delta-search

[Vulkan Api 0]

Добрый день,скачал unlocker,в основном у меня антивирус отключён из автозапуска,и я его включаю когда что-то качаю,и проверяю,в этот раз забыл это сделать,и в спешке не снял галки при установке программы,потом только вспомнил проверить антивирусником,и там ругается на toolbal panel,в браузере домашняя страница не поменялась,не в IE не в основном,быстрый поиск вирусов не находит,anvir task manager и winja в запущенных процесах тоже ничего не находят,в автозапуск ничего нового не добавилось(тоже проверил через anvir + comodo kill switch),hitman pro нашёл папки babytool и файл deltatb,который даже не весел в процессах открытых,решил на виртуалке отследить через uninstall tool,нашел впринципи тоже самое,пару веток в реестре для IE которые,папка babytool файл deltab и ещё по мелочи всякой,в чём суть вопроса,не могли бы вы проверить,не затаился ли он в каких-то закаулках,просто я у себя активности его не нахожу,но мб просто не вижу.

https://drive.google.com/file/d/1qNniDnD5XBi7oR7f3HpH6NPzfBlVExpm/view?usp=sharing

Изменено 9 марта, 2020 пользователем Vulkan Api

[Sandor 1 251]

Здравствуйте!

 

Порядок оформления запроса о помощи

[Vulkan Api 0]

Здравствуйте!

 

Порядок оформления запроса о помощи

CollectionLog-2020.03.09-12.27.zip

Unlocker.1.9.2.Final.7z

[Sandor 1 251]

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

IObit Unlocker 1.1.2.1

Spybot Anti-Beacon

На время лечения удалите также Ace Stream Media 3.1.32

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
 ExecuteRepair(13);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Vulkan Api 0]

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

IObit Unlocker 1.1.2.1

Spybot Anti-Beacon

На время лечения удалите также Ace Stream Media 3.1.32

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
 ExecuteRepair(13);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Спасибо за помощь,но sbypot и iobit unlocker у меня проблем не вызывали,давно уже стоят(я решил Unlocker не от них попробовать,другой скачал) ,если это необходимо,то могу удалить,но у меня вопрос,нет ли сейчас каких-то переадресаций или левых прокси/днс т.д в моих браузерах?(конкретно связанных с delta-toolbar или babylon toolbar,у него 2 названия,ну или каких либо рекламных интеграций вообще.)

Adw Cleaner ничего из этого не находил,ругался только на ace stream и auslogics.

Изменено 9 марта, 2020 пользователем Vulkan Api

[Sandor 1 251]

1. Не цитируйте полностью предыдущий ответ, используйте форму "Ответить" внизу.

2.

sbypot и iobit unlocker у меня проблем не вызывали,давно уже стоят

Вы ведь обратились за помощью, вот и выполняйте рекомендации, пожалуйста.

3.

Adw Cleaner ничего из этого не находил

Лог покажете?

[Vulkan Api 0]

Я удалил auslogics,spybot,iobit и ace stream (хотя они у меня давно уже стояли,но не суть) вот лог 

AdwCleanerS02.txt

[Sandor 1 251]

AdwCleaner[C01].txt - тоже покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Vulkan Api 0]

AdwCleaner[C01].txt - тоже покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

FRST.txt

AdwCleanerC01.txt

Addition.txt

[Sandor 1 251]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Task: {C7E255D5-6448-47BC-8DF8-D53180DF1DE8} - System32\Tasks\Safer-Networking\Spybot Anti-Beacon\Refresh Anti-Beacon immunization => C:\Program Files (x86)\Spybot Anti-Beacon\SDAntiBeacon.exe
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  HKU\S-1-5-21-739750331-1801764620-4068823093-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  C:\Users\Turing\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo
  CHR HKU\S-1-5-21-739750331-1801764620-4068823093-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
  S4 IObitUnlocker; \??\C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlocker.sys [X]
  AlternateDataStreams: C:\ProgramData\TEMP:B0177106 [129]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [466]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Vulkan Api 0]

Прошу прощения,я сначала выполнил,потом не выдержал и перебил все браузеры с полной зачисткой в appdata и реестре,а потом применил заново ваш скрипт и случайно перезаписал старый fixlog,если нужно будет,то на виртуалке проверю после установки анлокера и выполнения скрипта.

Я на виртуалке в песочнице смог преобразовать reg hive в reg и прочесть,там менялись параметры только в local machine,благо у меня для этой ветки был бэкап реестра,откатил + переустановил браузеры + на всякий случай сделал ваш скрипт(ну я об этом выше писал),думаю если что-то и было,то явно выпилилось,хотя я рекламу не замечал или чего-то подозрительного,и когда вручную пробовал зайти не delta-search то их сайт не отвечал,скорее всего у исполняемого файла не было связи с сервером,а сам по себе он бесполезный,ну в ie и хром свои куки немного кинул судя по логам из сандбокса,но дальше не пошёл,спасибо вам за помощь,но наверное мне не стоило так напрягаться.

Fixlog.txt

[Sandor 1 251]

Хорошо, завершаем:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Vulkan Api 0]

Вот

SecurityCheck.txt

[Sandor 1 251]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.535.18362.0 Внимание! Скачать обновления

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

VMware Workstation v.15.5.0 Внимание! Скачать обновления

Oracle VM VirtualBox 5.2.34 v.5.2.34 Внимание! Скачать обновления

Foxit Reader v.9.1.0.5096 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u241-windows-x64.exe)^

Java 8 Update 231 (64-bit) v.8.0.2310.11 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u241-windows-x64.exe)^

--------------------------- [ AppleProduction ] ---------------------------

QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

------------------------------- [ Browser ] -------------------------------

Yandex v.20.2.4.143 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------

Кнопка "Яндекс" на панели задач v.2.2.0.50 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

UmmyVideoDownloader v.1.10.5.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

 

Читайте Рекомендации после удаления вредоносного ПО

[Vulkan Api 0]

Хорошо,как я понимаю,никаких связанных элементов с delta toolbar найдено не было?
(в program filex 86 и program data я находил папки babylon и ещё в temp delta tb,в сандбоксе впринципи тоже самое было,ещё кинуло свои куки и web data в хром,на остальные браузеры не лезно,но я на всякий случай вычистил от всех,как я понимаю,дальше оно не полезло,раз ничего не было найдено)
Вы не против,если я кину логи с sandboxie и uninstall tool?

Изменено 10 марта, 2020 пользователем Vulkan Api