Какая-то гадость не дает ничего запустить на ПК

29 августа, 2018

Какая-то гадость не дает ничего запустить на ПК, в безопасном режиме только смог логи собрать

CollectionLog-2018.08.29-17.40.zip

29 августа, 2018

Kometa
Video and Audio Plugin UBar

Windows CSS styles for sites - SkinApp

ZetaGames

Амиго

НОВОСТИ - ZetaGames

Служба автоматического обновления программ

удалите через Установку программ.

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files\ubar\ubar.exe','');
 QuarantineFile('C:\Users\Ян\AppData\Local\Kometa\Application\kometa.exe','');
 QuarantineFile('C:\Program Files (x86)\skinapp\cssstyle.exe','');
 QuarantineFile('C:\Users\Ян\AppData\Local\Kometa\StartButton\kometastartvx64.exe','');
 DeleteFile('C:\Users\Ян\AppData\Local\Kometa\StartButton\kometastartvx64.exe','64');
 DeleteFile('C:\Program Files (x86)\skinapp\cssstyle.exe','32');
 DeleteFile('C:\Users\Ян\AppData\Local\Kometa\Application\kometa.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','knuadfqnip');
 DeleteFile('C:\Windows\system32\Tasks\One Drive Update','x64');
 DeleteFile('C:\Windows\system32\Tasks\Kometa up','x64');
 DeleteFile('C:\Windows\system32\Tasks\ZetaUpdate','x64');
 DeleteFile('C:\Program Files\ubar\ubar.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

30 августа, 2018

так же логи и выполнение скриптов смог сделать только в безопасном режиме

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Результат загрузки Ошибка загрузки. Данный файл уже был загружен

ClearLNK-2018.08.30_09.17.17.log

CollectionLog-2018.08.30-09.22.zip

30 августа, 2018

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

30 августа, 2018

готово

Addition.rar

30 августа, 2018

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Winlogon: [Userinit] C:\Users\Ян\AppData\Local\Kometa\StartButton\kometastartvx64.exe,C:\Windows\system32\userinit.exe,
HKU\S-1-5-21-2250191346-112552138-2924737935-1001\...\Run: [amigo] => C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe [962024 2017-09-18] (Mail.Ru) <==== ATTENTION
HKU\S-1-5-21-2250191346-112552138-2924737935-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://kosnogi.ru/?utm_source=chi&&utm_term=53B2B2652493D856BD99DEED854E70FB&utmd=20171012
SearchScopes: HKU\S-1-5-21-2250191346-112552138-2924737935-1001 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2250191346-112552138-2924737935-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://kosnogi.ru/?utm_source=chi&&utm_term=53B2B2652493D856BD99DEED854E70FB&utmd=20171012
CHR StartupUrls: Default -> "hxxp://kosnogi.ru/?utm_source=chi&&utm_term=53B2B2652493D856BD99DEED854E70FB&utmd=20171012"
CHR HKU\S-1-5-21-2250191346-112552138-2924737935-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2250191346-112552138-2924737935-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2250191346-112552138-2924737935-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gbccghhdjglljkekkhmlfnmnjiipdfcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
OPR StartupUrls:  "hxxp://kosnogi.ru/?utm_source=chi&&utm_term=53B2B2652493D856BD99DEED854E70FB&utmd=20171012" 
S1 allnet; \??\C:\Program Files (x86)\skinapp\allnet.sys [X]
2018-08-30 09:17 - 2016-01-15 17:59 - 000000000 ____D C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZetaGames
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [165]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B755D674 [165]
ShortcutWithArgument: C:\Users\Ян\Desktop\Амиго.Музыка.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) ->  --profile-directory=Default --app-id=mbipmajmbfjakbcfnjdldckninlnmhoe
ShortcutWithArgument: C:\Users\Ян\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) ->  --profile-directory=Default --app-id=mbipmajmbfjakbcfnjdldckninlnmhoe
ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) ->  --profile-directory=Default --app-id=mbipmajmbfjakbcfnjdldckninlnmhoe
ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\ВКонтакте.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) ->  --profile-directory=Default --app-id=blpabnnnpcfijmjhhdihdglfhecjoknn
ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мини-игры Mail.Ru.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) ->  --profile-directory=Default --app-id=eelhkjeciikfclbijaplfgdlnmnpamgk
ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мой Мир.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) ->  --profile-directory=Default --app-id=oplpkihnjdodepplnehakffakpgfcpji
ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Одноклассники.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) ->  --profile-directory=Default --app-id=jbhbhflenehimkngcjnpeleogniobpnn
ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Почта Mail.Ru.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) ->  --profile-directory=Default --app-id=pgkcjlfddldjbjedihplepchglcpamne
Shortcut: C:\Users\Ян\Desktop\Вконтакте.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\vk.exe () <==== Cyrillic
Shortcut: C:\Users\Ян\Desktop\Одноклассники.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\ok.exe () <==== Cyrillic
Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\vk.exe () <==== Cyrillic
Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\ok.exe () <==== Cyrillic
Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\vk.exe () <==== Cyrillic
Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\ok.exe () <==== Cyrillic
Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\ВКонтакте.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\vk.exe () <==== Cyrillic
Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Одноклассники.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\ok.exe () <==== Cyrillic
Task: {07E2F17D-D883-47C0-9E45-ED47E68E4CD3} - \One Drive Update -> No File <==== ATTENTION
Task: {921A8A72-738E-413D-A2B5-532654D37A8A} - \ZetaUpdate -> No File <==== ATTENTION
Task: {D4B1770D-665C-488D-91C7-965725698A1E} - \Kometa up -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

30 августа, 2018

готово

Fixlog.txt

30 августа, 2018

ShortcutWithArgument: C:\Users\Ян\Desktop\Амиго.Музыка.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> --profile-directory=Default --app-id=mbipmajmbfjakbcfnjdldckninlnmhoe
ShortcutWithArgument: C:\Users\Ян\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> --profile-directory=Default --app-id=mbipmajmbfjakbcfnjdldckninlnmhoe

ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> --profile-directory=Default --app-id=mbipmajmbfjakbcfnjdldckninlnmhoe

ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\ВКонтакте.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> --profile-directory=Default --app-id=blpabnnnpcfijmjhhdihdglfhecjoknn

ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мини-игры Mail.Ru.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> --profile-directory=Default --app-id=eelhkjeciikfclbijaplfgdlnmnpamgk

ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мой Мир.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> --profile-directory=Default --app-id=oplpkihnjdodepplnehakffakpgfcpji

ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Одноклассники.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> --profile-directory=Default --app-id=jbhbhflenehimkngcjnpeleogniobpnn

ShortcutWithArgument: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Почта Mail.Ru.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> --profile-directory=Default --app-id=pgkcjlfddldjbjedihplepchglcpamne

Shortcut: C:\Users\Ян\Desktop\Вконтакте.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\vk.exe () <==== Cyrillic

Shortcut: C:\Users\Ян\Desktop\Одноклассники.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\ok.exe () <==== Cyrillic

Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\vk.exe () <==== Cyrillic

Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\ok.exe () <==== Cyrillic

Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\vk.exe () <==== Cyrillic

Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\ok.exe () <==== Cyrillic

Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\ВКонтакте.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\vk.exe () <==== Cyrillic

Shortcut: C:\Users\Ян\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Одноклассники.lnk -> C:\Users\Ян\AppData\Local\Amigo\Application\ok.exe () <==== Cyrillic

Все эти ярлыки удаляйте вручную, раз уж имя учетки кириллическое.

Сделайте лог МВАМ

30 августа, 2018

все еще работает пк в безопасном режиме

MBAM.txt

30 августа, 2018

Поместите в карантин МВАМ все найденное

30 августа, 2018

поместил, проверил еще раз , ничего больше не нашлось, но так же только в безопасном можно работать

30 августа, 2018

В безопасном режиме отключите через msconfig автозапуск антивируса и потом попробуйте загрузиться в обычном режиме.

Какая-то гадость не дает ничего запустить на ПК

Рекомендуемые сообщения

ArCtic

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ArCtic

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ArCtic

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ArCtic

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ArCtic

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ArCtic

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum