not-a-virus:HEUR:AdWare.Script.Generic не могу вылечить

[Кирилл Шуклин]

касперский блокирует not-a-virus:HEUR:AdWare.Script.Generic, вылечить невозможно
файл p.analytic.host и дальше ссылка идет

Проверял уже всем чем можно, не уходит

11.06.2019 23.06.14 Обнаруженный объект (файл) невозможно вылечить

Изменено 13 июня, 2019 пользователем Кирилл Шуклин

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

 

Логи прикрепите в этой теме к следующему сообщению.

[Кирилл Шуклин]

Вот логи

CollectionLog-2019.06.13-18.35.zip

[Sandor]

"Лишние" антивирусы удалите

AVG 2015

McAfee Security Scan Plus

После чего пройдитесь соотв. утилитой:

Чистка системы после некорректного удаления антивируса.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

UmmyVideoDownloader 1.5.0.4

Unity Web Player

Кнопка "Яндекс" на панели задач

Менеджер браузеров

Чистилка

Элементы Яндекса 8.9 для Internet Explorer

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Kirill\AppData\Roaming\daemon.exe', '');
 QuarantineFile('C:\Users\Kirill\AppData\Roaming\System\svchost.exe', '');
 DeleteFile('C:\Users\Kirill\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.lnk');
 DeleteFile('C:\Users\Kirill\AppData\Roaming\daemon.exe', '64');
 DeleteFile('C:\Users\Kirill\AppData\Roaming\System\svchost.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Daemon', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Кирилл Шуклин]

Немного ошибся, выполнил скрипт и отправил quarantine.zip до удаления ненужных программ. [KLAN-10410846659] 
Затем понял свою ошибку и вновь выполнил его. [KLAN-10411211073]

CollectionLog-2019.06.13-21.53.zip

[Sandor]

Номер вы сообщили, а сам ответ нет. Процитируйте, пожалуйста.

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Кирилл Шуклин]

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

AdwCleanerS02.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Кирилл Шуклин]

Сделал

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKU\S-1-5-21-562457974-3704190482-120264687-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {05066D6E-AC42-481E-86F8-D25E899112D6} - \GenericSettingsHandler\Windows-Credentials\RetrySyncTask_for_S-1-5-21-562457974-3704190482-120264687-1000 -> No File <==== ATTENTION
  Task: {82DD8A0D-63A9-47B0-8415-3F9E04BC9E08} - \Kbupdater Utility -> No File <==== ATTENTION
  Task: {CB6623FB-5390-4373-B93E-B5FA83774E82} - \RocketTab -> No File <==== ATTENTION
  Task: {EE0269C2-2690-4900-846C-7FBF867E6135} - \RocketTab Update Task -> No File <==== ATTENTION
  BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  Toolbar: HKU\S-1-5-21-562457974-3704190482-120264687-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
  Toolbar: HKU\S-1-5-21-562457974-3704190482-120264687-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  FF user.js: detected! => C:\Users\Kirill\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2019-06-06]
  FF Extension: (No Name) - C:\Users\Дима\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{6221d3f4-d69d-46e5-b989-b5fde79c2247}.xpi [not found]
  CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
  S1 bd0001; system32\DRIVERS\bd0001.sys [X]
  S2 BDArKit; \??\C:\Windows\System32\Drivers\BDArKit.SYS [X]
  2019-06-09 15:50 - 2019-06-09 15:50 - 000000001 _RHOT () C:\Users\Kirill\AppData\Local\Поиcк в Интeрнете
  2019-06-09 15:50 C:\ProgramData\Host32manager
  2015-10-13 15:47 C:\ProgramData\Info
  2019-06-09 15:50 C:\ProgramData\Kbupdater Utility
  2019-06-09 15:50 C:\ProgramData\Trymedia
  2019-06-09 15:50 C:\ProgramData\UBar
  2019-06-09 15:50 C:\Users\Kirill\AppData\Roaming\Baidu
  2019-06-09 15:50 C:\Users\Kirill\AppData\Roaming\DigitalSites
  2019-06-09 15:50 C:\Users\Kirill\AppData\Roaming\GoldenGate
  2019-06-09 15:50 C:\Users\Kirill\AppData\Roaming\Homepager
  2019-06-09 15:50 C:\Users\Kirill\AppData\Roaming\MailProducts
  2019-06-09 15:50 C:\Users\Kirill\AppData\Roaming\My-top-apps
  2019-06-09 15:50 C:\Users\Kirill\AppData\Roaming\Systweak
  2019-06-09 15:50 C:\Users\Kirill\AppData\Local\darksamlib
  2019-06-09 15:50 C:\Users\Kirill\AppData\Local\NetBoxLogs
  2019-06-09 15:50 C:\Users\Kirill\AppData\Local\Nichrome
  2019-06-09 15:50 C:\Users\Kirill\AppData\Local\Xpom
  2019-06-09 15:50 C:\Users\Kirill\AppData\Local\Поиcк в Интeрнете
  bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
  ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  AlternateDataStreams: C:\WINDOWS\system32\Drivers\dhjoezqe.sys:changelist [2982]
  AlternateDataStreams: C:\WINDOWS\system32\Drivers\ffsdbymk.sys:changelist [2982]
  AlternateDataStreams: C:\WINDOWS\system32\Drivers\fkmhdvrz.sys:changelist [978]
  AlternateDataStreams: C:\WINDOWS\system32\Drivers\ngvtnoar.sys:changelist [2454]
  AlternateDataStreams: C:\WINDOWS\system32\Drivers\rmcyzqhv.sys:changelist [2454]
  AlternateDataStreams: C:\WINDOWS\system32\Drivers\uraedpor.sys:changelist [2982]
  AlternateDataStreams: C:\WINDOWS\system32\Drivers\yenlrnfp.sys:changelist [2454]
  HKU\S-1-5-21-562457974-3704190482-120264687-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

В перечне установленных программ появятся

bl

ph

Удалите их, а также удалите те, что были указаны в моем сообщении №4.

[Кирилл Шуклин]

Не могу удалить менджер браузеров, прикрепил так же лог удаления менеджера браузеров, выскакивает ошибка

Fixlog.txt

Менеджер_браузеров_20190620155955.log

Изменено 20 июня, 2019 пользователем Кирилл Шуклин

[Sandor]

Попробуйте удалить принудительно через Geek Uninstaller

 

Сообщите что с начальной проблемой.

[Кирилл Шуклин]

В удалении этой программы участвует собственный установщик. Есть две кнопки-удалить, восстановить. Могу попробовать восстановить чтоб вновь попытаться удалить. Проблема осталась нерешенной.

[Sandor]

Могу попробовать восстановить чтоб вновь попытаться удалить

Это неважно. Главное в итоге её удалить.

 

Проблема осталась нерешенной

Проявляется при запущенном браузере? Если да, каком именно?

 

Дополнительно:

Скачайте Malwarebytes' Anti-Malware. Установите и запустите.

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

[Кирилл Шуклин]

Только при запущенном яндекс браузере, в других не сижу

scan.txt