[решено] Нечаянно заразили ноутбук

polonin · Отправлено: **09:15, 21-07-2015** | #11

CiPlus-4.5vV15.07 с подвохом, удалить его не возможно, при нажатии кнопки "заменить/удалить" из "Программы и компоненты", появляется окошко, изображенное в скриншоте, во вложении. При нажатии Uninstal and Get Reimage, хочет начать устанавливаться этот Reimage, с кучей дополнительного софта. При этом удалятся, как мне кажется CiPlus не собирается. Поэтому я завершил процесс мастера установки ReImage диспетчером задач.

Sandor · Отправлено: **12:09, 21-07-2015** | #12

Сделайте свежие логи FRST.

polonin · Отправлено: **14:50, 21-07-2015** | #13

Вот логи.

Sandor · Отправлено: **15:00, 21-07-2015** | #14

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

> Chrome Search

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start
CreateRestorePoint:
HKU\S-1-5-21-4012294300-4027059767-199037639-1000\...\Run: [GoogleChromeAutoLaunch_C90B26FAA55FA844B56F7200885075D6] => "C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window
S2 zejytose; C:\Program Files\6E734DA6-1436955438-C44E-A633-D89D67D2A8A8\jnswFC0F.tmp [X]
2015-07-15 15:17 - 2015-07-20 15:56 - 00000000 ____D C:\Program Files\6E734DA6-1436955438-C44E-A633-D89D67D2A8A8
2015-04-19 17:20 - 2015-04-19 17:20 - 0005872 _____ () C:\Users\Галина\AppData\Roaming\nhzf6XDQ
2015-04-20 19:05 - 2015-04-20 19:05 - 1579520 _____ () C:\Users\Галина\AppData\Roaming\nhzf6XDQ.exe
2015-04-19 17:20 - 2015-04-19 17:20 - 0005872 _____ () C:\Users\Галина\AppData\Roaming\rVoYOrMvsMMqS0k
2015-04-20 19:05 - 2015-04-20 19:05 - 1579520 _____ () C:\Users\Галина\AppData\Roaming\rVoYOrMvsMMqS0k.exe
C:\Program Files\Crossbrowse
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

polonin · Отправлено: **16:04, 21-07-2015** | #15

Вот лог.

Sandor · Отправлено: **16:12, 21-07-2015** | #16

Что с проблемой?

polonin · Отправлено: **09:41, 22-07-2015** | #17

1. Был ярлык SpaceSoundPro на рабочем столе. Я нашел эту программу в списке установленных программ, удалил стандартным способом. При удалении деинсталятор ругнулся что на самом деле этой программы уже нет, но ярлык с этого момента пропал.

2. Опера осталась, и в принципе я согласен что бы она осталась, так как Гугл Хром после заражения не работает.

3. CiPlus, как я уже писал выше, не могу удалить, но я его расширение отключил в Опере и установил АдБлок.

4. > Chrome Search удалил.

Больше никаких проблем нет. Реклама больше не беспокоит, стартовая страница во всех браузерах не ведет на рекламный сайт. В Опере запускается google.ru, в IE уже не помню какая страница, вроде просто пустая вкладка, но рекламы точно нет. Самопроизвольно различные программы перестали устанавливаться.

Если CiPlus не опасная программа и сама по себе не будет устанавливать разные программы, то больше ничего не требуется. Лечением доволен. Спасибо.

Sandor · Отправлено: **11:17, 22-07-2015** | #18

Сделайте форсированное удаление через Uninstall Tool.

Цитата polonin:

Гугл Хром после заражения не работает »

Так же удалите с зачисткой, скачайте и установите заново.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

polonin · Отправлено: **11:41, 22-07-2015** | #19

Большое спасибо Sandor. Тему можно закрыть.

Sandor · Отправлено: **11:47, 22-07-2015** | #20

Рекомендации после лечения.