Как избавиться от китайской программы от 2345.com

[zyablik]

Есть ноутбук Dell Inspirion 15 3000. Принесли сегодня (без адаптера питания). Обновил Kaspersky Free. Посмотрел программы: HaoZip-архиватор стоит, к примеру. Подключил нормальный Интернет (у них вообще MTS-Коннект). Внезапно какая-то программа (думал, это HaoZip обновляется) полезла что-то качать. Смотрю, в программах какая-то 2345 появилась. Пытаюсь удалить. Ан-нет: всё на китайском! HaoZip удалил — 2345, понятно, осталась. Удалить так и не удалось, хотя из списка программ 2345 исчезла. Но то, что она есть, свидетельствуют контекстные меню с 5-10 лишними пунктами на китайском. Причем наведение на эти пункты выводит рекламу из Интернета (в своих окнах, без браузера). И тоже на китайском. Помогите. В Сети читаю, что это браузер-угонщик и т.п.
Отчет Autologger'а: CollectionLog-2017.11.09-12.30.zip
Отчет GSI: http://dela.do.am/comp3/GSI6_DELL_2015_11_09_2017_12_18_50.zip 
 

Изменено 9 ноября, 2017 пользователем zyablik

[Sandor]

Здравствуйте!

 

Следы Avast очистите по соотв. инструкции: Чистка системы после некорректного удаления антивируса.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[zyablik]

Попробую. правда, там зарядки осталось на 20 минут. Остальное, видимо, завтра с 7:30 до 8:45 и после 10:00 (извините).

[regist]

@zyablik, + там KFA установлен и 2016 и 2017. Советую оба снести и поставить 2018.

[zyablik]

Можно, если есть смысл: до окончании срока Free дней 50, вроде...

[zyablik]

Картинку забыл в первом посте:

Все файлы (кроме kfa и не установленной kis) в папке Service /см.рисунок выше/ — мною привнесенные сегодня.
---------
Avast-удалятель отработал.
ADWCleaner'овские, включая предыдущий (до создания темы) прогон:
AdwCleanerS0.txt AdwCleanerC0.txt

AdwCleanerS1.txt

--------
С KFA завтра.

Вообще, Classic Shell для 8-ки установил сегодня (ну, старой формации я чел, бейте меня). Пока надежного файла своего нет. Может китайца сам пригласил?   Вместе с шелом...

Изменено 9 ноября, 2017 пользователем zyablik

[Sandor]

Инструкция на завтра:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[zyablik]

Зарядки не хватит. Адаптер, как я у же писал, принесут утром 

[zyablik]

Addition.txt FRST.txt Shortcut.txt
---
Что с ADW? Он 2 шт. чего-то находил... (S1).

Что еще неприятно: на этом ноуте не могу скачать с сайта kaspersky.ru ни GSI, ни kavremover — качка в Chrome'е выдает сообщение "Ошибка: ошибка сети"...

Прошли 4 минуты и... Впрочем, пока и на других компах та же фигня 

Удалил 2016-й kfa. Хотел удалить и невидимую мне 2017-й. Но мой старый kavremover версии 1.0.1064.0 не видит kfa напрочь.

Вот скачал со стороннего сайта версию 1.0.1275.0. Удаляю (?) kfa. Буду ставить потом 2018-й.

Короче, я влип с вашим предложением заменить 2016-й kfa (у которого еще оставалось 50 дней работы) на 2018-й. Поставил 2018-й, называется. Кнопка "Активировать" не работает. Ё-моё... Вот это я помог людям 

Изменено 10 ноября, 2017 пользователем zyablik

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  (2345.com) C:\Program Files\2345Soft\HaoZip\HaoZipSvc.exe
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {1ac339ce-92c2-11e5-8266-1008b188312a} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {1ac33a59-92c2-11e5-8266-1008b188312a} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {1ac33c85-92c2-11e5-8266-1008b188312a} - "G:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {52a06f7c-b0de-11e6-8270-1008b188312a} - "G:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {531a98a3-81bc-11e4-8252-1008b188312a} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {8defa14f-89c2-11e7-8296-74e6e20eb8ac} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {a6561508-846b-11e4-8253-1008b188312a} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {a656157b-846b-11e4-8253-1008b188312a} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {a6561855-846b-11e4-8253-1008b188312a} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {e046a58a-1933-11e6-8268-1008b188312a} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {e5b5abc2-905b-11e5-8265-1008b188312a} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {e5b5ac01-905b-11e5-8265-1008b188312a} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {e5b5ac23-905b-11e5-8265-1008b188312a} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\MountPoints2: {e5b5ac60-905b-11e5-8265-1008b188312a} - "E:\AutoRun.exe" 
  R2 HaoZipSvc; C:\Program Files\2345Soft\HaoZip\HaoZipSvc.exe [529712 2017-10-24] (2345.com)
  2017-11-09 12:25 - 2017-11-09 12:26 - 000000000 ____D C:\Users\Все пользователи\s3mo
  2017-11-09 12:25 - 2017-11-09 12:26 - 000000000 ____D C:\ProgramData\s3mo
  2017-11-09 12:22 - 2017-11-09 12:22 - 000000000 ____D C:\Users\Все пользователи\s4cg
  2017-11-09 12:22 - 2017-11-09 12:22 - 000000000 ____D C:\Users\Все пользователи\s3kk
  2017-11-09 12:22 - 2017-11-09 12:22 - 000000000 ____D C:\ProgramData\s4cg
  2017-11-09 12:22 - 2017-11-09 12:22 - 000000000 ____D C:\ProgramData\s3kk
  2017-11-09 12:18 - 2017-11-09 12:18 - 000000000 ____D C:\Users\Все пользователи\s4j0
  2017-11-09 12:18 - 2017-11-09 12:18 - 000000000 ____D C:\Users\Все пользователи\s2e0
  2017-11-09 12:18 - 2017-11-09 12:18 - 000000000 ____D C:\ProgramData\s4j0
  2017-11-09 12:18 - 2017-11-09 12:18 - 000000000 ____D C:\ProgramData\s2e0
  2017-11-09 11:26 - 2017-11-09 11:27 - 000000000 ____D C:\Users\2015\AppData\Roaming\2345Pic
  2017-11-09 11:09 - 2017-11-10 08:06 - 000000000 ____D C:\Users\2015\AppData\Roaming\HaoZip
  2017-11-09 11:02 - 2017-11-09 11:27 - 000000000 ____D C:\Users\2015\AppData\Roaming\2345MiniPage
  2017-11-09 10:59 - 2017-11-09 10:59 - 000000000 ____D C:\Users\2015\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\好压
  2017-11-09 10:59 - 2017-11-09 10:59 - 000000000 ____D C:\Program Files\2345Soft
  2017-11-09 11:04 - 2014-12-14 06:28 - 000000000 ____D C:\Program Files\HaoZip
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ContextMenuHandlers1: [Advanced SystemCare] -> {9486A9B2-D787-4eca-A25C-4A0086BB4154} =>  -> No File
  ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ContextMenuHandlers1: [HaoZip] -> {5FED836A-C96C-4d88-A91E-F63F07726585} => C:\Program Files\2345Soft\HaoZip\HaoZipExt.dll [2017-10-24] (2345.com)
  ContextMenuHandlers4: [HaoZip] -> {5FED836A-C96C-4d88-A91E-F63F07726585} => C:\Program Files\2345Soft\HaoZip\HaoZipExt.dll [2017-10-24] (2345.com)
  ContextMenuHandlers6: [HaoZip] -> {5FED836A-C96C-4d88-A91E-F63F07726585} => C:\Program Files\2345Soft\HaoZip\HaoZipExt.dll [2017-10-24] (2345.com)
  Task: {EF3AB64E-905F-4D73-BDEF-6A20EE845E20} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-08-03] (AVAST Software)
  HKU\S-1-5-21-2239572362-3388676804-1936284386-1001\...\StartupApproved\Run: => "Advanced SystemCare 6"
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[zyablik]

Спасибо. Сейчас пофиксим.
А kfa всё-таки после перезагрузки без меня посидел-посидел и, смотрю, автоматом активировался родной и аж на 365 днёв  . Чуть поклеп на ЕВ и C^o не навел

Fixlog.txt

О да! Лишние пункты на китайском языке из контекстных меню исчезли. Реклама не всплывает. Праздник! Спасибо, ребята

Изменено 10 ноября, 2017 пользователем zyablik

[Sandor]

Завершаем:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[zyablik]

Нет. Всё-таки в "создать" остались 2 пункта:

Эти пункты создают некие файлы (архивы?) нулевой длины ^*) с названиями с иероглифами (ни с чем, вроде, не ассоциированные). ^*) Ясное дело, что нулевой длины — это всегда.

--------------
ADWCleaner деинсталлировал.

SecurityCheck.txt

Изменено 10 ноября, 2017 пользователем zyablik

[Sandor]

Тогда посмотрим еще такой лог:

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[zyablik]

Да, действительно. Тип файла при сохранении скачиваемого файла (архива) китайскими иероглифами. Вот заразы-китайцы.

ДЕЛЛ_2017-11-10_11-23-11.7z

Архив создался. Значок файла был пустой лист. Поменял вручную ассоциацию на WinRar'овскую.

@Sandor, даешь 7000-ное сообщение !!!

Изменено 10 ноября, 2017 пользователем zyablik