gazza Опубликовано 12 июля, 2017 Опубликовано 12 июля, 2017 (изменено) Здравствуйте. Посмотрите, пожалуйста, логи. Малой племянник у себя на компе бардак развел. KasperFREE (файловый антивирус) сам нашел какой-то зараженный ununstall.exe и удалил. Поэтому логи сделал заново. Прикрепляю новые логи. CollectionLog-2017.07.12-12.50.zip Изменено 12 июля, 2017 пользователем gazza
Sandor Опубликовано 12 июля, 2017 Опубликовано 12 июля, 2017 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Auslogics DiskDefrag Calculator Unity Web Player YoutubeAdBlock Кнопка "Яндекс" на панели задач Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\framework\windows driver.exe'); QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (6).lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (5).lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (4).lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (3).lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (2).lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (2).lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Subway Surfers Вконтакте.lnk', ''); QuarantineFile('C:\Users\Жека\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', ''); QuarantineFile('C:\Users\Жека\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr (64-bit).lnk', ''); QuarantineFile('C:\Users\Жека\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', ''); QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', ''); QuarantineFile('C:\Users\Фисун\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\4ccca0dcef1bd5bd\Амиго.lnk', ''); QuarantineFile('C:\Users\Фисун\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', ''); QuarantineFile('C:\Users\Жека\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk', ''); QuarantineFile('C:\Users\Фисун\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk', ''); QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk', ''); QuarantineFile('C:\Users\Администратор\Desktop\впн\Hola\Opera 45.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Браузер Opera.lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera 45.lnk', ''); QuarantineFile('C:\Users\Администратор\appdata\roaming\checkers\draughts\draughts.exe',''); QuarantineFile('c:\programdata\framework\windows driver.exe',''); QuarantineFile('C:\Users\836D~1\AppData\Roaming\setupsk\ml.py', ''); QuarantineFile('C:\ProgramData\TFqQBVjwjI\DzXpgTVWXF2.bat', ''); QuarantineFile('C:\Users\Администратор\AppData\LocalLow\SearchGo\searchgo.dll', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFile('C:\Users\Администратор\appdata\roaming\daemon2.exe', ''); QuarantineFileF('c:\users\836d~1\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\users\администратор\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true); DeleteFile('c:\programdata\framework\windows driver.exe','32'); DeleteFile('C:\Users\Администратор\appdata\roaming\checkers\draughts\draughts.exe','32'); DeleteFile('C:\Users\836D~1\AppData\Roaming\setupsk\ml.py', '32'); DeleteFile('C:\ProgramData\TFqQBVjwjI\DzXpgTVWXF2.bat', '32'); DeleteFile('C:\Users\Администратор\AppData\LocalLow\SearchGo\searchgo.dll', '32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\msi.exe', '32'); DeleteFile('C:\Users\Администратор\appdata\roaming\daemon2.exe', '32'); DeleteFileMask('c:\users\836d~1\appdata\roaming\setupsk', '*', true); DeleteFileMask('c:\users\администратор\appdata\locallow\searchgo', '*', true); DeleteDirectory('c:\users\836d~1\appdata\roaming\setupsk'); DeleteDirectory('c:\users\администратор\appdata\locallow\searchgo'); DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}'); DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bpzuozryba'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
gazza Опубликовано 12 июля, 2017 Автор Опубликовано 12 июля, 2017 А то что выше добавил про найденный Каспером вирус? Всё равно ЭТИ логи делать?
gazza Опубликовано 12 июля, 2017 Автор Опубликовано 12 июля, 2017 Сделано. ClearLNK-12.07.2017_13-35.log CollectionLog-2017.07.12-13.44.zip AdwCleanerS0.txt
Sandor Опубликовано 12 июля, 2017 Опубликовано 12 июля, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
gazza Опубликовано 12 июля, 2017 Автор Опубликовано 12 июля, 2017 Готово. AdwCleanerC0.txt Addition.txt FRST.txt Shortcut.txt
Sandor Опубликовано 12 июля, 2017 Опубликовано 12 июля, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: () C:\ProgramData\Framework\System.exe () C:\ProgramData\Framework\Windows Driver.exe HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION Toolbar: HKU\S-1-5-21-2265957962-733238704-566388005-500 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-2265957962-733238704-566388005-500 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811040 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B21FCDE68-2D7B-41CE-8334-B6D7F2DCB52F%7D&gp=811041 FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\9c39-e628-b81c-c517 [2016-09-02] FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-05-26] FF Extension: (Поиск@Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-05-26] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-26] FF HKU\S-1-5-21-2265957962-733238704-566388005-500\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Администратор\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found CHR HomePage: Default -> distrinline.com CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B175E1F96-9C6D-4661-826F-6C00222E1B10%7D&gp=831106 CHR DefaultSearchKeyword: Default -> mail.ru_ CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} OPR StartupUrls: "hxxp://trusoba.ru/?utm_source=startpage03&utm_content=b9edee93c5bc06b27cd7f585b1374632&utm_term=F1A0F9EAF0619DBAD05517A91FB1B740&utm_d=20161012" R2 DirectX11b; C:\ProgramData\DirectX11b\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION S2 Framework; C:\ProgramData\WindowsSQL\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION R2 MinerGate; C:\ProgramData\Framework\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION 2017-07-01 20:44 - 2017-07-12 13:17 - 00000000 ___RD C:\Users\Все пользователи\Framework 2017-07-01 20:44 - 2017-07-12 13:17 - 00000000 ___RD C:\ProgramData\Framework 2017-07-01 20:44 - 2017-07-12 10:17 - 00000000 ____D C:\Users\Все пользователи\WindowsSQL 2017-07-01 20:44 - 2017-07-12 10:17 - 00000000 ____D C:\ProgramData\WindowsSQL 2017-07-01 20:44 - 2017-07-01 20:44 - 00000000 ____D C:\Users\Все пользователи\DirectX11b 2017-07-01 20:44 - 2017-07-01 20:44 - 00000000 ____D C:\ProgramData\DirectX11b 2017-07-12 13:06 - 2016-01-17 09:19 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\Calculator ContextMenuHandlers01: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> No File ContextMenuHandlers01: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers04: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File Task: {00AF0E06-3155-4748-A384-0B2FCE1372B6} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A2 => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\HV8ZO4B.dll",#1 <==== ATTENTION Task: {07360A0D-C3C4-4079-A7A3-50BF0284EB09} - \InternetEF -> No File <==== ATTENTION Task: {2EED3855-A4D0-425F-9904-49948D3CE41B} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\HV8ZO4B.dll",#1 <==== ATTENTION Task: {8A2B3D6B-FE38-4982-A73C-FFFCC97BD878} - System32\Tasks\MSI => C:\Users\Администратор\AppData\Roaming\Microsoft\msi.exe Task: {BBDCBB61-41A2-46B6-9C06-2C47AE786C4D} - \TaskSched -> No File <==== ATTENTION Task: C:\Windows\Tasks\E3605470-291B-44EB-8648-745EE356599A.job => C:\Program Files (x86)\YubeAlckU\HV8ZO4B.dll <==== ATTENTION C:\ProgramData\Framework\ FirewallRules: [{5F4CFAB9-DA95-4E1E-9E68-4B283D629239}] => (Allow) C:\Users\Администратор\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{B0898C4B-5717-4B87-B1D1-609AF23810CA}] => (Allow) C:\Users\Администратор\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{8748304D-7F5A-4E37-B249-A570F0DD296C}] => (Allow) C:\Users\Администратор\AppData\Roaming\ACEStream\engine\ace_engine.exe FirewallRules: [{AFA397CD-A430-47EA-8250-23571A273C8E}] => (Allow) C:\Users\Администратор\AppData\Roaming\ACEStream\engine\ace_engine.exe EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. В Chrome вручную удалите расширения: Orbitum Speed Dial uBlock Origin в Опере:Блокировщик Рекламы Для Ютуба™ Сообщите что из проблем осталось.
gazza Опубликовано 12 июля, 2017 Автор Опубликовано 12 июля, 2017 Проблемы больше не наблюдаются. Всё работает как часы. Большое Спасибо за помощь. Fixlog.txt
Sandor Опубликовано 12 июля, 2017 Опубликовано 12 июля, 2017 В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти