Помогите полечиться !!! - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Помогите полечиться !!! (http://forum.oszone.net/showthread.php?t=320836)

Помогите полечиться !!!

Здравствуйте! Получилась вот такая неприятность- при скачивании торрент-файла качнул какую то бяку. Установились штук 6 программ автоматом,я их вроде вручную удалил, а следы остались В результате реклама прет- Мозилла и Опера сами открываются, домашние страницы постоянно подмениваются. Хотел откатится на раннюю точку восстановления, а их и нет, хотя восстановление включено и точки я периодически вручную создавал. Во попал, помогите полечиться! Логи по правилам прикрепляю!

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 QuarantineFileF('c:\users\олег\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFileF('c:\users\олег\appdata\local\powermonitor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFileF('c:\program files (x86)\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFileF('c:\users\олег\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFile('C:\Users\Олег\AppData\Local\FilterOptions\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\FileSystemOptions\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\TestMenu\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\ImmediateHelp\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\LastNews\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\ValidateLife\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\DateOption\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\rightchose\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\LocalLow\SearchGo\searchgo.dll', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\fupdate\fupdate.exe', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\PowerMonitor\PowerMonitor.exe', '');

 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\FilterStart\FilterStart.exe', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\SearchGo\searchgo.exe', '');

 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);

 ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true);

 ExecuteFile('schtasks.exe', '/delete /TN "Render RunTime Manager" /F', 0, 15000, true);

 ExecuteFile('schtasks.exe', '/delete /TN "Request Render Mgr" /F', 0, 15000, true);

 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);

 DeleteFile('C:\Users\Олег\AppData\Local\FilterOptions\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\FileSystemOptions\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\TestMenu\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\ImmediateHelp\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\LastNews\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\ValidateLife\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\DateOption\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\rightchose\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\LocalLow\SearchGo\searchgo.dll', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\fupdate\fupdate.exe', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\PowerMonitor\PowerMonitor.exe', '32');

 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\FilterStart\FilterStart.exe', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\SearchGo\searchgo.exe', '32');

 DeleteFileMask('c:\users\олег\appdata\local\fupdate', '*', true);

 DeleteFileMask('c:\users\олег\appdata\local\powermonitor', '*', true);

 DeleteFileMask('c:\program files (x86)\screenup', '*', true);

 DeleteFileMask('c:\users\олег\appdata\local\filterstart', '*', true);

 DeleteDirectory('c:\users\олег\appdata\local\fupdate');

 DeleteDirectory('c:\users\олег\appdata\local\powermonitor');

 DeleteDirectory('c:\program files (x86)\screenup');

 DeleteDirectory('c:\users\олег\appdata\local\filterstart');

 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kyianvgexc');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');

ExecuteSysClean;

 ExecuteRepair(3);

 ExecuteWizard('SCU', 2, 3, true);

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

RebootWindows(true);

end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log
из папки

Цитата:

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Спасибо! Скрипт выполнил,отчет отправил по указанной форме. Вот отчет с ClearLNK. AdwCleaner еще сканировал, чуть попозже.

Вот отчет сканирования AdwCleaner! Что то много он там нашел? Какие дальше будут указания?

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Вот еще отчеты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

CreateRestorePoint:

2016-11-10 23:10 - 2016-11-10 23:10 - 00000000 ____D C:\Users\Олег\AppData\Local\Войны престолов

2016-11-10 23:06 - 2016-11-10 23:06 - 00000000 ____D C:\Users\Олег\AppData\Local\Вoйти в Интeрнет

2016-11-10 23:06 - 2016-11-10 23:06 - 00000000 ____D C:\Users\Все пользователи\vCore

2016-11-10 23:06 - 2016-11-10 23:06 - 00000000 ____D C:\ProgramData\vCore

2016-11-10 23:00 - 2016-11-10 23:00 - 00000000 ____D C:\Users\Олег\AppData\Local\Поиcк в Интeрнете

EmptyTemp:

Reboot:

end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите что с проблемой.
Подробнее читайте в этом руководстве.

Вроде жизнь налаживается?! Пока вот сообщения шлю, активности бяк не замечаю! С благодарностью! Что ещё посоветуете? Для закрепления успеха. Кстати антивир MSE у меня стоит, часть бяк он среагировал, но и пропустил не мало. Он у меня лет 8 уже, не замечал за ним такое! Пока писал, не заметил ваше сообщение, сейчас сделаю!

Вот лог-файл. Часа 3-4 полет нормальный. Думаю- решено! Спасибо! Если что, обращусь!!!

Вот опять прошу помощи! Опять открываются рекламные сайты при загрузке Windows и во время работы Mozilla Firefox! Лог-файл прикрепляю.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 QuarantineFile('C:\Users\Олег\AppData\Local\FilterOptions\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\FileSystemOptions\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\TestMenu\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\ImmediateHelp\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\LastNews\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\ValidateLife\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\DateOption\regCheck.vbs', '');

 QuarantineFile('C:\Users\Олег\AppData\Local\rightchose\regCheck.vbs', '');

 DeleteFile('C:\Users\Олег\AppData\Local\FilterOptions\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\FileSystemOptions\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\TestMenu\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\ImmediateHelp\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\LastNews\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\ValidateLife\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\DateOption\regCheck.vbs', '32');

 DeleteFile('C:\Users\Олег\AppData\Local\rightchose\regCheck.vbs', '32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');

ExecuteSysClean;

 ExecuteWizard('SCU', 2, 3, true);

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

RebootWindows(true);

end.

Спасибо! Скрипт выполнил,quarantine.zip отправил, повторно запустил Autologger. Логи прикрепляю.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Вот отчеты от FRST64

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

CreateRestorePoint:

2016-12-26 12:30 - 2016-11-16 05:04 - 00000000 ____D C:\Users\Олег\AppData\Local\ValidateLife

2016-12-26 12:30 - 2016-11-16 05:04 - 00000000 ____D C:\Users\Олег\AppData\Local\TestMenu

2016-12-26 12:30 - 2016-11-16 05:04 - 00000000 ____D C:\Users\Олег\AppData\Local\rightchose

2016-12-26 12:30 - 2016-11-16 05:04 - 00000000 ____D C:\Users\Олег\AppData\Local\LastNews

2016-12-26 12:30 - 2016-11-16 05:04 - 00000000 ____D C:\Users\Олег\AppData\Local\ImmediateHelp

2016-12-26 12:30 - 2016-11-16 05:04 - 00000000 ____D C:\Users\Олег\AppData\Local\FilterOptions

2016-12-26 12:30 - 2016-11-16 05:04 - 00000000 ____D C:\Users\Олег\AppData\Local\FileSystemOptions

2016-12-26 12:30 - 2016-11-16 05:04 - 00000000 ____D C:\Users\Олег\AppData\Local\DateOption

Task: {9AC55AA5-75F2-4073-B649-48A68FE4D4BE} - System32\Tasks\Microsoft\Windows\Media Center\VCore => C:\ProgramData\vCore\VCore.exe <==== ATTENTION

Reboot:

end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

Пока полет нормальный, вкладки не открываются! Спасибо! Вот лог-файл.

В завершение:
1. Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Вот что получилось

--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.17 v.7.17.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42973 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 23 ActiveX v.23.0.0.185 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Прочтите и выполните Рекомендации после лечения.

Создал точку восстановления,удалил предыдущие, почистил системный диск,обновил указанные программы, только не нашел как отключить(удалить)Skype Click to Call v.8.5.0.9167. Спасибо за рекомендации!

Цитата:

Цитата kul

не нашел как отключить(удалить)Skype Click to Call »

Должен быть в перечне - Панель управления - Удаление программ.

В перечне программ нет Skype Click to Call v.8.5.0.9167, есть только Skype 7.30?! Это ведь панель скайпа в браузере- искал в браузерах- ничего похожего не нашел?

Не страшно, можно и оставить))

Удалил программой Unіnstall Tool и то, не саму программу Skype Click to Call v.8.5.0.9167 она в списках была, но по факту уже удалена, только следы в реестре остались, удалил принудительно остатки и все! Так для информации, а в логах фигурировала как установленная.