Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Удаляются определенные программы при каждом входе в систему (http://forum.oszone.net/showthread.php?t=300878)

sttt91 08-06-2015 08:00 2515868
Удаляются определенные программы при каждом входе в систему
 
Вложений: 5
Здравствуйте! Еще неделю назад схватил вирусы, которые устанавливали программы и добавили в chrome стартовую страницу smartinf. Пытался решить это самостоятельно, и сначала вроде все было исправлено, но буквально вчера стали "самоудаляться" некоторые программы (такие как Advanced SystemCare, Uninstaller, Media Player Classic), причем при восстановлении программы она удаляется снова при каждой перезагрузке системы, также при каждом новом входе в систему на рабочем столе появляется ярлык Yandex, прописанный в C:\Users\Serega\AppData\Local\Yandex\YandexBrowser\Application. Пожалуйста, помогите!

Sandor 08-06-2015 08:24 2515879
Здравствуйте!

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

sttt91 08-06-2015 13:20 2515996
Вложений: 1
Все сделано

Sandor 08-06-2015 14:22 2516012
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
Advanced SystemCare 6
SmartAdverts for Google Chrome™
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Users\Serega\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\Serega\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 DeleteFile('C:\Users\Serega\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Users\Serega\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

sttt91 08-06-2015 20:44 2516238
quarantine.zip отправил на форму, но после выполнения первого скрипта при входе в систему всплывает "DivXMediaServer.exe - Системная ошибка" с текстом: "Запуск программы невозможен, так как на компьютере отсутствует QtCore4.dll. Попробуйте переустановить программу". Затем всплывает окно "DivXLaucher error" с текстом: "Missing DivXMain DLL: C:\Program Files\DivX\DivX Media Server\DivXMediaServer.dll Не найден указанный модуль". После закрытия этих окон система перезагружается.

sttt91 08-06-2015 20:59 2516251
Вложений: 2
Прикрепляю отчеты FRST:

sttt91 08-06-2015 21:03 2516254
Вложений: 1
Shortcut:

Sandor 09-06-2015 08:30 2516396
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Serega\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-06-08]
Task: {2DD5F339-5423-4E91-8CC4-CE7E8B0ABEBC} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION
Task: {A6C13C46-81D5-46D3-A5E6-0E2070A5E220} - \Safebrowser No Task File <==== ATTENTION
Task: {D6A9AEE0-2E7C-4B0F-967C-361E2DAF01F4} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service No Task File <==== ATTENTION
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Расширения
Цитата:
SocialLife for Firefox™
SocialLife Suit for Google Chrome™
Вам знакомы?

sttt91 09-06-2015 12:50 2516502
Вложений: 1
Расширения
Цитата:
SocialLife for Firefox™
SocialLife Suit for Google Chrome™
не знакомы, по-прежнему при загрузке системы появляются окна ошибок DivX.

Sandor 09-06-2015 12:59 2516508
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
FF Extension: SocialLife for Firefox™ - C:\Users\Serega\AppData\Roaming\Mozilla\Firefox\Profiles\1455dbr8.default\Extensions\slext@sl.dev [2015-06-08]
FF Extension: No Name - C:\Users\Serega\AppData\Roaming\Mozilla\Firefox\Profiles\1455dbr8.default\extensions\metabar_toolbar32132@metabar.ru [not found]
FF Extension: No Name - C:\Users\Serega\AppData\Roaming\Mozilla\Firefox\Profiles\1455dbr8.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [not found]
FF Extension: No Name - C:\Users\Serega\AppData\Roaming\Mozilla\Firefox\Profiles\1455dbr8.default\extensions\{7b6de06c-7013-4a87-957e-d27d7b977d21} [not found]
FF Extension: No Name - C:\Users\Serega\AppData\Roaming\Mozilla\Firefox\Profiles\1455dbr8.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Serega\AppData\Local\Google\Chrome\User Data\Default\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-06-08]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Serega\AppData\Roaming\Opera Software\Opera Stable\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-06-08]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Serega\AppData\Roaming\Opera Software\Opera Stable\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-06-08]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Serega\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-06-08]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Serega\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-06-08]
2015-06-08 03:15 - 2015-06-08 19:53 - 0000000 _____ () C:\Users\Serega\AppData\Roaming\smw_inst
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

regist 09-06-2015 13:14 2516516
Skype Click to Call 0 рекомендую удалить, в том числе и расширение из огнелиса. Подробней про эту программу можете почитать здесь.


Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
Google Update Helper (Version: 1.3.23.0 - BonanzaDeals) Hidden <==== ATTENTION
Google Update Helper (Version: 1.3.27.5 - Google Inc.) Hidden
swMSM (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
Task: {2DD5F339-5423-4E91-8CC4-CE7E8B0ABEBC} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION
Task: {68A953E2-1936-42FA-B740-B4F90FE319EA} - System32\Tasks\extsetup => C:\Users\Serega\AppData\Local\Microsoft\Extensions\extsetup.exe
Task: {A6C13C46-81D5-46D3-A5E6-0E2070A5E220} - \Safebrowser No Task File <==== ATTENTION
Task: {D6A9AEE0-2E7C-4B0F-967C-361E2DAF01F4} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service No Task File <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-2221669110-2975636097-3889922989-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File


EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

sttt91 09-06-2015 13:51 2516529
Вложений: 1
Sandor, прикрепляю лог-файл

sttt91 09-06-2015 14:09 2516535
Вложений: 1
regist, можно поподробнее про Click to call и расширения файерфокса и как их удалить

Sandor 10-06-2015 11:15 2516937
Цитата:
Цитата sttt91
про Click to call »
есть в списке установленных программ. Удалите штатным способом через Панель управления - Удаление программ.

Как отключить расширения FF

sttt91 15-06-2015 07:31 2518621
Вложений: 1
Спасибо за помощь, вроде все теперь нормально работает, AVZ ничего вредоносного не находит, только adwcleaner находит в реестре какой-то HKLM\SOFTWARE\DeviceVM и он не исправляется, что это может быть?
Еще в списке программ в "программах и компонентах" у некоторых программ исчезли ярлычки, хотя сами программы работают, подскажите, пожалуйста, как это можно исправить.

Sandor 15-06-2015 09:22 2518647
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

regist 15-06-2015 10:48 2518677
AdwCleaner[S2].txt также прикрепите.

sttt91 16-06-2015 07:23 2519043
Вложений: 2
Высылаю логи и Adwcleaner[S2].txt

Sandor 17-06-2015 11:21 2519424
Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(14);
RebootWindows(false);
end.
Компьютер перезагрузится.

Цитата:
Цитата sttt91
стали "самоудаляться" некоторые программы »
Это еще продолжается?

sttt91 21-06-2015 14:34 2520747
Цитата:
Это еще продолжается?
нет, сейчас все нормально работает, большое спасибо за помощь.

regist 21-06-2015 15:07 2520755
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.


Время: 21:34.

Время: 21:34.
© OSzone.net 2001-