Не открывается и не удаляется программа. Вирус?

[cognito]

 

 

это в очередной раз проделки вашего 360 Total Security

Нет, не помогает отключение 360 Total Security

[regist]

 

CHR Extension: (Orbitum Speed Dial) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbaonaocldpohelilahfhnkmjankmbcc [2017-03-27]

 

сами ставили?

 

И не понятно, это комп у вас что для тестирования шифровальщиков у вас или что? Тут у вас ещё хвосты ещё от шифровальщика VAULT.

 

Файлы у вас зашифрованы или нет?

[cognito]

 

 

CHR Extension: (Orbitum Speed Dial) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbaonaocldpohelilahfhnkmjankmbcc [2017-03-27]   сами ставили?

Нет. Удалить эту хрень?

 

 

 

Тут у вас ещё хвосты ещё от шифровальщика VAULT.

Что делать-то?

 

 

Файлы у вас зашифрованы или нет?

Какие? И потом как же я узнаю, зашифрованы ли?

[regist]

 

 

Нет. Удалить эту хрень?

Раз не знакомо, то конечно удалить.

 

 

Какие? И потом как же я узнаю, зашифрованы ли?

Ну если вы не знаете зашифрованы у вас файлы или нет, то я откуда знаю.

 

 

И не понятно, это комп у вас что для тестирования шифровальщиков у вас или что?

не ответили.

[cognito]

это комп у вас что для тестирования шифровальщиков у вас или что?

Вы шутите?

 

 

Раз не знакомо, то конечно удалить.

 

C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbaonaocldpohelilahfhnkmjankmbcc - это папка, и таких же там еще 5 штук было, все удалил.

Изменено 5 июля, 2017 пользователем cognito

[regist]

 

 

C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbaonaocldpohelilahfhnkmjankmbcc - это папка, и таких же там еще 5 штук было, все удалил.

Зачем папки удалять?

Если с корзины ещё не выбросили, то восстановите назад. А потом зайдите в управление расширениями Хрома и удалите оттуда как положено.

 

 

 

Вы шутите?

А как ещё объяснить кол-во шифровальщиков которые у вас перебывали и все на одной системе?

И заодно уж напишите какие на ней проблемы. Конечно зачистить это всё можно, но если у вас там и другие проблемы есть, то с учётом всего что у вас там перебывало возможно лучше просто переставить систему.

[cognito]

Зайдите в управление расширениями Хрома и удалите оттуда как положено.

там нет таких расширений, как и понятно.

 

 

как ещё объяснить кол-во шифровальщиков которые у вас перебывали и все на одной системе?

не знаю, это обычная машина, рядового пользователя, не гос.организации. Разве что антивирус в этом виноват, что их пропускал.

И заодно уж напишите какие на ней проблемы.

 

больше не было проблем. Изменено 5 июля, 2017 пользователем cognito

[regist]

 

 

там нет таких расширений, как и понятно.

Раз в логе есть, значит они там есть другое дело, что может вы их не увидели. В любом случае восстановите и сделайте свежие логи FRST.

Если удалили и из корзины, то тогда лучше удалите Хром полностью и установите его заново, а потом свежие логи FRST.

[cognito]

удалите Хром полностью и установите его заново, а потом свежие логи FRST.

Удалил. А устанавливать заново обязательно?

Addition.txt

FRST.txt

Shortcut.txt

Изменено 7 июля, 2017 пользователем cognito

[regist]

 

 

устанавливать заново обязательно?

Если вы Хромом не пользуетесь, то разумеется ставить не надо. Я думал он вам нужен. Логи сейчас гляну и допишу.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-1011459319-3105380169-3783272333-1000\...\MountPoints2: G - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1011459319-3105380169-3783272333-1000\...\MountPoints2: {0386e4e8-925e-11e3-a6f7-f82fa8f34896} - F:\AutoRun.exe
  HKU\S-1-5-21-1011459319-3105380169-3783272333-1000\...\MountPoints2: {0386e4fe-925e-11e3-a6f7-f82fa8f34896} - F:\AutoRun.exe
  HKU\S-1-5-21-1011459319-3105380169-3783272333-1000\...\MountPoints2: {1ac7d1a0-9262-11e3-8a06-f82fa8f34896} - F:\AutoRun.exe
  HKU\S-1-5-21-1011459319-3105380169-3783272333-1000\...\MountPoints2: {a15bac32-1daf-11e6-a124-f82fa8f34896} - F:\Lenovo_Suite.exe
  HKU\S-1-5-21-1011459319-3105380169-3783272333-1000\...\MountPoints2: {e0caf179-f19b-11e6-815b-f82fa8f34896} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1011459319-3105380169-3783272333-1000\...\MountPoints2: {e0caf17e-f19b-11e6-815b-f82fa8f34896} - G:\HiSuiteDownLoader.exe
  BHO-x32: True Key Helper -> {0F4B8786-5502-4803-8EBC-F652A1153BB6} -> C:\Program Files\Intel Security\True Key\MSIE\truekey_ie.dll => No File
  Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
  Toolbar: HKLM-x32 - True Key - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - C:\Program Files\Intel Security\True Key\MSIE\truekey_ie.dll No File
  Toolbar: HKU\S-1-5-21-1011459319-3105380169-3783272333-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [No File]
  FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  2017-06-30 16:03 - 2017-06-30 16:05 - 03514368 ____S C:\Windows\tasksche.exe
  2017-06-30 16:03 - 2017-06-30 16:03 - 03514368 ____S C:\Windows\qeriuwjhrf
  2015-09-19 10:00 - 2015-09-19 10:00 - 6420480 _____ () C:\Program Files (x86)\GUT7761.tmp
  2016-05-23 13:08 - 2016-05-23 13:08 - 0811956 _____ () C:\Users\Вадим\AppData\Roaming\CONFIRMATION.KEY
  2016-05-23 13:08 - 2016-05-23 13:08 - 0004533 _____ () C:\Users\Вадим\AppData\Roaming\VAULT.hta
  2016-05-23 13:08 - 2016-05-23 13:08 - 0001607 _____ () C:\Users\Вадим\AppData\Roaming\VAULT.KEY
  2014-03-19 17:33 - 2014-03-19 17:33 - 0003584 _____ () C:\Users\Вадим\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
  2015-05-01 23:35 - 2015-05-01 23:35 - 0001484 _____ () C:\Users\Вадим\AppData\Local\recently-used.xbel
  2015-08-30 13:56 - 2015-08-30 13:56 - 0000000 _____ () C:\Users\Вадим\AppData\Local\{88F6BBB8-1136-47AB-B1F5-212E6313EC2D}
  2017-05-18 10:30 - 2017-05-18 10:30 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  2015-03-22 19:59 - 2015-03-22 20:10 - 0000358 _____ () C:\ProgramData\hpzinstall.log
  Google Update Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.11 - Google Inc.) Hidden
  MarketResearch (HKLM-x32\...\{175F0111-2968-4935-8F70-33108C6A4DE3}) (Version: 130.0.374.000 - Hewlett-Packard) Hidden
  Viber (HKLM-x32\...\{DE097100-497D-43D6-AC39-45773404A41D}) (Version: 6.4.1.1 - Viber Media Inc.) Hidden
  ContextMenuHandlers01: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCExtMenu_64.dll -> No File
  ContextMenuHandlers01: [FineReader12ContextMenu] -> {55344AC6-630B-430C-B292-C7BE21F90061} => C:\Program Files (x86)\ABBYY FineReader 12\FRIntegration.x64.dll -> No File
  ContextMenuHandlers03: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ContextMenuHandlers06: [FineReader12ContextMenu] -> {55344AC6-630B-430C-B292-C7BE21F90061} => C:\Program Files (x86)\ABBYY FineReader 12\FRIntegration.x64.dll -> No File
  ContextMenuHandlers06: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} =>  -> No File
  Task: {37E39AB2-12A7-4718-A929-5B1AAAE74F03} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Task: {708400DB-4F10-4202-8B8B-A1D032F46F6B} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  FirewallRules: [{4D3DAD09-78FA-44A4-A887-BEAE4670187B}] => (Allow) C:\Users\Вадим\AppData\Local\Temp\7zS0A6A\HPDiagnosticCoreUI.exe
  FirewallRules: [{53B558D3-6B35-4A31-A3CC-999B36755B5B}] => (Allow) C:\Users\Вадим\AppData\Local\Temp\7zS0A6A\HPDiagnosticCoreUI.exe
  FirewallRules: [{06466D80-EA19-4ABC-AF21-163096F039FC}] => (Allow) C:\Users\Вадим\AppData\Local\Torch\Application\torch.exe
  FirewallRules: [{47B351EB-4B4F-4715-8D1C-0C1E51D31AB7}] => (Allow) C:\Users\Вадим\AppData\Local\Torch\Plugins\Hola\hola_plugin.exe
  FirewallRules: [{4D4E37E3-A8EA-4C44-B48D-EF857D63627D}] => (Allow) C:\Users\Вадим\AppData\Local\Torch\Plugins\Hola\hola_plugin_x64.exe
  FirewallRules: [{55C675AF-BE30-4B75-84D8-2070E4FB4C47}] => (Allow) C:\Windows\SysWOW64\muzapp.exe
  FirewallRules: [{71E3222A-1CE8-48EC-A32F-BC798683CEC2}] => (Allow) C:\Windows\SysWOW64\muzapp.exe
  FirewallRules: [{16856C32-2157-41C6-991B-FA4A81E3E67C}] => (Allow) C:\Users\Вадим\AppData\Local\Temp\InsDF23\Setup.exe
  FirewallRules: [{DFCE5B19-F853-4703-977B-9366CEA6B71F}] => (Allow) C:\Users\Вадим\AppData\Local\Temp\InsDF23\Setup.exe
  FirewallRules: [{BD0154F4-D7BA-41CC-B592-7B8B44E388C0}] => (Allow) C:\Users\Вадим\AppData\Local\Temp\InsDF23\Setup.exe
  FirewallRules: [{1FE2A019-C450-4578-84AD-86AEE05CA058}] => (Allow) C:\Users\Вадим\AppData\Local\Temp\InsDF23\Setup.exe
  FirewallRules: [{898FDE41-64E3-4F0C-9479-A0F474B261E0}] => (Allow) C:\Users\Вадим\AppData\Local\Temp\InsDF23\Setup.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[cognito]

Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Fixlog.txt

[regist]

Что с проблемой?
 

И ещё раз попробуйте Viber  деинсталировать, может хоть теперь получится.

И заодно ещё Google Update Helper и  MarketResearch.

[cognito]

 

 

И заодно ещё Google Update Helper и  MarketResearch.

А это что?

[cognito]

Viber  деинсталировать

не получается, идёт та же ошибка. Могу прислать лог удаления.

Google Update Helper и  MarketResearch - таких программ не обнаружил.

Изменено 8 июля, 2017 пользователем cognito

[regist]

 

 

Google Update Helper и MarketResearch - таких программ не обнаружил.

вы до выполнения скрипт FRST смотрели или после? Надо было после они должны были быть видны.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.