Перейти к содержанию
Правила раздела

Реклама в браузерах,изменения параметров браузеров и системы.

JurikUA

От JurikUA
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

JurikUA Новичок

JurikUA

Опубликовано
Опубликовано

Вообщем - никто ничего не устанавливал , оно само.

За пол часа якобы простоя  обнаружил следующее :

 

-в недавно установленных программах

Zaxar game brovzer

youtube adblock

content push

hdtask

browserAir

Amigo

UCbrowser ... и многое другое(пытался удалять вручную, многое удалил но все по новой после перегрузки )

- в автозагрузке прописано куча программ 

-изменены настройки браузера Сhrome , добавлено много расширений с различными названиями типа googleдокумент и т.д. ,Сам Хром постоянно пытается что то устанавливать и запускает другие браузеры которые тоже что то делают.Постоянно выскакивает куча рекламы.

-в системе созданы точки восстановления хотя опция была отключена.Так же в администрировании добавлено много задач которых так же не было.В центре поддержки виндовс все параметры изменены от установленных мною(проверка обновлений,архивация и.тд)В типе и описании архивных и не только файлах появились иероглифы как в прикрепленном файле Getsysteminfo

-после проверки DwebCureit обнаружено 16 троянов и адварезов.

Пытался удалять все вручную результатов мало.Большинство параметров и программ удаленных мною возвращаются обратно.

 

Помогите пожалуйста вернуть систему в работоспособное состояние.Заранее благодарен Юрий.

 

 

CollectionLog-2017.01.30-09.27.zip

GetSystemInfo_SPEED-ПК_SPEED_01_30_2017_10_13_57.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

ContentPush

hd task

Youtube AdBlock

Zaxar Games Browser 4

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на SafeZone.cc обязательна. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
 DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;  
 ImagePathStr, RootStr, SubRootStr, LangID: string;
 AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
 FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; 
 RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
 Inc(AllRoots);
 if RegKeyExistsEx('HKLM', Root) then
   RegKeyResetSecurity('HKLM', Root)
 else
  begin
    Inc(RootsRestored);
    RegKeyCreate('HKLM', Root);
    AddToLog(RegSectMsg + Root + RestMsg);
   end;
end;

procedure CheckAndRestoreSubSection;
begin
  CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
  AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
  Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
  AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
  Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
  RegKeyStrParamWrite('HKLM', Root, Param, Value);
  RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
  Inc(AllKeys);
  if not RegKeyParamExists('HKLM', Root, Param) then
    RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', Root, Param) then 
  begin
    RegKeyIntParamWrite('HKLM', Root, Param, Value);
    RestoredMsg(Root, Param);
  end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, Param) then
  begin
    ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
    RestoredMsg(RootStr, Param);
  end;
end;

// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
 RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
 if RegKeyExistsEx('HKLM', RegStr) then
  begin
    Inc(AllKeys);
    RegKeyResetSecurity('HKLM', RegStr);
    RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
    FixedMsg(RegStr, 'ImagePath');
  end;
end;

{ Выполнение исправление всех ключей в ветках -
   'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
     i : integer;
begin
 if Srv = 'BITS' then
   FileServiceDll := FullPathSystem32 + 'qmgr.dll'
 else
   FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
 RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

 CheckAndRestoreSection(RootStr);

 CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
 CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
 CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
   RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
 else
  begin
    Dec(AllKeys);
    if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
      for i:= 0 to 999 do
       begin
         if i > 0 then
           CCSNumber := FormatFloat('ControlSet000', i)
         else
           CCSNumber := 'CurrentControlSet';
         ImagePathFix(CCSNumber, Srv);
      end;
   end;

 CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
 CheckAndRestoreIntParam(RootStr, 'Start', 2);
 CheckAndRestoreIntParam(RootStr, 'Type', 32);

 if Srv = 'BITS' then
  begin
    CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
    CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
  end;

 SubRootStr:= RootStr + '\Enum';
 CheckAndRestoreSubSection;

 CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
 CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
 CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

 SubRootStr := RootStr + '\Security';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
  begin
    RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
    RestoredMsg(SubRootStr, 'Security');
  end;

 SubRootStr:= RootStr + '\Parameters';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    RestoredMsg(SubRootStr, 'ServiceDll');
  end
 else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    FixedMsg(SubRootStr, 'ServiceDll');
  end
end;

{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Users\SPEED\AppData\Local\Temp\C055AE4D-3A311BB3-2AD622AA-C68FFE97\KB7RivD2.exe');
 QuarantineFileF('c:\programdata\hdtask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\dpower', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\SPEED\AppData\Local\Temp\C055AE4D-3A311BB3-2AD622AA-C68FFE97\KB7RivD2.exe', '');
 QuarantineFile('C:\ProgramData\hdtask\hdtask.exe', '');
 QuarantineFile('C:\Program Files (x86)\DPower\I9Z570U4U8.exe', '');
 QuarantineFile('C:\ProgramData\smp2.exe', '');
 QuarantineFile('C:\Users\SPEED\appdata\roaming\adobe\manager.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SMW_P" /F', 0, 15000, true);
 DeleteFile('C:\Users\SPEED\appdata\roaming\adobe\manager.exe');
 DeleteFile('C:\Users\SPEED\AppData\Local\Temp\C055AE4D-3A311BB3-2AD622AA-C68FFE97\KB7RivD2.exe', '32');
 DeleteFile('C:\ProgramData\hdtask\hdtask.exe', '32');
 DeleteFile('C:\Program Files (x86)\DPower\I9Z570U4U8.exe', '32');
 DeleteFile('C:\ProgramData\smp2.exe', '32');
 ClearLog;
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
 LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); 
 if LangID = '0419' then
  begin
    DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
    DispayNameTextWuauServ := 'Автоматическое обновление';
    DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
    DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
    AddToLog('Операционная система - русская');
    FinishMsg := '–––– Восстановление завершено ––––';
    RestoreMsg := 'Восстановлено разделов\параметров: ';
    FixMsg := 'Исправлено параметров: ';
    CheckMsg := 'Проверено разделов\параметров: ';
    RegSectMsg := 'Раздел реестра HKLM\';
    ParamMsg := 'Параметр ';
    ParamValueMsg := 'Значение параметра ';
    InRegSectMsg := ' в разделе реестра HKLM\';
    CorrectMsg := ' исправлено на оригинальное.';
    RestMsg := 'восстановлен.';
  end
 else if LangID = '0409' then
  begin
    DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
    DispayNameTextWuauServ := 'Automatic Updates'; 
    DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
    DispayNameTextBITS := 'Background Intelligent Transfer Service';
    AddToLog('Operation system - english');
    FinishMsg := '–––– Restoration finished ––––';
    RestoreMsg := 'Sections\parameters restored: ';
    FixMsg := 'Parameters corrected: ';
    CheckMsg := 'Sections\parameters checked: ';
    RegSectMsg := 'Registry section HKLM\';
    ParamMsg := 'Parameter ';
    ParamValueMsg := 'Value of parameter ';
    InRegSectMsg := ' in registry section HKLM\';
    CorrectMsg := ' corrected on original.';
    RestMsg := ' restored.';
  end;
 AddToLog('');

{ Определение папки X:\Windows\System32\ }
 NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
 ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
 Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
 FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
 
 AllRoots := 0;
 AllKeys := 0;
 RootsRestored := 0;
 KeysRestored := 0;
 KeysFixed := 0;

 CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
 CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

 AddToLog('');
 AddToLog(FinishMsg);
 AddToLog('');
 AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
 AddToLog(FixMsg + IntToStr(KeysFixed));
 AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
 SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
 DeleteFileMask('c:\programdata\hdtask', '*', true);
 DeleteFileMask('c:\program files (x86)\dpower', '*', true);
 DeleteDirectory('c:\programdata\hdtask');
 DeleteDirectory('c:\program files (x86)\dpower');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hdtask','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Y08PULL2MY','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
JurikUA Новичок

JurikUA

Опубликовано
  • Автор
Опубликовано (изменено)

Вроде все сделал.логи прилагаются.

 

----

Хром нельзя установить браузером по умолчанию,меняется поиск по умолчанию с гугл на [ссылка]

Виндовс долго грузится (вместо 5 сек - 30-40)

выдает ошибку WindowsScriptHost сценарий C:\windows\run.vbs -не найден (помоему удалял вручную)

при загрузке Хром - не удается загрузить расширение C:\users\speed\appdata\local\kemgadeojglibflomicgnfeopkdfflnk - файл манифеста отсутствует.(тоже удалял вручную)

Correct_wuauserv&BITS.log

ClearLNK-30.01.2017_12-22.log

Изменено пользователем Sandor
Убрал вредоносную ссылку
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению.

Еще это, пожалуйста.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
JurikUA Новичок

JurikUA

Опубликовано
  • Автор
Опубликовано

Вроде все сделал по отчетам

 

Ответ от kaspersky  - [KLAN 5721880963]

 

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
smp2.exe

Вредоносные программы найдены в файлах:
manager.exe - UDS:DangerousObject.Multi.Generic

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

From: 
Sent: 1/30/2017 1:15:00 PM
To: newvirus@kaspersky.com
Subject: Карантин AVZ форум.ксперскийклуб

 

Пока сказать трудно про систему в целом , буду мониторить на ошибки. 

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS2.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
HKLM\...\Providers\v6q9j7tw: C:\Program Files (x86)\Shuhish Host\local64spl.dll
ShellExecuteHooks: No Name - {078D24E4-DE3C-11E6-92C7-64006A5CFC23} - C:\Program Files (x86)\Qalolefaqent\Tipishetegh.dll [148480 2017-01-23] ()
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll [2017-01-23] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKU\S-1-5-21-3028677342-1737138243-3420914636-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWvttZE-84TVuG6-muAUS7xt5428KCNsBH0_VGkNymQrEwnb9kN7ZOfFEN-DETJa9ktFsxRxgOT5eEgL2uccJNl-vX_JRqX6NVpC02cEewf-1LPwcLNlkFoyFA5gNWZsw4AbTisiQ0f5snfOrJfwfDxBf6brABikoJeUVA-_T7&q={searchTerms}
CHR Profile: C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-29] <==== ATTENTION
CHR Extension: (Fast search) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-23]
CHR Profile: C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-01-23] <==== ATTENTION
CHR Extension: (No Name) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-01-23]
CHR Extension: (No Name) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\aohghmighlieiainnegkcijnfilokake [2017-01-23]
CHR Extension: (No Name) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-01-23]
CHR Extension: (No Name) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-01-23]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2017-01-23]
CHR Extension: (No Name) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2017-01-29]
CHR Extension: (No Name) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-01-23]
CHR Extension: (Splinter Search) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\fnhfdmnphmbbjbgppnpcddkefmeokfho [2017-01-23]
CHR Extension: (No Name) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-01-23]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2017-01-23]
CHR Extension: (Mail.Ru) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2017-01-23]
CHR Extension: (No Name) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-23]
CHR Extension: (No Name) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-01-23]
CHR Extension: (No Name) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2017-01-29]
CHR Extension: (No Name) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-22]
CHR Extension: (Fast search) - C:\Users\SPEED\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-22]
2017-01-23 14:26 - 2017-01-25 00:28 - 00004240 _____ C:\Windows\System32\Tasks\SMW_UpdateTask_Time_3834303038363832312d5a4a6c414a34572a506c415a
2017-01-23 14:23 - 2017-01-29 17:02 - 00000000 ____D C:\Program Files (x86)\Qalolefaqent
2017-01-23 13:59 - 2017-01-24 07:31 - 00000000 ____D C:\Program Files\їмС№
2017-01-23 13:56 - 2017-01-24 07:30 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-01-23 13:54 - 2017-01-30 09:38 - 00000000 ____D C:\Program Files (x86)\Shuhish Host
2017-01-23 13:54 - 2017-01-24 07:29 - 00000000 ____D C:\Program Files (x86)\Diphcowick_
2017-01-23 13:54 - 2017-01-24 07:04 - 00000000 ____D C:\Users\SPEED\AppData\Roaming\Zafercultativoch
2017-01-23 13:54 - 2017-01-23 13:54 - 00000000 ____D C:\Users\Все пользователи\Avg
2017-01-23 13:54 - 2017-01-23 13:54 - 00000000 ____D C:\Users\Все пользователи\AVAST Software
2017-01-23 13:54 - 2017-01-23 13:54 - 00000000 ____D C:\ProgramData\Avg
2017-01-23 13:54 - 2017-01-23 13:54 - 00000000 ____D C:\ProgramData\AVAST Software
2017-01-23 13:53 - 2017-01-23 13:53 - 00000000 ____D C:\Program Files\AZ9RLMWI3H
2017-01-23 13:52 - 2017-01-23 22:24 - 00000000 ____D C:\Users\SPEED\AppData\Roaming\MyDesktop
2017-01-22 12:51 - 2017-01-22 12:53 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-01-22 12:51 - 2017-01-22 12:53 - 00000000 ____D C:\ProgramData\ProductData
2017-01-22 12:51 - 2017-01-22 12:51 - 00027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS
2017-01-22 12:51 - 2017-01-22 12:51 - 00000000 ____D C:\Windows\IObit
2017-01-22 12:51 - 2017-01-22 12:51 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-01-22 12:51 - 2017-01-22 12:51 - 00000000 ____D C:\Users\SPEED\AppData\Roaming\win-svc
2017-01-22 12:51 - 2017-01-22 12:51 - 00000000 ____D C:\Users\SPEED\AppData\Roaming\IObit
2017-01-22 12:51 - 2017-01-22 12:51 - 00000000 ____D C:\Users\SPEED\AppData\LocalLow\IObit
2017-01-22 12:51 - 2017-01-22 12:51 - 00000000 ____D C:\ProgramData\IObit
Task: {3C880946-CA8E-4985-A05B-748F467A5980} - System32\Tasks\SMW_UpdateTask_Time_3834303038363832312d5a4a6c414a34572a506c415a => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 <==== ATTENTION
Task: {4E483EFE-ABC6-406F-B3E5-3B5D9727C658} - System32\Tasks\{B9F32E9D-4950-4A8C-B432-34EFF8E442B5} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Tamp-Lux\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Tamp-Lux\uninstall.dat" -a uninstallme EE284DFE-BE7A-4333-AAE3-F169AC69519A DeviceId=1ec32cdc-6801-abd0-f4be-f9f4363e3347 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev
Task: {9AA2FE54-F079-4321-A0F7-7A091C2E9FA4} - System32\Tasks\{FDC3F73E-11C6-4075-B8B0-315E76A3F586} => pcalua.exe -a "C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe"
2017-01-23 13:59 - 2017-01-23 13:59 - 00524696 _____ () C:\Program Files\їмС№\X64\KZipShell.dll
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026]
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk => C:\Windows\pss\Zaxar Games Browser.lnk.CommonStartup
MSCONFIG\startupfolder: C:^Users^SPEED^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^bestsalesprofit.lnk => C:\Windows\pss\bestsalesprofit.lnk.Startup
MSCONFIG\startupfolder: C:^Users^SPEED^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^monhost.lnk => C:\Windows\pss\monhost.lnk.Startup
MSCONFIG\startupreg: 61OZZ6LLHX => "C:\Program Files\D16E9YW339\D16E9YW33.exe"
MSCONFIG\startupreg: bestsalesprofit => "C:\Users\SPEED\AppData\Roaming\bestsalesprofit\python\pythonw.exe" "C:\Users\SPEED\AppData\Roaming\bestsalesprofit\ml.py" --APPNAME="bestsalesprofit"
MSCONFIG\startupreg: CPF6UQ9PSK => "C:\Program Files\P8OWG7IX5G\P8OWG7IX5.exe"
MSCONFIG\startupreg: CPSMUNNMYI => "C:\Program Files\1Y8QO41VAB\1Y8QO41VA.exe"
MSCONFIG\startupreg: PVVF7Z05CC => "C:\Program Files\GN8WOUD7S0\GN8WOUD7S.exe"
MSCONFIG\startupreg: QDMM2XGPVA => "C:\Program Files\HMWHP409QW\HMWHP409Q.exe"
MSCONFIG\startupreg: QFU0PKUC1G => "C:\Program Files\KPXM3IK7FV\KPXM3IK7F.exe"
MSCONFIG\startupreg: UXFA5041PR => "C:\Program Files\ZW4ZM298TA\ZW4ZM298T.exe"
MSCONFIG\startupreg: WINCOMABX => "C:\Program Files (x86)\sunnyday\wincom_ABX.exe"
MSCONFIG\startupreg: WINCOMMZB => "C:\Program Files (x86)\mpck\wincom_MZB.exe"
MSCONFIG\startupreg: WINCOMXAJ => "C:\Program Files (x86)\gamesdesktop\wincom_XAJ.exe"
MSCONFIG\startupreg: Y08PULL2MY => 
FirewallRules: [{010D700F-C1A9-474A-8B51-FF4BE791C8AB}] => C:\Users\SPEED\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{0EF08D98-F65E-4659-9DE3-33BEF93B4D9F}] => C:\Program Files\UBar\ubar.exe
FirewallRules: [{B5584D5D-AB5C-48F0-B12A-A7E313AFC477}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{231C3096-E387-46AB-A8BD-7AC888957680}] => C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
FirewallRules: [{18C699A7-31DA-4C49-821F-7B982D18DCD7}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{F4CDDE95-1C60-40A0-B8E8-72F3E5BB8045}] => C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
JurikUA Новичок

JurikUA

Опубликовано
  • Автор
Опубликовано

Доброе время суток . В принципе практически все основные проблемы решены и система работает стабильно но , ADWcleaner периодически находит службу ucdrv - и пишет что она вредоносная после удаления через некоторое время появляется.Хром нельзя поставить браузером по умолчанию.

Отчеты прилагаются.

Признателен Вам за проделанную работу спасибо.

PS После проверки опять 1 угроза - служба ucdrv.

FRST.txt

Addition.txt

Shortcut.txt

AdwCleanerS5.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В безопасном режиме:

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
S2 gemeloki; C:\Program Files (x86)\21a30ecd-aa5b-419f-9fe2-d12df083cb6d1485172557\prot21a30ecd-aa5b-419f-9fe2-d12df083cb6d.tmpfs [X]
S2 guwocyfu; C:\Program Files (x86)\21a30ecd-aa5b-419f-9fe2-d12df083cb6d1485701834\kns21a30ecd-aa5b-419f-9fe2-d12df083cb6d.tmpfs [X]
S2 Lerdetain; C:\Program Files (x86)\Diphcowick_\PlpHst.dll [X]
S2 nihomuky; C:\Program Files (x86)\21a30ecd-aa5b-419f-9fe2-d12df083cb6d1485172557\kns21a30ecd-aa5b-419f-9fe2-d12df083cb6d.tmpfs [X]
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) <==== ATTENTION
MSCONFIG\startupreg: Y08PULL2MY => 
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Затем, в обычном режиме:

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  • Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
zoo %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY:UCDRV-X64.SYS
bl 148DB4A6E3B79A052006540C506764CE 47304
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BCCFB1D47F48530E9D4C5BCA2017376613F9941FD57B025E2D2273 64 UC Web

delall %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY
delref HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGIJVKXLYIP4NYE17AVLWVTTZE-84TVUG6-MUAUS7XT5428KCNSBH0_VGKNYMQREWNB9KN7ZOFFEN-DETJA9KTFSXRXGOT5EEGL2UCCJNL-VX_JRQX6NVPC02CEEWF-1LPWCLNLKFOYFA5GNWZSW4ABTISIQ0F5SNFORJFWFDXBF6BR
delref %SystemDrive%\USERS\SPEED\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\SYSTEM PROFILE\EXTENSIONS\PBDPAJCDGKNPENDPMECAFMOPKNEFAFHA\1.1.3\FAST SEARCH
delall %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\6.0.1471.813\INSTALLER\CHRMSTP.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\
chklst
delvir

czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.
Повторите лог uVS для контроля.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KеshaKost
      Недопустимые параметры политики
      От KеshaKost
      Добрый день. После праздников, на всех машинах Linux вот такой статус. Подскажите пожалуйста, что с этим делать?
       
      Недопустимые параметры политики. Политика не была применена.
      Неизвестный тип параметра
      DockerSocket '/var/run/docker.sock' не существует
      PodmanBinaryPath '/usr/bin/podman' не существует
      PodmanRootFolder '/var/lib/containers/storage' не существует
      CrioConfigFilePath '/etc/crio/crio.conf' не существует
      RuncBinaryPath '/usr/bin/runc' не существует
      RuncRootFolder '/run/runc' не существует
      В списке 'Urls' правила Веб-Контроля 'Блокировки' есть дубликаты
    • vishnevskiyy
      Некоторыми параметрами управляет ваша организация
      От vishnevskiyy
      Не могу избавиться от этой надписи: Некоторыми параметрами управляет ваша организация.
      Все решения подобной проблемы заблокированы в самих параметрах Windows.

    • СтранникМ
      Изменение небезопасных настроек Виндовс в АВЗ
      От СтранникМ
      Здравствуйте уважаемые Хелперы! Проверил свою ОС (Вин 10) на АВЗ. И вот, что кроме прочего обнаружил:
      >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
      >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
      >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
      >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
      >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
      В настройках Виндовс - вроде все в порядке, а АВЗ показало то, что указал выше. Можете подсказать скрипт для АВЗ, который изменил бы эти настройки на безопасные. Заранее благодарю!
    • kudryavtcev.as
      Не активен блок параметров исключения из проверки в KES 12.3
      От kudryavtcev.as
      Не активен блок "исключения из проверки в KES 12.3."  Сам раздел активен, но при переходе по кнопке настройка, чтобы настроить параметры, там все заблокировано. Статус замочка в родительской политике открытый. Дочерних политик нет. Что может быть?
    • оlег
      "Яндекс" выпустил браузер
      От оlег
      "..."Яндекс.Браузер" обладает "самым минималистичным интерфейсом на рынке", заявил дизайнер "Яндекса" Константин Горский. В верхней части веб-обозревателя, судя по показанным на презентации скриншотам, находятся поисковая строка (при введении запроса она становится желтой), панель вкладок, кнопка "Яндекс" и кнопка "Назад"; прочие элементы управления отсутствуют. ..."
       
      http://www.lenta.ru/news/2012/10/01/yabrowser/
       
      Первую версию браузера (как для Windows, так и для Mac OS X) можно загрузить по этому адресу начиная с 17:00 1 октября.
      http://browser.yandex.ru/?all
×
×
  • Создать...