MrAdgor Опубликовано 4 августа, 2017 Опубликовано 4 августа, 2017 Добрый день. Ища драйвера на Benq 5250c наткнулся на пару вирусов, и вроде бы и все убрал. Однако осталась такая проблема: при клике в браузере через какой то промежуток времени открывается ссылка с рекламой. Т.е. окно клонируется, и в нём открывается реклама. Чистил и KVRT и Cureit! но в итоге эффекта нет, хотя куча другой "навешенной" рекламы вроде бы убралась. Был так же троян в Системной памяти, но 5 раза KVRT перестал его видеть, надеюсь удалил. Будьте добры, объясните что сделать, и с каких сайтов качать дравера 10 летней давности
Sandor Опубликовано 4 августа, 2017 Опубликовано 4 августа, 2017 Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи
MrAdgor Опубликовано 4 августа, 2017 Автор Опубликовано 4 августа, 2017 Я же прикреплял архив Значит не прожал кнопку загрузки CollectionLog-2017.08.04-13.51.zip
Sandor Опубликовано 4 августа, 2017 Опубликовано 4 августа, 2017 Через Панель управления - Удаление программ - удалите нежелательное ПО: globalupdate Helper ScreenUp Unity Web Player Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk', ''); QuarantineFile('C:\WINDOWS\system32\drivers\ContentProtectorDrv.sys', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); DeleteFile('C:\WINDOWS\system32\drivers\ContentProtectorDrv.sys', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteDirectory('c:\program files (x86)\zaxar'); DeleteService('ContentProtectorDrv'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(21); ExecuteFile('ipconfig', '/flushdns', 0, 10000, true); ExecuteWizard('SCU',2,2,true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
MrAdgor Опубликовано 4 августа, 2017 Автор Опубликовано 4 августа, 2017 globalupdate Helper - В удалении нетScreenUp - требует права админа(хотя пользователь один)Unity Web Player - Удалил ------------------------------------ KLAN-6614442049 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:Gооglе Сhrоmе.lnkФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. ClearLNK-04.08.2017_14-39.log CollectionLog-2017.08.04-14.44.zip
Sandor Опубликовано 4 августа, 2017 Опубликовано 4 августа, 2017 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Sandor Опубликовано 4 августа, 2017 Опубликовано 4 августа, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
MrAdgor Опубликовано 4 августа, 2017 Автор Опубликовано 4 августа, 2017 Сделано AdwCleanerC1.txt Shortcut.txt FRST.txt Addition.txt
Sandor Опубликовано 4 августа, 2017 Опубликовано 4 августа, 2017 (изменено) Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-2922415468-3943256778-2621126225-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B09F2AC4D-DE3C-47DE-A723-265237C37D48%7D&gp=811002 BHO-x32: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files (x86)\Torrent Search\IEEF\Ml2TWb_NEe8r.dll => No File FF user.js: detected! => C:\Users\V\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2015-12-16] FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811005 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B4E1769FE-A66A-478A-8D8B-57BA19BEA795%7D&gp=811006 CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811005 CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811005" U2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe /svc [X] <==== ATTENTION U3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe /medsvc [X] <==== ATTENTION U2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X] 2017-08-04 06:47 - 2015-08-07 14:46 - 000000000 ____D C:\Users\V\AppData\Roaming\IObit 2016-06-10 11:35 - 2016-06-10 11:35 - 000000001 _RHOT () C:\Program Files\ContentProtector 2016-06-07 12:50 - 2016-06-07 12:50 - 000000001 _RHOT () C:\Program Files (x86)\6293488E-1438943518-E311-8965-28D244AA8F4E 2016-06-07 12:50 - 2016-06-07 12:50 - 000000001 _RHOT () C:\Program Files (x86)\Torrent Search 2016-06-07 12:50 - 2016-06-07 12:50 - 000000001 _RHOT () C:\Program Files (x86)\Zaxar globalupdate Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION Task: {575A69A5-B64D-444D-8D04-A8BAAAD26E54} - System32\Tasks\{FA80223A-E2C7-4EFD-962E-38EDC39C2FF2} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\ScreenUp\uninst.exe" Task: {AB7B6216-9A0A-490C-BF83-3E9F6F0B7259} - System32\Tasks\{856ED53C-B5F0-4E87-8102-831B7AAAE75F} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\V\AppData\Roaming\MoonWiki\uninstall.exe Task: {E890A6A9-23E7-4B3D-B1B8-1BC34E116154} - \Root Private Helper -> No File <==== ATTENTION EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. globalupdate Helper - В удалении нетТеперь должен появиться, удалите. Сообщите что с проблемой. Изменено 4 августа, 2017 пользователем Sandor
MrAdgor Опубликовано 4 августа, 2017 Автор Опубликовано 4 августа, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-2922415468-3943256778-2621126225-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B09F2AC4D-DE3C-47DE-A723-265237C37D48%7D&gp=811002 BHO-x32: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files (x86)\Torrent Search\IEEF\Ml2TWb_NEe8r.dll => No File FF user.js: detected! => C:\Users\V\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2015-12-16] FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811005 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B4E1769FE-A66A-478A-8D8B-57BA19BEA795%7D&gp=811006 CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811005 CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811005" U2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe /svc [X] <==== ATTENTION U3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe /medsvc [X] <==== ATTENTION U2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X] 2017-08-04 06:47 - 2015-08-07 14:46 - 000000000 ____D C:\Users\V\AppData\Roaming\IObit 2016-06-10 11:35 - 2016-06-10 11:35 - 000000001 _RHOT () C:\Program Files\ContentProtector 2016-06-07 12:50 - 2016-06-07 12:50 - 000000001 _RHOT () C:\Program Files (x86)\6293488E-1438943518-E311-8965-28D244AA8F4E 2016-06-07 12:50 - 2016-06-07 12:50 - 000000001 _RHOT () C:\Program Files (x86)\Torrent Search 2016-06-07 12:50 - 2016-06-07 12:50 - 000000001 _RHOT () C:\Program Files (x86)\Zaxar globalupdate Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION Task: {575A69A5-B64D-444D-8D04-A8BAAAD26E54} - System32\Tasks\{FA80223A-E2C7-4EFD-962E-38EDC39C2FF2} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\ScreenUp\uninst.exe" Task: {AB7B6216-9A0A-490C-BF83-3E9F6F0B7259} - System32\Tasks\{856ED53C-B5F0-4E87-8102-831B7AAAE75F} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\V\AppData\Roaming\MoonWiki\uninstall.exe Task: {E890A6A9-23E7-4B3D-B1B8-1BC34E116154} - \Root Private Helper -> No File <==== ATTENTION EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. globalupdate Helper - В удалении нетТеперь должен появиться, удалите. Сообщите что с проблемой. Проблема осталась, удалить не может, т.к. отсутствует папка с файлами.. Fixlog.txt
regist Опубликовано 4 августа, 2017 Опубликовано 4 августа, 2017 Не надо заниматься оверквотингом, внизу есть поле для быстрого ответа. globalupdate Helper - В удалении нет Теперь должен появиться, удалите. Сделали? И сделайте свежие логи FRST.
MrAdgor Опубликовано 4 августа, 2017 Автор Опубликовано 4 августа, 2017 Start:: CreateRestorePoint: GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-2922415468-3943256778-2621126225-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B09F2AC4D-DE3C-47DE-A723-265237C37D48%7D&gp=811002 BHO-x32: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files (x86)\Torrent Search\IEEF\Ml2TWb_NEe8r.dll => No File FF user.js: detected! => C:\Users\V\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2015-12-16] FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811005 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B4E1769FE-A66A-478A-8D8B-57BA19BEA795%7D&gp=811006 CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811005 CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811005" U2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe /svc [X] <==== ATTENTION U3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe /medsvc [X] <==== ATTENTION U2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X] 2017-08-04 06:47 - 2015-08-07 14:46 - 000000000 ____D C:\Users\V\AppData\Roaming\IObit 2016-06-10 11:35 - 2016-06-10 11:35 - 000000001 _RHOT () C:\Program Files\ContentProtector 2016-06-07 12:50 - 2016-06-07 12:50 - 000000001 _RHOT () C:\Program Files (x86)\6293488E-1438943518-E311-8965-28D244AA8F4E 2016-06-07 12:50 - 2016-06-07 12:50 - 000000001 _RHOT () C:\Program Files (x86)\Torrent Search 2016-06-07 12:50 - 2016-06-07 12:50 - 000000001 _RHOT () C:\Program Files (x86)\Zaxar globalupdate Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION Task: {575A69A5-B64D-444D-8D04-A8BAAAD26E54} - System32\Tasks\{FA80223A-E2C7-4EFD-962E-38EDC39C2FF2} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\ScreenUp\uninst.exe" Task: {AB7B6216-9A0A-490C-BF83-3E9F6F0B7259} - System32\Tasks\{856ED53C-B5F0-4E87-8102-831B7AAAE75F} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\V\AppData\Roaming\MoonWiki\uninstall.exe Task: {E890A6A9-23E7-4B3D-B1B8-1BC34E116154} - \Root Private Helper -> No File <==== ATTENTION EmptyTemp: Reboot: End:: Говорю же, файлов нет, чтобы удалять. В списке удаления появилось, но по пути удаления отсутствует вся папка. Это нужно сделать?
regist Опубликовано 4 августа, 2017 Опубликовано 4 августа, 2017 Не надо заниматься оверквотингом, внизу есть поле для быстрого ответа. Почему игнорируете? Ваше цитирование только осложняет чтение вашего ответа и как следствие помочь вам. В списке удаления появилось вот заходите туда и запускаете оттуда деинсталяцию. А папку не трогаете.
MrAdgor Опубликовано 5 августа, 2017 Автор Опубликовано 5 августа, 2017 Да говорю же, при удалении пишет, что удалять нечего. А "игнорирую" я, потому что не понимаю, что вы от меня хотите. Если бы написали название файла, то лучше бы понял. А так, нужны вам логи без скрипт или без, я не знаю.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти