[РЕШЕНО] Хотелось бы проверить ПК.

[Peter15]

Хотелось бы проверить эффективность встроенного антивируса ("Windows 10"), т. к. компьютер давно не проверялся сторонними вендорами. Всё ли чисто?

CollectionLog-2021.04.22-06.23.zip

[Sandor]

Здравствуйте!

 

Видна адварь.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Yandex taskbar button

Служба автоматического обновления программ

 

 

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

+

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

[Peter15]

Файл карантина получился большой, даю ссылку: https://drive.google.com/file/d/11ezNq2uxghuSQnxx3tRRoWvIpQSN4P3A/view?usp=sharing . И кстати, при формировании карантина были сообщения, что часть файлов туда невозможно поместить. Это нормально? Или нужно было запускать от админа?

AdwCleaner[S00].txt

Изменено 23 апреля, 2021 пользователем Peter15

[Sandor]

18 минут назад, Peter15 сказал:

Или нужно было запускать от админа?

Как правило, все рекомендации следует выполнять от имени администратора (а лучше просто включить UAC). Но раз некоторые не попали, то и ладно.

 

Продолжаем:

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Peter15]

45 минут назад, Sandor сказал:

все рекомендации следует выполнять от имени администратора (а лучше просто включить UAC).

Попробовал сделать эксперимент: запустил "avz" с контекстного меню от админа, всё равно куча файлов не попали, а результирующий архив получился всего на 1 мб больше. UAC не выключался.

запрошенные файлы.zip

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR HomePage: Default -> inline.go.mail.ru
  CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=chxtnhp15.1.4.3&q={searchTerms}&fr=chxtnhp15.1.4.3
  CHR DefaultSearchKeyword: Default -> inline.go.mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
  C:\Users\l4op4\AppData\Local\Google\Chrome\User Data\Default\Extensions\iepoegkaoeljnbhagabakjodgpfniimo
  CHR HKU\S-1-5-21-1942970263-2837891884-2253292634-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]
  AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
  FirewallRules: [{A9A7794A-9D76-413B-BBC3-372F02D0BA70}] => (Allow) C:\Users\l4op4\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{A03689A3-673C-4B24-AC4E-4A7AC594DF28}] => (Allow) C:\Users\l4op4\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{2603B89A-52EA-4AD0-8C4D-E3CA80D66704}] => (Allow) C:\Users\l4op4\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{8220F793-17DC-47D6-9722-C83EE01C4012}] => (Allow) C:\Users\l4op4\MediaGet2\QtWebEngineProcess.exe => Нет файла
  EmptyTemp:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пользователь с правами администратора l4op4q7v вам известе?

[Peter15]

19 минут назад, Sandor сказал:

Пользователь с правами администратора l4op4q7v вам известе?

Известен, это родственник. Ещё будут действия для выявления угроз, не определяемых по базам антивируса (Kaspersky)?

Fixlog.txt

[Sandor]

Нет, будут только рекомендации:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Peter15]

Тот файл, что я привёл на Гугл-диске, на исследование отправите (карантин)? И результат можно будет узнать, если да?

SecurityCheck.txt

[regist]

6 часов назад, Peter15 сказал:

на исследование отправите (карантин)? И результат можно будет узнать, если да?

Архив будет направлен для пополнения базы AVZ. Отчёта по нему не будет.

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.14.5 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45704 Внимание! Клиент сети P2P с рекламным модулем!.
 

 

Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".