Сергей Малышев Опубликовано 6 мая, 2018 Опубликовано 6 мая, 2018 (изменено) Здравствуйте! Последние три недели некорректно работает браузер (не открываются страницы, частые сообщения о недоступности страницы, хотя с других устройств в сети вход выполняется), долгая прогрузка страниц и прочее.Логи прикрепляю.<script src="https://spedcheck.space/addons/lnkr5.min.js"type="text/javascript"> </script> CollectionLog-2018.05.06-13.35.zip Изменено 6 мая, 2018 пользователем Сергей Малышев
mike 1 Опубликовано 6 мая, 2018 Опубликовано 6 мая, 2018 Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера). R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=be57cf81837928f9837ce82a491a9611&text={searchTerms} R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=be57cf81837928f9837ce82a491a9611&text= R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=be57cf81837928f9837ce82a491a9611&text= O4 - HKCU\..\Run: [DTS] = C:\Users\1\AppData\Local\Temp\Rar$EXa0.201\DTS.exe (file missing) O4 - MSConfig\startupreg: Green Christmas Tree [command] = D:\DL\подарочек).exe (file missing) (HKCU) (2014/12/26) O4 - MSConfig\startupreg: ZaxarGameBrowser [command] = C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe -s (file missing) (HKLM) (2015/09/24) O7 - TroubleShoot: [EV] HKCU\..\Environment: [TEMP] = (not exist) O13-32 - HKLM\..\URL: DefaultPrefix[] = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=be57cf81837928f9837ce82a491a9611&text= O15 - ProtocolDefaults: HKU\S-1-5-21-262648434-2445808956-2208419595-1014 - [@ivt] protocol is in Unknown Zone, should be Intranet Zone(User: 'postgres') O15 - ProtocolDefaults: HKU\S-1-5-21-262648434-2445808956-2208419595-1014 - [file] protocol is in Unknown Zone, should be Internet Zone(User: 'postgres') O15 - ProtocolDefaults: HKU\S-1-5-21-262648434-2445808956-2208419595-1014 - [ftp] protocol is in Unknown Zone, should be Internet Zone(User: 'postgres') O15 - ProtocolDefaults: HKU\S-1-5-21-262648434-2445808956-2208419595-1014 - [http] protocol is in Unknown Zone, should be Internet Zone(User: 'postgres') O15 - ProtocolDefaults: HKU\S-1-5-21-262648434-2445808956-2208419595-1014 - [https] protocol is in Unknown Zone, should be Internet Zone(User: 'postgres') O15 - ProtocolDefaults: HKU\S-1-5-21-262648434-2445808956-2208419595-1014 - [shell] protocol is in Unknown Zone, should be My Computer Zone(User: 'postgres') O22 - Task: Driver Booster SkipUAC (1) - C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing) O22 - Task: Uninstaller_SkipUac_1 - C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe /UninstallExplorer (file missing) O22 - Task: {7B3328BC-0568-48F3-A6C3-6E15D13B8760} - C:\Windows\SysWOW64\javaws.exe O22 - Task: {8AB113AB-DCBF-4C5B-9B08-B554D3B3043F} - C:\Windows\SysWOW64\javaws.exe Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1
Сергей Малышев Опубликовано 6 мая, 2018 Автор Опубликовано 6 мая, 2018 выполнил, логи прикрепляю. ClearLNK-2018.05.06_15.39.54.log AdwCleanerS00.txt
mike 1 Опубликовано 6 мая, 2018 Опубликовано 6 мая, 2018 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 1
Сергей Малышев Опубликовано 6 мая, 2018 Автор Опубликовано 6 мая, 2018 (изменено) сделано, лог как вложение к сообщению. Подробнее читайте в этом руководстве. ссылка битая, но справился, думаю. AdwCleanerC00.txt Изменено 6 мая, 2018 пользователем Сергей Малышев
mike 1 Опубликовано 6 мая, 2018 Опубликовано 6 мая, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. 1
Сергей Малышев Опубликовано 6 мая, 2018 Автор Опубликовано 6 мая, 2018 сделано. Addition.txt FRST.txt
mike 1 Опубликовано 6 мая, 2018 Опубликовано 6 мая, 2018 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy-x32: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-262648434-2445808956-2208419595-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] 2018-05-06 16:03 - 2015-03-23 00:44 - 000000000 ____D C:\Users\1\AppData\LocalLow\IObit 2018-05-06 16:03 - 2015-03-23 00:43 - 000000000 ____D C:\Users\Все пользователи\IObit 2018-05-06 16:03 - 2015-03-23 00:43 - 000000000 ____D C:\Users\1\AppData\Roaming\IObit 2018-05-06 16:03 - 2015-03-23 00:43 - 000000000 ____D C:\ProgramData\IObit 2018-05-06 15:45 - 2015-03-23 00:44 - 000000258 __RSH C:\Users\1\ntuser.pol 2018-05-06 15:45 - 2015-03-23 00:42 - 000000626 __RSH C:\Users\Все пользователи\ntuser.pol 2018-05-06 15:45 - 2015-03-23 00:42 - 000000626 __RSH C:\ProgramData\ntuser.pol 2015-03-23 00:44 - 2015-03-23 00:44 - 000000114 ____H () C:\ProgramData\help.bat 2015-03-23 00:44 - 2015-03-23 00:44 - 000000114 ____H () C:\Users\Все пользователи\help.bat 2015-03-23 00:43 - 2015-03-23 00:43 - 000000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2015-03-23 00:44 - 2015-03-23 00:44 - 000000115 ____H () C:\Program Files (x86)\diary.bat 2015-03-23 00:44 - 2015-03-23 00:44 - 000000117 ____H () C:\Program Files (x86)\layouts.bat 2015-03-23 00:44 - 2015-03-23 00:44 - 000000112 ____H () C:\Program Files (x86)\ps.bat 2015-03-23 00:44 - 2015-03-23 00:44 - 000000115 ____H () C:\Program Files (x86)\punto.bat 2015-03-23 00:44 - 2015-03-23 00:44 - 000000118 ____H () C:\Program Files (x86)\WelcomeToPunto.bat 2017-11-06 16:09 - 2017-11-06 16:09 - 000000068 _____ () C:\Users\1\AppData\Roaming\changzhi_leidian.data 2017-11-06 16:24 - 2017-11-06 16:24 - 000000068 _____ () C:\Users\1\AppData\Roaming\changzhi_mplayer.data 2015-03-23 00:43 - 2015-03-23 00:44 - 000000148 ____H () C:\Users\1\AppData\Roaming\YandexDiskScreenshotEditor.bat 2015-03-23 00:43 - 2015-03-23 00:44 - 000000148 ____H () C:\Users\1\AppData\Roaming\YandexDiskStarter.bat 2015-03-23 00:43 - 2015-02-27 20:53 - 003978528 ____H () C:\Users\1\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe AlternateDataStreams: C:\ProgramData\TEMP:24051EFF [146] AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [147] AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [128] AlternateDataStreams: C:\ProgramData\TEMP:70B3C619 [114] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138] AlternateDataStreams: C:\ProgramData\TEMP:ECF54A0E [354] AlternateDataStreams: C:\Users\Все пользователи\TEMP:24051EFF [146] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [147] AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [128] AlternateDataStreams: C:\Users\Все пользователи\TEMP:70B3C619 [114] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [138] AlternateDataStreams: C:\Users\Все пользователи\TEMP:ECF54A0E [354] MSCONFIG\startupreg: 3DG4me => C:\Windows\System\3DG4me.exe MSCONFIG\startupreg: Gyazo => C:\Program Files (x86)\Gyazo\GyStation.exe FirewallRules: [TCP Query User{FECAE6B4-B36E-4C5F-A291-4B1F4D3625A6}C:\users\1\appdata\local\temp\iperf.exe] => (Block) C:\users\1\appdata\local\temp\iperf.exe FirewallRules: [UDP Query User{0286C5D8-0F78-4BF6-835B-74BB5AE867CA}C:\users\1\appdata\local\temp\iperf.exe] => (Block) C:\users\1\appdata\local\temp\iperf.exe EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму 1
Сергей Малышев Опубликовано 6 мая, 2018 Автор Опубликовано 6 мая, 2018 получил только лог файл, он ниже. Fixlog.txt
Сергей Малышев Опубликовано 6 мая, 2018 Автор Опубликовано 6 мая, 2018 (изменено) Все отлично, сайты, где была проблема, загружаются. Из замеченного - не запускается zenmate (был на автозапуске, сейчас запустился только после перезагрузки PC и не через ярлык). Не прогружаются документы на google drive, но это так и было - только через zenmate. Переустановить? Изменено 6 мая, 2018 пользователем Сергей Малышев
mike 1 Опубликовано 6 мая, 2018 Опубликовано 6 мая, 2018 Попробуйте. Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите отчет в вашей теме
Сергей Малышев Опубликовано 6 мая, 2018 Автор Опубликовано 6 мая, 2018 (изменено) сделал, антивирусами не пользуюсь, стараюсь на этом компе не ползать по левым сайтам и крайне осторожен с почтой/скайпом. Ситуация с Zenmate исправилась после первого запуска программы через program files. SecurityCheck.txt Изменено 6 мая, 2018 пользователем Сергей Малышев
mike 1 Опубликовано 6 мая, 2018 Опубликовано 6 мая, 2018 Internet Explorer 11.0.9600.18893 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 171 (64-bit) v.8.0.1710.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^ Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^ --------------------------- [ AppleProduction ] --------------------------- Bonjour v.3.1.0.1 iTunes v.12.7.4.76 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО. --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.16.0.0.245 Внимание! Скачать обновления Adobe Shockwave Player 12.0 v.12.0.2.122 Внимание! Скачать обновления сделал, антивирусами не пользуюсь, стараюсь на этом компе не ползать по левым сайтам и крайне осторожен с почтой/скайпом. Все же лучше использовать антивирус. Против эксплойтов данная стратегия не работает, а Вы даже знать не будете, что оказались заражены.
Сергей Малышев Опубликовано 6 мая, 2018 Автор Опубликовано 6 мая, 2018 спасибо за помощь! буду осторожен впредь
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти