Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Выскакивает много разных окон (http://forum.oszone.net/showthread.php?t=314662)

Najad 07-05-2016 15:29 2632747
Выскакивает много разных окон
 
Помогите полечить компьютер. Похоже подруга наловила вирусов, выскакивает много окон таких как амиго и другие. В компьютерах особо не разбираюсь. Заметила, что в свойствах логического диска пишет, что программа дефрагментации не установлена. Как такое может быть? Посканировала CureIt, удалила кучу вирусов. Пожалуйста помогите. Обновленные логи прилагаю

Najad 07-05-2016 23:55 2632845
Вложений: 1
логи

shestale 08-05-2016 09:35 2632896
Деинсталируйте Baidu как написано в первом посте этой темы, выполните все до этих слов:
Цитата:
После этого рекомендую обратиться в раздел "Лечение компьютерных вирусов", чтобы дочистить остатки антивируса.
+
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\администратор\appdata\roaming\imagecropresize', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\администратор\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\администратор\appdata\local\systemmonitor2016', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\ImageCropResize\ImageEd\ImageEd.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Dorrible\Ribble\d.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Hostinstaller\4274062137_monster.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\SystemMonitor2016\4274062137.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Ribble" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
 DeleteFile('C:\Users\Администратор\AppData\Roaming\ImageCropResize\ImageEd\ImageEd.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Dorrible\Ribble\d.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Hostinstaller\4274062137_monster.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\SystemMonitor2016\4274062137.exe', '32');
 DeleteFileMask('c:\users\администратор\appdata\roaming\imagecropresize', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\users\администратор\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('c:\users\администратор\appdata\local\systemmonitor2016', '*', true);
 DeleteDirectory('c:\users\администратор\appdata\roaming\imagecropresize');
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\users\администратор\appdata\local\hostinstaller');
 DeleteDirectory('c:\users\администратор\appdata\local\systemmonitor2016');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ImageEd','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Удалите параметры запуска ярлыков.

Подготовьте лог AdwCleaner.

Najad 08-05-2016 11:16 2632933
Вложений: 2
Байду и ненужные программы удалила еще до Вашего сообщения через установку и удаление программ (извините,если поспешила). Файл с Карантином отправила. Логи прилагаю. И подскажите по поводу остатков Байду обращаться лучше после того, как Вы закончите работу или можно параллельно?

shestale 08-05-2016 11:20 2632936
Цитата:
Цитата Najad
Байду и ненужные программы удалила еще до Вашего сообщения через установку и удаление программ (извините,если поспешила). »
Хорошо. А остатки зачистим.
Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.

Najad 08-05-2016 11:39 2632939
Вложений: 1
Сделано) Лог прилагаю

shestale 08-05-2016 11:40 2632940
Хорошо.
+
Подготовьте логи FRST

Najad 08-05-2016 11:49 2632945
Вложений: 3
готово

shestale 08-05-2016 11:57 2632953
Выполните скрипт в Farbar Recovery Scan Tool
Код:
start
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end
+
Почистите кэш и куки в браузерах.

Najad 08-05-2016 12:13 2632956
Вложений: 1
сделано

shestale 08-05-2016 12:15 2632958
Если проблем больше нет, тогда:
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

Najad 08-05-2016 12:28 2632960
SecurityCheck by glax24 & Severnyj v.1.4.0.39 [23.04.16]
WebSite: www.safezone.cc
DateLog: 08.05.2016 12:27:46
Path starting: C:\Users\Администратор\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Администратор
VersionXML: 2.86is-05.05.2016
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 08.09.2014 18:08:57
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
Системный диск: C: ФС: [NTFS] Емкость: [64.1 Гб] Занято: [52.5 Гб] Свободно: [11.6 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17239 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Anti-Virus (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Anti-Virus (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Anti-Virus (включен и обновлен)
Windows Defender (включен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Anti-Virus v.16.0.0.614
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.10 (32-біт) v.5.10.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.22 v.7.22.109 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.2.32891 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 14 ActiveX & Plugin 64-bit v.14.0.0.145 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Shockwave Player + Authorware Web Player v.v12.1.3.153 Внимание! Скачать обновления
Adobe Acrobat Reader DC - Russian v.15.010.20060
------------------------------- [ Browser ] -------------------------------
Yandex v.16.2.0.3539 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.50.0.2661.94
--------------------------- [ RunningProcess ] ----------------------------
C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.47.0.2526.3539
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 16.0.0\avp.exe v.16.0.0.625
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 16.0.0\avpui.exe v.16.0.0.625
---------------------------- [ UnwantedApps ] -----------------------------
ImageCropResize Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Аудио и видео скачивание Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------

shestale 08-05-2016 12:29 2632961
Закрывайте уязвимости
+
Выполните рекомендации после лечения

Najad 08-05-2016 12:46 2632966
спасибо!

shestale 08-05-2016 12:48 2632968
Удачи!


Время: 22:12.

Время: 22:12.
© OSzone.net 2001-