помогите в риестре засел PUP.Adware.Heuristic - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - помогите в риестре засел PUP.Adware.Heuristic (http://forum.oszone.net/showthread.php?t=341053)

помогите в риестре засел PUP.Adware.Heuristic

Перепробовал все возможные утилиты, на рабочем столе после перезагрузки появляться ярлыки сайтов, удалил ненужное ПО, в планировщике задач ничего на запуск нету, в автозапуске тоже нет ничего.
Вычищал в ручную все что выдала AdwCleaner 7.3

логи выложенны

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

 ExecuteRepair(13);

RebootWindows(false);

end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

отчеты FRST.txt, Addition.txt, AdwCleaner[S03].txt

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION CHR HKU\S-1-5-21-2168521642-1225178387-2625176334-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION BHO: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File 2019-06-25 23:32 - 2019-06-25 23:41 - 000000000 ____D C:\Users\Все пользователи\Spybot - Search & Destroy 2019-06-25 23:32 - 2019-06-25 23:41 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy 2019-06-25 23:32 - 2019-06-25 23:32 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking 2019-06-25 23:31 - 2019-06-25 23:42 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2 EmptyTemp: Reboot: End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

сделал

как найти место запуска файла который пишет в реестре?
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\87340093A5E0E42F43C382BFF91E5D10

Покажите свежий лог сканирования AdwCleaner (символ S).

AdwCleaner[S05].txt -перед удаление
AdwCleaner[S06].txt после перезагрузки

Скачайте Malwarebytes' Anti-Malware. Установите и запустите.
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

провел сканирование scan выложенный, ничего в карантин не отпровлял

программа SpyHunter 5 стоит пробовать ей сканировать и удалять?

Ни в коем случае! Это "страшилка" от которой получите дополнительные проблемы.

Найденное в MBAM удалять не нужно.

Suspicious - подозрительный
PUP.Optional.MailRu - так он реагирует на поисковую систему mail.ru в браузере.

Детект в AdwCleaner - тоже скорее всего ложное срабатывание.

Suspicious в карантин не добавлять?

тогда понаблюдаю несколько дней, если посмотрю появятся на рабочем столе ярлыки сайтов

Цитата:

Цитата RicoDic

Suspicious в карантин не добавлять? »

Нет.

Проделайте следующее:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Excel 2007 Help Обновление (KB963678) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Powerpoint 2007 Help Обновление (KB963669) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Outlook 2007 Help Обновление (KB963677) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Word 2007 Help Обновление (KB963665) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Proof (German) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (English) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (Russian) 2007 v.12.0.4616.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (Ukrainian) 2007 v.12.0.4616.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Proofing (Russian) 2007 v.12.0.4616.1000 Данная программа больше не поддерживается разработчиком.
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.70 (32-bit) v.5.70.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45271 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
---------------------------- [ UnwantedApps ] -----------------------------
AdBlocker v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Читайте Рекомендации после лечения.

большое спасибо за оказанную помощь

к сожаление рано радовался, на рабочем столе опять появились ярлыки

Найденное в AdwCleaner можно очистить.

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

Цитата:

Цитата Sandor

Контроль учётных записей пользователя отключен »

Надеюсь, включили?

Цитата:

Цитата Sandor

Надеюсь, включили? »

поставил самый высший приоритет
выложил

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.1.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- bl 968F94D8C57F83EC77C472BD030FEC37 373529 zoo %SystemDrive%\PROGRAMDATA\ADOBE\SLSTORE\5797F5E82CF75.EXE delall %SystemDrive%\PROGRAMDATA\ADOBE\SLSTORE\5797F5E82CF75.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\MSI AFTERBURNER\REDIST\ATIPDLXX.EXE delall %SystemDrive%\PROGRAM FILES (X86)\MSI AFTERBURNER\REDIST\ATIPDLXX.EXE zoo %SystemDrive%\PROGRAMDATA\SOLIDSHIELD\LICENSES\CEF40017782F44192E8115E0D822EEA1.EXE delall %SystemDrive%\PROGRAMDATA\SOLIDSHIELD\LICENSES\CEF40017782F44192E8115E0D822EEA1.EXE delref %SystemDrive%\USERS\KOT\APPDATA\ROAMING\KALYPSO MEDIA\DUNGEONS 3\CONFIG-CLOUD.EXE zoo %SystemDrive%\USERS\KOT\APPDATA\LOCAL\APPCENTER\DOWNLOADS\DWNOLWNHDGFSB2CTDG8TYWNJN.EXE delall %SystemDrive%\USERS\KOT\APPDATA\LOCAL\APPCENTER\DOWNLOADS\DWNOLWNHDGFSB2CTDG8TYWNJN.EXE bl 751925474DD193189197F55D6A105358 373799 zoo %SystemDrive%\PROGRAMDATA\FAFOREVER\BIN\INIT_FAFBETA.EXE delall %SystemDrive%\PROGRAMDATA\FAFOREVER\BIN\INIT_FAFBETA.EXE deltsk %SystemDrive%\PROGRAM FILES (X86)\MSI AFTERBURNER\PROFILES\MSIAFTERBURNER.EXE deltsk %SystemDrive%\PROGRAMDATA\GOG.COM\GALAXY\DOWNLOADS\SELFUPDATE.EXE delref I:\SETUP.EXE zoo %SystemDrive%\PROGRAMDATA\SKYPE\{FC965A47-4839-40CA-B618-18F486F042C6}\SKYPETOOLBARS.EXE delall %SystemDrive%\PROGRAMDATA\SKYPE\{FC965A47-4839-40CA-B618-18F486F042C6}\SKYPETOOLBARS.EXE bl 2016E80B9CEAE85072E6735EE5009BD1 309633 zoo %SystemDrive%\USERS\KOT\APPDATA\ROAMING\SKYPE\LIVE#3AA6E697D4E249BA84\HTTPFE\STATISTICS delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\SKYPE\LIVE#3AA6E697D4E249BA84\HTTPFE\STATISTICS zoo %SystemDrive%\USERS\KOT\APPDATA\ROAMING\SKYPE\LIVE#3ALABRAI\STATISTICS.EXE delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\SKYPE\LIVE#3ALABRAI\STATISTICS.EXE delref I:\INSTALL\UNINST.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\WINDOWS NT\ACCESSORIES\EN-US\WORDPADFILTER.EXE delall %SystemDrive%\PROGRAM FILES (X86)\WINDOWS NT\ACCESSORIES\EN-US\WORDPADFILTER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\USERS\KOT\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL\7.5.0.9082_0\SKYPE CLICK TO CALL delref %SystemDrive%\USERS\KOT\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\BPGANGMFFJCOFIKNIBCMFJIONICOHFGJ\4.0.5_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU apply deltmp regt 27 czoo restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

дошли ZOO_2019-06-27_21-25-24.7z?
RicoDic, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2019.06.27_ZOO_2019-06-27_21-25-24_287a638b5b9567f90ccad912e17c5469.7z

Понаблюдайте за проблемой и сообщите.

хорошо понаблюдаю пару дней