Вирусы после посиделок родителей

[Visitiry]

После сканирования  Dr.Web CureIt!. нашло 34 вируса, все полечил. Но остался баннер реклам и выбор учетной записи при входе в систему( которого до этого не было) . Прошу просмотреть логи.

 

CollectionLog-2018.08.08-20.59.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\MySql5.url','');
 QuarantineFile('C:\Windows\svchost.exe','');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\MySql5.url','64');
 DeleteFile('C:\Windows\svchost.exe','64');
ExecuteSysClean;
Executerepair(9);
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

 

Сделайте новые логи Автологгером. 

 

 

 

Вирусы после посиделок родителей

Чего-то мне кажется иначе.

[Visitiry]

Сделал

 

CollectionLog-2018.08.08-21.39.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Visitiry]

Сделано

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM\...\Policies\Explorer: [HideSCAHealth] 1

HKU\S-1-5-21-1885108348-2280827090-4016361701-1000\...\MountPoints2: {70924bc3-2ad0-11e8-9d80-4ccc6a6387ae} - I:\WPI.exe

CHR HKU\S-1-5-21-1885108348-2280827090-4016361701-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx

2018-08-08 13:26 - 2018-08-08 13:26 - 000000000 _RSHD C:\Windows\sysprepthemes

2018-08-08 13:26 - 2018-08-08 13:26 - 000000000 _RSHD C:\Windows\SecureBootThemes

2018-08-08 13:26 - 2018-08-08 13:26 - 000000000 _RSHD C:\Users\Все пользователи\dll

2018-08-08 13:26 - 2018-08-08 13:26 - 000000000 _RSHD C:\ProgramData\dll

2018-08-08 13:25 - 2018-08-08 13:25 - 000000000 _RSHD C:\wax.exe

2018-08-08 13:25 - 2018-08-08 13:25 - 000000000 _RSHD C:\Program Files\dll

2018-08-08 13:25 - 2018-08-08 13:25 - 000000000 _RSHD C:\Program Files (x86)\stormii

2018-08-08 13:25 - 2018-08-08 13:27 - 004119040 _____ C:\Windows\safedll.exe

2018-08-08 13:25 - 2018-08-08 13:26 - 000005097 _____ C:\Windows\demo.bat

2018-08-08 13:25 - 2018-08-08 13:25 - 000000000 _RSHD C:\Windows\tasksche.exe

2018-08-08 13:25 - 2018-08-08 13:25 - 000000000 _RSHD C:\Windows\SysWOW64\WUDHostServices.exe

2018-08-08 13:25 - 2018-08-08 13:25 - 000000000 _RSHD C:\Windows\srvany.exe

2018-08-08 13:25 - 2018-08-08 13:25 - 000000000 _RSHD C:\wax.exe

2018-08-08 13:25 - 2018-08-08 13:25 - 000000000 _RSHD C:\Program Files\dll

2018-08-08 13:25 - 2018-08-08 13:25 - 000000000 _RSHD C:\Program Files (x86)\stormii

2018-07-07 12:49 - 2018-07-07 14:26 - 000001531 _____ C:\Windows\system32\сиськи, лебеда молодые ебутся,физрук таня из физрука голая трах домашнее порно Молодые студенты Студенты балуются Школа Секс в офисе видео Смазанные маслом Немецкое Порно кастинги HD порно Винтаж Эроти.lnk

file: C:\Windows\System32\WinKernel.exe

zip:C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

[Visitiry]

Сделал.

На рабочем столе  создался архив Дата_время.zip, загрузил через данную форму

 

Fixlog.txt

Изменено 8 августа, 2018 пользователем Visitiry

[mike 1]

C:\Windows\system32\сиськи, лебеда молодые ебутся,физрук таня из физрука голая трах домашнее порно Молодые студенты Студенты балуются Школа Секс в офисе видео Смазанные маслом Немецкое Порно кастинги HD порно Винтаж Эроти.lnk

Удалите вручную. Что с проблемой?

[Visitiry]

Удалил. Баннеры рекламы так же высвечиваються.

[mike 1]

В каком браузере? В Internet Explorer проблема наблюдается?

[Visitiry]

Или в Opera или в Chrome, точнее сказать не могу. Постоянно открыто 2 браузера а реклама вылазит недпредсказуемо. Пробовал поочередно открывать, пока ничего нету.

Реклама вылазит поверх окон и висит пока не закроешь.

Изменено 9 августа, 2018 пользователем Visitiry

[mike 1]

На второй вопрос ответьте

[Visitiry]

В  Internet Explorer проблема Не наблюдается. Вычислил что только в  google chrome.

Вот такое окно открывается при открытии настроек этого баннера

 

Перенаправление идет на https://goalked.com:443 ----сайт с баннера!!!

Изменено 9 августа, 2018 пользователем Visitiry

[mike 1]

Отключите в браузере все расширения

[Visitiry]

Отключил (расширения  гугла: Google Документы офлайн,Документы,Презентации, Таблицы) +в настройках браузера занес в список блокировок (он был среди разрешенных) тот адрес который указал выше. Буду наблюдать.

И еще есть несколько вопросов:

1) После удаления вредоносного ПО удалить старые точки восстановления?

2) У меня 1 учетная запись .При запуске компа надо выбирать учетную запись, до вирусов такого не было + Стало видно расширения   имён файлов.( привести в первоначально состояние вручную?)