Помогите очистить комп от pscrypt

[direct]

Здравствуйте, поймала вирус Pscrypt . Помогите с решением. Что делать?

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[direct]

Поймала вирус pscrypt. Сделала сканирование autologger.

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

CollectionLog-2017.06.25-11.23.zip

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

2) Деинсталируйте

Search App by Ask [20170310]-->MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C2E03}
Skype Click to Call [20161026]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

Unity Web Player - если сами не ставили, то тоже деинсталируйте.

Служба автоматического обновления программ [2017/04/15 21:49:55]-->C:\Users\Всесвит\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

тоже советую деинсталировать.

 

3)

Kaspersky Secure Connection [2017/06/23 06:59:16]-->MsiExec.exe /I{F33C0717-8E04-4EB5-90C8-47221287DB4F} REMOVE=ALL
Kaspersky Secure Connection [20170623]-->MsiExec.exe /I{F33C0717-8E04-4EB5-90C8-47221287DB4F}
Kaspersky Total Security [2017/06/23 21:19:18]-->MsiExec.exe /I{E27B1D7B-3B34-43A2-9FC0-9828D5DF46E2} REMOVE=ALL
Kaspersky Total Security [20170623]-->MsiExec.exe /I{E27B1D7B-3B34-43A2-9FC0-9828D5DF46E2}
Norton Internet Security [20140514]-->C:\Program Files (x86)\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS\A5E82D02\20.0.0.136\InstStub.exe /X /ARP

Как в фильме горец антивирус должен остаться только один. Вы определитесь и оставьте либо KTS либо NIS.

 

4) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Изменено 25 июня, 2017 пользователем regist

[direct]

Вроде все сделала правильно

MD5 карантина: 7A7FF2BFA4A063AE9E967FA40B9C2331
Размер файла: 13181585 байт

Addition.txt

FRST.txt

Shortcut.txt

[regist]

 

 

Как в фильме горец антивирус должен остаться только один. Вы определитесь и оставьте либо KTS либо NIS.

Оставили без внимания. Определитесь, кто из них останется у вас, а потом переделайте логи заново.

 

 

Служба автоматического обновления программ

Тоже не удалили. Она вам нужна?

[direct]

norton не хочет деинсталлироваться. как его удалить вручную(мыша на правую кнопку не реагирует)

[regist]

1) https://support.norton.com/sp/ru/ru/home/current/solutions/kb20080710133834EN_EndUserProfile_ru_ruскачайте, запустите и следуйте инструкциям.

 

2)папку C:\FRST удалите.

 

3) Сделайте свежие логи FRST.

[direct]

Переделала

MD5 карантина: BB3889DACC94C725052BBEF446001E6C
Размер файла: 13181586 байт

Addition.txt

Shortcut.txt

FRST.txt

[regist]

1)

 

https://support.nort...erProfile_ru_ruскачайте, запустите и следуйте инструкциям.

советую ещё раз пройтись этой утилитой, очень много хвостов от Нортона осталось.

 

2)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
  ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
  ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  HKU\S-1-5-21-432491115-2567643482-641368310-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=%5EBBE%5EOSJ000%5EYY%5EUA&gct=hp&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5EUA&apn_dbr=ie_10.0.9200.17148&apn_uid=E074DBD0-F287-49C7-99A3-12A1AFE1D262&itbv=12.21.0.114&doi=2014-12-01&psv=&pt=tb
  SearchScopes: HKU\S-1-5-21-432491115-2567643482-641368310-1001 -> {6F52285B-4535-4C5C-AF27-5AA771572D27} URL = hxxp://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^UA&gct=&itbv=12.21.0.114&apn_uid=E074DBD0-F287-49C7-99A3-12A1AFE1D262&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^UA&apn_dbr=ie_10.0.9200.17148&doi=2014-12-01&trgb=IE&q={searchTerms}&psv=&pt=tb
  SearchScopes: HKU\S-1-5-21-432491115-2567643482-641368310-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BE10F54A6-14EB-4715-82B0-401508A2047C%7D&gp=812209
  BHO-x32: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> No File
  BHO-x32: No Name -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> No File
  Toolbar: HKLM-x32 - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
  FF Extension: (Norton Vulnerability Protection) - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.0.0.136\IPSFF [2017-06-22] [not signed]
  FF Extension: (Norton Toolbar) - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.0.0.136\coFFPlgn [2017-06-22] [not signed]
  FF Plugin HKU\S-1-5-21-432491115-2567643482-641368310-1001: @bankid.ua/cryptoplugin,version=1.2.2 -> C:\Users\Всесвит\AppData\Local\cryptoplugin\npcryptoplugin.dll [No File]
  FF Plugin HKU\S-1-5-21-432491115-2567643482-641368310-1001: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Всесвит\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [No File]
  CHR HKLM-x32\...\Chrome\Extension: [mkfokfffehpeedafpekjeddnmnjhmcmk] - C:\Program Files (x86)\Norton Internet Security\Engine\20.0.0.136\Exts\Chrome.crx <not found>
  2017-06-22 14:43 - 2017-06-22 14:43 - 00008959 _____ C:\Users\Public\Paxynok.html
  2017-06-22 14:43 - 2017-06-22 14:43 - 00008959 _____ C:\Users\Public\Downloads\Paxynok.html
  2017-06-22 14:43 - 2017-06-22 14:43 - 00008959 _____ C:\Users\Public\Documents\Paxynok.html
  2017-06-22 14:18 - 2017-06-22 14:18 - 00008959 _____ C:\Users\Всесвит\AppData\Local\Paxynok.html
  2017-06-22 13:36 - 2017-06-22 13:36 - 00008959 _____ C:\Users\Всесвит\Desktop\Paxynok.html
  2017-06-22 13:31 - 2017-06-22 13:31 - 00008959 _____ C:\Users\Всесвит\Documents\Paxynok.html
  2017-06-22 13:24 - 2017-06-22 13:24 - 00008959 _____ C:\Users\Всесвит\Paxynok.html
  2014-07-12 17:26 - 2014-07-12 17:26 - 0000000 _____ () C:\Users\Всесвит\AppData\Roaming\mail.log
  2017-06-22 14:18 - 2017-06-22 14:18 - 0008959 _____ () C:\Users\Всесвит\AppData\Local\Paxynok.html
  Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
  Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> No File <==== ATTENTION
  Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> No File <==== ATTENTION
  Task: {40525C58-79C2-47A1-9AA2-F1D7FC4F0691} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
  Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> No File <==== ATTENTION
  Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> No File <==== ATTENTION
  Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> No File <==== ATTENTION
  Shortcut: C:\Users\Всесвит\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk -> C:\Users\Всесвит\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
  Shortcut: C:\Users\Всесвит\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка (1).lnk -> C:\Users\Всесвит\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
  Shortcut: C:\Users\Всесвит\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk -> C:\Users\Всесвит\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
  Shortcut: C:\Users\Всесвит\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мини-игры Mail.Ru.lnk -> C:\Users\Всесвит\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
  Shortcut: C:\Users\Всесвит\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Почта Mail.Ru.lnk -> C:\Users\Всесвит\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
  Shortcut: C:\Users\Всесвит\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk -> C:\Users\Всесвит\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
  Shortcut: C:\Users\Всесвит\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ВКонтакте.lnk -> C:\Users\Всесвит\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
  Shortcut: C:\Users\Всесвит\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk -> C:\Users\Всесвит\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
  ShortcutWithArgument: C:\Users\Всесвит\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\WINDOWS\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=812203"
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[direct]

Сделала

Fixlog.txt

[regist]

Утилитой для удаления Нортона ещё раз прогнали?

 

Сделайте свежие логи FRST, посмотрю остались ли ещё остатки.

[direct]

Готово

Addition.txt

FRST.txt

Shortcut.txt

[regist]

1) Создайте точку восстановления системы.

2)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
   
  

  Start::
  CreateRestorePoint:
  Task: {8AA961C7-CA39-4823-8047-C6D80B6CD67E} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\20.0.0.136\SymErr.exe
  Task: {99E9D7FF-DAC2-445D-AB57-001E683E7FAD} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\20.0.0.136\SymErr.exe
  Task: {B6223331-BD94-4F4A-B5A7-366830368456} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\20.0.0.136\WSCStub.exe
  Task: {B82888A7-0149-405F-A2CE-626918CC0A00} - System32\Tasks\Norton Remove and Reinstall\Norton Remove and Reinstall => C:\Users\Всесвит\Desktop\NRnR.exe [2017-06-25] (Symantec Corporation)
  S3 EraserUtilDrv11312; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11312.sys [X]
  2017-06-25 16:22 - 2013-11-29 16:28 - 00000000 ____D C:\Program Files\Common Files\Symantec Shared
  2017-06-25 16:22 - 2013-11-29 16:27 - 00000000 ____D C:\ProgramData\Norton
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 25 июня, 2017 пользователем regist

[direct]

надеюсь, все правильно сделала

Fixlog.txt