Заблокирован опасный веб-адрес hттp://domtopro.com/

[Nestorletopisec]

При запуске браузера в KIS "Заблокирован опасный веб-адрес hттp://domtopro.com/..."

 

CollectionLog-2018.08.24-17.53.zip

Изменено 24 августа, 2018 пользователем Nestorletopisec

[SQ]

Здравствуйте,

 

Удалите Iobit Driver Booster, TimeTasks через установку и удаления программ.

 

HiJackThis (из каталога autologger)профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://spacesearch.ru/?ri=1&rsid=6ee1bb69a61c7c68878443f9c8483162&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://spacesearch.ru/?ri=1&rsid=6ee1bb69a61c7c68878443f9c8483162&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://hao.360.cn/?src=lm&ls=n7d9da6088b
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://hao.360.cn/?src=lm&ls=n7d9da6088b
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://spacesearch.ru/?ri=1&rsid=6ee1bb69a61c7c68878443f9c8483162&q=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://spacesearch.ru/?ri=1&rsid=6ee1bb69a61c7c68878443f9c8483162&q=
R3 - HKCU\..\URLSearchHooks: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {FC36B0BD-27F0-4cdd-8AB1-50651EFC3EFD} - (no file)
O3 - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O4 - MSConfig\startupreg: Timestasks [command] = C:\ProgramData\TimeTasks\timetasks.exe" " (file missing) (HKLM) (2015/10/29)
O9-32 - Button: HKLM\..\{A52C66B3-D4A9-4d10-A67D-2BEF0A85AB3F}: WinToFlash Suggestor - (no file)
O9-32 - Tools menu item: HKLM\..\{A52C66B3-D4A9-4d10-A67D-2BEF0A85AB3F}: WinToFlash Suggestor options - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) Driver Booster Scheduler - C:\Program Files (x86)\IObit\Driver Booster\5.5.1\Scheduler.exe /scheduler
O22 - Task: (disabled) Driver Booster SkipUAC (Home) - C:\Program Files (x86)\IObit\Driver Booster\5.5.1\DriverBooster.exe /skipuac

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

 

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[Nestorletopisec]

Удалите Iobit Driver Booster, TimeTasks через установку и удаления программ.

 

Здравствуйте! Благодарю за отзыв. 

В списке удаления программ отсутствует "TimeTasks". 

Driver Booster - удален, могу продолжить - фиксить и далее согласно списку? 

[regist]

Auslogics Disk Defrag - тоже удалите.

 

 

могу продолжить - фиксить и далее согласно списку?

да.

[Nestorletopisec]

Лог AdwCleaner

Не удается загрузить quarantine.zip данную форму - указывает на то что был уже загружен?!

AdwCleanerS00.txt

[SQ]

Видимо карантин пустой.

 

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Nestorletopisec]

Удаляю все, перезагружаю ... но после запуска браузера добавляются 2 - расширения, после чего в Awd опять 3-и угрозы! 

AdwCleanerS07.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Nestorletopisec]

Готово

FRST.txt

Addition.txt

[SQ]

Удалите антиврус 360, использование более одного антивируса может негативно повлиять на работу ПК

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-3105187690-907119860-3860223015-1000\...\MountPoints2: F - F:\DriverPack.exe
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Toolbar: HKU\S-1-5-21-3105187690-907119860-3860223015-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
  FF Plugin-x32: @java.com/DTPlugin,version=11.171.2 -> C:\Program Files (x86)\Java\jre1.8.0_171\bin\dtplugin\npDeployJava1.dll [No File]
  FF Plugin-x32: @java.com/JavaPlugin,version=11.171.2 -> C:\Program Files (x86)\Java\jre1.8.0_171\bin\plugin2\npjp2.dll [No File]
  CHR Extension: (Tampermonkey) - C:\Users\Home\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2018-08-10]
  CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
  File: C:\Windows\SysWOW64\drivers\USBSpeedUp.exe
  Zip: C:\Windows\SysWOW64\drivers\USBSpeedUp.exe
  File: C:\Windows\SysWOW64\srvany.exe
  File: C:\Program Files (x86)\Acronis\DiskDirector\OSS\reinstall_svc.exe
  S3 ipotzrgx; no ImagePath
  File: C:\Windows\SysWOW64\drivers\mpfilt.sys
  File: C:\Windows\System32\drivers\oem-drv64.sys
  2018-08-25 01:15 - 2016-01-10 16:27 - 000000000 ____D C:\Users\Все пользователи\IObit
  2018-08-25 01:15 - 2016-01-10 16:27 - 000000000 ____D C:\Users\Home\AppData\Roaming\IObit
  2018-08-25 01:15 - 2016-01-10 16:27 - 000000000 ____D C:\ProgramData\IObit
  2018-08-25 01:14 - 2016-01-10 16:27 - 000000000 ____D C:\Users\Все пользователи\ProductData
  2018-08-25 01:14 - 2016-01-10 16:27 - 000000000 ____D C:\ProgramData\ProductData
  2016-05-28 12:05 - 2016-05-28 12:05 - 000000000 _____ () C:\Users\Home\AppData\Local\{E0660F51-949A-4644-ABA8-31BF9766889A}
  ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную формувверху темы.

[Nestorletopisec]

Удалите антиврус 360, 

360 - был удален давно, но раз вы о нем упомянули значит возможны "следы"... не представляю как возможно удалить приложение т.к. оно отсутствует в списке удаления программ?  

[SQ]

Да остались следы:
 

R1 360AntiHacker; C:\Windows\System32\Drivers\360AntiHacker64.sys [104008 2014-08-29] (360.cn)
R1 360Box64; C:\Windows\System32\DRIVERS\360Box64.sys [311880 2014-06-27] (360.cn)
S3 360Camera; C:\Windows\System32\Drivers\360Camera64.sys [40520 2014-04-18] (360.cn)
R1 360FsFlt; C:\Windows\System32\DRIVERS\360FsFlt.sys [312904 2014-08-21] (360.cn)
S4 360Hvm; C:\Windows\System32\Drivers\360Hvm64.sys [181320 2014-08-21] (360安全中心)
R1 BAPIDRV; C:\Windows\System32\DRIVERS\BAPIDRV64.sys [180808 2014-04-15] (360.cn)
2018-08-24 17:24 - 2015-02-07 15:46 - 000000000 _RSHD C:\360SANDBOX

Выполните инструкции которые следуют после удаления антивируса 360.

[Nestorletopisec]

Выполните инструкции которые следуют после удаления антивируса 360.

А могу ли я указанные строки удалить в ручную ( или возможно через AVZ)? К сожалению на просторах инета не могу найти комплексное решение - утилиту(ы) по полному удалению этой китайской приблуды?

Изменено 26 августа, 2018 пользователем Nestorletopisec

[SQ]

Попробуем удалить позже, мне необходимо убедиться, чтобы во время выполнения инструкции FRST, выполнится удачно точка восстановления.

Так как удаление драйверов может вызвать Bsod.

[Nestorletopisec]

 через данную формувверху темы.

Файл сохранён как

180828_081816_28.08.2018_14.10.27_5b

850548baa28.zip

 

 

Fixlog.txt