 13:27 - 2017-01-08 13:27 - 0629760 _____ () C:\Users\Дима\AppData\Roaming\Superkix.exe
2017-01-08 13:27 - 2017-01-08 13:27 - 1907339 _____ () C:\Users\Дима\AppData\Roaming\Superkix.tst
2017-01-08 13:27 - 2017-01-08 13:27 - 1938538 _____ () C:\Users\Дима\AppData\Roaming\Tiplex.bin
2017-01-08 13:27 - 2017-01-08 13:27 - 0032038 _____ () C:\Users\Дима\AppData\Roaming\uninstall_temp.ico
2016-03-25 07:46 - 2016-03-25 07:46 - 0000016 _____ () C:\ProgramData\mntemp
Task: {35B81347-5C65-47A2-8EA4-EDA6C871D5A8} - System32\Tasks\Driver Booster SkipUAC (Дима) => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe
Task: {6FEB755E-35B3-4B0D-8890-1F3AD5D44968} - System32\Tasks\Uninstaller_SkipUac_Дима => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Дима.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
HKLM\...\StartupApproved\StartupFolder: => "Zaxar Games Browser.lnk"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "VGBH1AWF7N"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "QGDY3O42UB"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "ZR6PNZ7ZAX"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "8R2W7WNJ7L"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "DY2AV3YOPQ"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "N97KIOVM57"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "XISR7SPKQD"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "hdtask"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "6VVCM23I4D"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "SOI3NVBFGH"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "U9MZJ9O1AY"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "R4EJV9RSEL"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "GMFKVYQ451"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "OSGYYEO5H1"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "RBS9A6RUL4"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "XTCCZPQ0SF"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "NW4JPPZVX5"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "KQIACX9MPM"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "LRIQ971GUF"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "E6QZ08BWZ1"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "8UAL4QOID9"
FirewallRules: [{DA6ED390-D3DB-45D8-BF51-948067D9B309}] => C:\Program Files\UBar\ubar.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
Ichi Новичок

Ichi

Опубликовано
  • Автор
Опубликовано

 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM\...\Providers\l5x4tf1s: C:\Program Files (x86)\Grduseqverther System\local64spl.dll
ShellExecuteHooks: No Name - {DA8728BE-D0F6-11E6-ACFB-64006A5CFC23} - C:\Users\Дима\AppData\Roaming\Chusughtcersught\Rohopy.dll [149504 2017-01-08] ()
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
C:\Program Files (x86)\Grduseqverther System
C:\Users\Дима\AppData\Roaming\Chusughtcersught
2016-12-23 20:40 - 2016-12-23 20:43 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-12-23 20:40 - 2016-12-23 20:43 - 00000000 ____D C:\ProgramData\IObit
2016-12-23 20:40 - 2016-12-23 20:42 - 00000000 ____D C:\Users\Дима\AppData\LocalLow\IObit
2016-12-23 20:40 - 2016-12-23 20:40 - 00000000 ____D C:\WINDOWS\IObit
2016-12-23 20:38 - 2016-12-23 20:42 - 00000000 ____D C:\Users\Дима\AppData\Roaming\IObit
2017-01-08 13:27 - 2017-01-08 13:27 - 07316480 _____ C:\Users\Дима\AppData\Roaming\agent.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 01938538 _____ C:\Users\Дима\AppData\Roaming\Tiplex.bin
2017-01-08 13:27 - 2017-01-08 13:27 - 01907339 _____ C:\Users\Дима\AppData\Roaming\Superkix.tst
2017-01-08 13:27 - 2017-01-08 13:27 - 00629760 _____ C:\Users\Дима\AppData\Roaming\Superkix.exe
2017-01-08 13:27 - 2017-01-08 13:27 - 00278518 _____ C:\Users\Дима\AppData\Roaming\PlusDox.bin
2017-01-08 13:27 - 2017-01-08 13:27 - 00126464 _____ C:\Users\Дима\AppData\Roaming\noah.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 00070704 _____ C:\Users\Дима\AppData\Roaming\Config.xml
2017-01-08 13:27 - 2017-01-08 13:27 - 00018432 _____ C:\Users\Дима\AppData\Roaming\Main.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 00005568 _____ C:\Users\Дима\AppData\Roaming\md.xml
2017-01-08 13:17 - 2017-01-08 13:45 - 00000000 ____D C:\Users\Дима\AppData\Roaming\Chusughtcersught
2017-01-08 12:09 - 2017-01-08 13:27 - 00140288 _____ C:\Users\Дима\AppData\Roaming\Installer.dat
2017-01-08 12:09 - 2017-01-08 13:27 - 00016224 _____ C:\Users\Дима\AppData\Roaming\InstallationConfiguration.xml
2017-01-08 11:45 - 2017-01-09 10:40 - 00000000 ____D C:\Users\Все пользователи\hdtask
2017-01-08 11:45 - 2017-01-09 10:40 - 00000000 ____D C:\ProgramData\hdtask
2017-01-08 13:27 - 2017-01-08 13:27 - 7316480 _____ () C:\Users\Дима\AppData\Roaming\agent.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 0070704 _____ () C:\Users\Дима\AppData\Roaming\Config.xml
2017-01-08 12:09 - 2017-01-08 13:27 - 0016224 _____ () C:\Users\Дима\AppData\Roaming\InstallationConfiguration.xml
2017-01-08 12:09 - 2017-01-08 13:27 - 0140288 _____ () C:\Users\Дима\AppData\Roaming\Installer.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 0018432 _____ () C:\Users\Дима\AppData\Roaming\Main.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 0005568 _____ () C:\Users\Дима\AppData\Roaming\md.xml
2017-01-08 13:27 - 2017-01-08 13:27 - 0126464 _____ () C:\Users\Дима\AppData\Roaming\noah.dat
2017-01-08 13:27 - 2017-01-08 13:27 - 0278518 _____ () C:\Users\Дима\AppData\Roaming\PlusDox.bin
2017-01-08 13:27 - 2017-01-08 13:27 - 0629760 _____ () C:\Users\Дима\AppData\Roaming\Superkix.exe
2017-01-08 13:27 - 2017-01-08 13:27 - 1907339 _____ () C:\Users\Дима\AppData\Roaming\Superkix.tst
2017-01-08 13:27 - 2017-01-08 13:27 - 1938538 _____ () C:\Users\Дима\AppData\Roaming\Tiplex.bin
2017-01-08 13:27 - 2017-01-08 13:27 - 0032038 _____ () C:\Users\Дима\AppData\Roaming\uninstall_temp.ico
2016-03-25 07:46 - 2016-03-25 07:46 - 0000016 _____ () C:\ProgramData\mntemp
Task: {35B81347-5C65-47A2-8EA4-EDA6C871D5A8} - System32\Tasks\Driver Booster SkipUAC (Дима) => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe
Task: {6FEB755E-35B3-4B0D-8890-1F3AD5D44968} - System32\Tasks\Uninstaller_SkipUac_Дима => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Дима.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
HKLM\...\StartupApproved\StartupFolder: => "Zaxar Games Browser.lnk"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "VGBH1AWF7N"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "QGDY3O42UB"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "ZR6PNZ7ZAX"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "8R2W7WNJ7L"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "DY2AV3YOPQ"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "N97KIOVM57"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "XISR7SPKQD"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "hdtask"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "6VVCM23I4D"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "SOI3NVBFGH"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "U9MZJ9O1AY"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "R4EJV9RSEL"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "GMFKVYQ451"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "OSGYYEO5H1"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "RBS9A6RUL4"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "XTCCZPQ0SF"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "NW4JPPZVX5"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "KQIACX9MPM"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "LRIQ971GUF"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "E6QZ08BWZ1"
HKU\S-1-5-21-4130754944-3103405838-365536887-1001\...\StartupApproved\Run: => "8UAL4QOID9"
FirewallRules: [{DA6ED390-D3DB-45D8-BF51-948067D9B309}] => C:\Program Files\UBar\ubar.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Averfak
      [РЕШЕНО] Подхватил расширения
      От Averfak
      подхватил расширения называются mvpn и adblocker при удалении и перезагрузке они восстанавливаются, помогите а то в этом плане вообще ничего не знаю!😢
    • Камиль Махмутянов
      KIS обнаружил рекламные программы
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • Magerattor J.
      [РЕШЕНО] Стала сильно загружаться система, возможно подхватил майнер
      От Magerattor J.
      Сегодня после загрузки программы сама открывалась командная строка и пк стал сильно зависать. В диспетчере задач, при открытии, на секунду видна загрузка процессора под 80% и выше, после чего она спадает, но если долго бездействовать, то нагрузка вновь возрастет до 50+ процентов. С помощью доктора веба проверял, ничего не нашел, однако в самом диспетчере подозрительно много одних и тех же служб svhost waxp и др. Уже пытался откатить до последнего сохраненного образа, что не дало результата, ибо майнер снова открыл командную строку. Пытался переустановить виндовс, с последующими мучениями на драйвера с интернетом(судя по тому, что загрузка цп все еще идет при открытии диспетчера под 80%, то это не помогло). в безопасном режиме при открытии диспетчера никакой нагрузки в 80% не наблюдается.  

      CollectionLog-2024.09.29-21.18.zip
    • MiStr
      Результаты участников программы «Амбассадоры бренда Kaspersky»
      От MiStr
      Результаты участников программы:
       
      2018 год
       
      2019 год
       
      2020 год
       
      2021 год

      2022 год

      2023 год

      2024 год
    • MiStr
      Программа «Развитие сообществ клуба в мессенджерах»: заявки и обсуждение
      От MiStr
      Здесь принимаются заявки на участие и проходит обсуждение программы «Развитие сообществ клуба в мессенджерах».
×
×
  • Создать...