Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   помогите чайнику.. (http://forum.oszone.net/showthread.php?t=309649)

wap173 26-12-2015 23:36 2588673
помогите чайнику..
 
добрый день уважаемые программисты!
столкнулся с такой проблемой, после перезагрузки компа или выключения (без разницы) появляется вот такой значок как у пазла программа адгуард
у меня стоит и адгуард и аблок, аблок всё в порядке а вот адгуард всегда пропадает и появляется после перезагрузки значок как у пазла.
браузер стоит яндекс, а до этого был гугол, но там такая же история.
Скрытый текст

только сильно не пинайте :sorry: вроде посмотрел тем таких не нашёл, и если не в том разделе создал тему, пусть уважаемый модератор перенесёт, за ранее спасибо.

iskander-k 27-12-2015 10:41 2588721
Нужны логи.http://forum.oszone.net/thread-98169.html

wap173 27-12-2015 19:21 2588823
вот вроде всё сделал правильно

Sandor 28-12-2015 11:28 2589026
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\царь\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\F072629F-2C82-46C6-99BC-694824D396F0.exe','');
 QuarantineFile('C:\Users\царь\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\15B92C3B-1414-4332-84A7-D70DE04B75B8\09BD6071-C7A8-4FAC-AFEC-E23C4BDABBB4.exe','');
 QuarantineFileF('C:\ProgramData\KRB Updater Utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '');
 DeleteFile('C:\Program Files (x86)\Common Files\15B92C3B-1414-4332-84A7-D70DE04B75B8\09BD6071-C7A8-4FAC-AFEC-E23C4BDABBB4.exe','32');
 DeleteFile('C:\Users\царь\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Users\царь\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\F072629F-2C82-46C6-99BC-694824D396F0.exe','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "extsetuponce" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "09BD6071-C7A8-4FAC-AFEC-E23C4BDABBB4" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "377B57AA-7687-4F89-B5BE-CC2624979E7B" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "A09BD6071-C7A8-4FAC-AFEC-E23C4BDABBB4" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "A377B57AA-7687-4F89-B5BE-CC2624979E7B" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\KRB Updater Utility', '*', true);
 DeleteDirectory('C:\ProgramData\KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

wap173 30-12-2015 21:52 2589949
Вложений: 1
всё делал как писали, но комп не презгружется, просто показывает где сохранилась вся инфа по сканированию, ативируса нет, я его не ставлю уже года2(хлам). брандмауэр отключил. все проги кроме узби модема( интернет)

Sandor 31-12-2015 16:09 2590176
wap173, нужен отчет AdwCleaner
Цитата:
Цитата Sandor
отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt »

wap173 31-12-2015 22:21 2590218
Вложений: 1
вот

Sandor 01-01-2016 13:06 2590287
1. Утилита обновилась, скачайте актуальную версию 5.027
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

wap173 01-01-2016 17:00 2590355
Вложений: 2
здравствуйте уважаемый @Sandor . обновил прогу версии 5.027 вот отчёт, одно странно кроме этого больше нет нечего 2 текстовых документа

wap173 01-01-2016 17:14 2590359
Вложений: 3
вот сканирование прогой Farbar Recovery Scan Tool

regist 01-01-2016 20:45 2590402
Цитата:
Цитата wap173
обновил прогу версии 5.027 »
ещё раз просканируйте и свежий лог прикрепите.

1) Проверьте эти файлы на virustotal
Код:
C:\Users\царь\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\F072629F-2C82-46C6-99BC-694824D396F0.exe
C:\Program Files (x86)\Common Files\15B92C3B-1414-4332-84A7-D70DE04B75B8\09BD6071-C7A8-4FAC-AFEC-E23C4BDABBB4.exe
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.


2)
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Включить отладочный режим
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
А также прикрепите отчёт C:\AdwCleaner\AdwCleaner_dbg_xxxxxx.log


3) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
CHR Extension: (Smart Browser™) - C:\Users\царь\AppData\Local\Google\Chrome\User Data\Default\Extensions\emalgedpdlghbkikiaeocoblajamonoh [2015-11-27]
CHR Extension: (Smart Browser™) - C:\Users\царь\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgfbffkinooeloadekpmfoklnobpien [2015-12-07]
CHR Extension: (Smart Browser™) - C:\Users\царь\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2015-12-13]
OPR Extension: (Smart Browser™) - C:\Users\царь\AppData\Roaming\Opera Software\Opera Stable\Extensions\emalgedpdlghbkikiaeocoblajamonoh [2015-11-27]
OPR Extension: (Smart Browser™) - C:\Users\царь\AppData\Roaming\Opera Software\Opera Stable\Extensions\iblenkmcolcdonmlfknbpbgjebabcoae [2015-11-22]
OPR Extension: (Smart Browser™) - C:\Users\царь\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-11-20]
OPR Extension: (Smart Browser™) - C:\Users\царь\AppData\Roaming\Opera Software\Opera Stable\Extensions\ldgfbffkinooeloadekpmfoklnobpien [2015-12-07]
OPR Extension: (Smart Browser™) - C:\Users\царь\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2015-12-13]
2016-01-01 16:46 - 2016-01-01 16:46 - 00000000 _____ C:\Users\царь\AppData\Roaming\smw_inst
2016-01-01 16:46 - 2016-01-01 16:46 - 0000000 _____ () C:\Users\царь\AppData\Roaming\smw_inst
Task: {8BAB248D-8088-4436-8B35-BD007CF6522A} - System32\Tasks\Microsoft\SafeBrowser => C:\Users\царь\AppData\Local\Microsoft\Extensions\extsetup.exe [2015-11-26] ()
Task: {8D459F9A-B5EF-4693-814F-7B7BCA54FB09} - System32\Tasks\cFos\Registration Tasks\Open Browser => Chrome.exe --new-window "hxxp://www.cfos.de/ru/cfosspeed/cfosspeed-feature-highlights.htm?sw-10.10.2238&amp;days=29&amp;ret=0&amp;raw=13&amp;exp=102"
Task: {8DB43140-E184-43DC-AF02-C747C7E4AE32} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Task: {F2F67576-7986-4F6F-8D11-C9857430D1EE} - System32\Tasks\Driver Booster SkipUAC (царь) => C:\Users\царь\торенты\IObit Driver Booster Pro 3.0.3.275 Final Portable by punsh\App\DriverBooster\DriverBooster.exe
Task: {F74ECABE-CD3E-4202-B00E-EB654C16CF4B} - System32\Tasks\{AC0CED5F-1B57-4716-82B7-39B461666934} => pcalua.exe -a "C:\Users\царь\Downloads\adguardInstaller (1).exe" -d C:\Users\царь\Downloads

EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

wap173 02-01-2016 13:33 2590502
вот, что я мог сделать
virustotal https://www.virustotal.com/ru/file/0...is/1451725049/
сделал как вы писали создал блокнот через пуск. стандарт.блкнот. скопировал ваш код
Цитата:
Цитата regist
start
CreateRestorePoint:
CHR Extension: (Smart Browser™) - C:\Users\царь\AppData\Local\Google\Chrome\User Data\Default\Extensions\emalgedpdlghbkikiaeocoblajamonoh [2015-11-27]
CHR Extension: (Smart Browser™) - C:\Users\царь\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgfbffkinooeloadekpmfoklnobpien [2015-12-07]
CHR Extension: (Smart Browser™) - C:\Users\царь\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2015-12-13]
OPR Extension: (Smart Browser™) - C:\Users\царь\AppData\Roaming\Opera Software\Opera Stable\Extensions\emalgedpdlghbkikiaeocoblajamonoh [2015-11-27]
OPR Extension: (Smart Browser™) - C:\Users\царь\AppData\Roaming\Opera Software\Opera Stable\Extensions\iblenkmcolcdonmlfknbpbgjebabcoae [2015-11-22]
OPR Extension: (Smart Browser™) - C:\Users\царь\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-11-20]
OPR Extension: (Smart Browser™) - C:\Users\царь\AppData\Roaming\Opera Software\Opera Stable\Extensions\ldgfbffkinooeloadekpmfoklnobpien [2015-12-07]
OPR Extension: (Smart Browser™) - C:\Users\царь\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2015-12-13]
2016-01-01 16:46 - 2016-01-01 16:46 - 00000000 _____ C:\Users\царь\AppData\Roaming\smw_inst
2016-01-01 16:46 - 2016-01-01 16:46 - 0000000 _____ () C:\Users\царь\AppData\Roaming\smw_inst
Task: {8BAB248D-8088-4436-8B35-BD007CF6522A} - System32\Tasks\Microsoft\SafeBrowser => C:\Users\царь\AppData\Local\Microsoft\Extensions\extsetup.exe [2015-11-26] ()
Task: {8D459F9A-B5EF-4693-814F-7B7BCA54FB09} - System32\Tasks\cFos\Registration Tasks\Open Browser => Chrome.exe --new-window "hxxp://www.cfos.de/ru/cfosspeed/cfosspeed-feature-highlights.htm?sw-10.10.2238&amp;days=29&amp;ret=0&amp;raw=13&amp;exp=102"
Task: {8DB43140-E184-43DC-AF02-C747C7E4AE32} - \Обновление Браузера Яндекс -> No File <==== ATTENTION
Task: {F2F67576-7986-4F6F-8D11-C9857430D1EE} - System32\Tasks\Driver Booster SkipUAC (царь) => C:\Users\царь\торенты\IObit Driver Booster Pro 3.0.3.275 Final Portable by punsh\App\DriverBooster\DriverBooster.exe
Task: {F74ECABE-CD3E-4202-B00E-EB654C16CF4B} - System32\Tasks\{AC0CED5F-1B57-4716-82B7-39B461666934} => pcalua.exe -a "C:\Users\царь\Downloads\adguardInstaller (1).exe" -d C:\Users\царь\Downloads
EmptyTemp:
Reboot:
end »
переименовал его
Цитата:
Цитата regist
и сохраните как fixlist.txt »
и сохронял в юникод, и сохранил его в диске С. FRST

при запуске Farbar Recovery Scan Tool и нажатие Fix выдаёт вот такое сообщение
при сканирование AdwCleaner (by Xplode)
Цитата:
Цитата regist
Включить отладочный режим »
C:\AdwCleaner\AdwCleaner[C1].txt. его просто нет

Sandor 02-01-2016 14:47 2590522
Цитата:
Цитата wap173
и сохранил его в диске С. FRST »
Файл fixlist.txt нужно расположить рядом с исполняемым файлом frst.exe

Цитата:
Цитата wap173
AdwCleaner[C1].txt. его просто нет »
Прикрепите оба С6 и С7, а также dbg_122510

wap173 03-01-2016 00:31 2590644
Вложений: 1
извиняюсь, оказалось так просто, я только потом допёр что вы имеете ввиду ехе сори за тупость.
вот отчёт FRST
и остальные как вы просили

regist 03-01-2016 12:15 2590714
Цитата:
Цитата wap173
вот, что я мог сделать
virustotal https://www.virustotal.com/ru/file/0...is/1451725049/ »
это ссылка только на один файл, а я просил два файла проверить.

+ Сделайте и прикрепите свежие логи FRST.

wap173 03-01-2016 12:42 2590722
добрый день.
Цитата:
Цитата regist
это ссылка только на один файл, а я просил два файла проверить. »
Скрытый текст

regist 04-01-2016 13:47 2591031
1) Пустую папку удалите.

2) Вы прикрепили Fixlog.txt, а я просил
Цитата:
Цитата regist
Сделайте и прикрепите свежие логи FRST. »
Как их сделать см. 2-ю часть в сообщение тут.

wap173 04-01-2016 18:42 2591126
извините ступил :sorry: , пустую папку удалил
вот свежие логи

regist 06-01-2016 19:45 2591859
1)
Код:
Кнопка "Яндекс" на панели задач (HKU\S-1-5-21-3856105161-613545088-1402832437-1000\...\YaPinLancher) (Version: 2.0.0.2116 - Яндекс)
Менеджер браузеров (HKU\S-1-5-21-3856105161-613545088-1402832437-1000\...\{12f34aee-538c-44d5-b33a-12213b7e0197}) (Version: 2.1.2.577 - Яндекс)
Менеджер браузеров (x32 Version: 2.1.2.577 - Яндекс) Hidden
Удалить MultiPack (HKLM-x32\...\{1EAC1D02-C6AC-4FA6-9A44-96258C37C812MP}_is1) (Version: 0.9.13 - Copyright (C) PROTanki)
Элементы Яндекса 8.9 для Internet Explorer (HKLM-x32\...\{F5E5A5C8-479C-4D19-B5D8-175ADB1C80B9}) (Version: 8.9.1.5100 - Яндекс)
Если не используете, то деинсталируйте.

2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Task: {271B59C1-FC15-4469-BE72-36FF0F822568} - System32\Tasks\Microsoft\Windows\A09BD6071-C7A8-4FAC-AFEC-E23C4BDABBB4 => C:\Program Files (x86)\Common Files\15B92C3B-1414-4332-84A7-D70DE04B75B8\09BD6071-C7A8-4FAC-AFEC-E23C4BDABBB4.exe
Task: {31F5F409-619B-45C0-9484-604313D084C5} - System32\Tasks\Driver Booster Scheduler => C:\Users\царь\торенты\IObit Driver Booster Pro 3.0.3.275 Final Portable by punsh\App\DriverBooster\Scheduler.exe
Task: {37B4C537-8E2F-435D-8C4D-15C88D3B536E} - System32\Tasks\Microsoft\Windows\377B57AA-7687-4F89-B5BE-CC2624979E7B => C:\Users\царь\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\F072629F-2C82-46C6-99BC-694824D396F0.exe [2015-11-08] () <==== ATTENTION
Task: {821154AC-227A-4BF2-9E72-51AACB60B441} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Task: {9EA53B27-11D6-4E2C-A813-69D322AC1CA7} - System32\Tasks\Microsoft\Windows\A377B57AA-7687-4F89-B5BE-CC2624979E7B => C:\Users\царь\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\F072629F-2C82-46C6-99BC-694824D396F0.exe [2015-11-08] ()
Task: {C3407DB9-173D-4A7D-BCF3-4DB0B4922139} - System32\Tasks\Microsoft\Windows\SafeBrowser => C:\Users\царь\AppData\Local\Microsoft\Extensions\extsetup.exe [2015-11-26] ()
Task: {C735D13F-FBF7-4EC0-ADDC-6F0C78DBF6DF} - System32\Tasks\Microsoft\extsetup => C:\Users\царь\AppData\Local\Microsoft\Extensions\extsetup.exe [2015-11-26] ()
Task: {CF4D23C8-1DAE-45AA-8CAC-CACAD7A6750A} - System32\Tasks\Microsoft\Windows\09BD6071-C7A8-4FAC-AFEC-E23C4BDABBB4 => C:\Program Files (x86)\Common Files\15B92C3B-1414-4332-84A7-D70DE04B75B8\09BD6071-C7A8-4FAC-AFEC-E23C4BDABBB4.exe <==== ATTENTION
Task: {FA32C303-5011-49F8-84DD-9E1DC959B8E6} - System32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
HKLM\...\Policies\Explorer\Run: [377B57AA-7687-4F89-B5BE-CC2624979E7B] => C:\Users\царь\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\F072629F-2C82-46C6-99BC-694824D396F0.exe [262957 2015-11-08] ()
HKLM\...\Policies\Explorer\Run: [AppDownloads] => C:\Program Files (x86)\Common Files\15B92C3B-1414-4332-84A7-D70DE04B75B8\09BD6071-C7A8-4FAC-AFEC-E23C4BDABBB4.exe
HKLM\...\Policies\Explorer\Run: [SafeBrowser] => C:\Users\царь\AppData\Local\Microsoft\Extensions\extsetup.exe [379525 2015-11-26] ()
HKU\S-1-5-21-3856105161-613545088-1402832437-1000\...\MountPoints2: {04c8aea6-8a24-11e5-b75a-d0509901274c} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-3856105161-613545088-1402832437-1000\...\MountPoints2: {24a24ece-6924-11e5-a5b2-d0509901274c} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-3856105161-613545088-1402832437-1000\...\MountPoints2: {24a24edb-6924-11e5-a5b2-d0509901274c} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-3856105161-613545088-1402832437-1000\...\MountPoints2: {65ffebda-887d-11e5-bfc9-364b50b7efda} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-3856105161-613545088-1402832437-1000\...\MountPoints2: {65ffebe8-887d-11e5-bfc9-364b50b7efda} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-3856105161-613545088-1402832437-1000\...\MountPoints2: {65ffec05-887d-11e5-bfc9-364b50b7efda} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-3856105161-613545088-1402832437-1000\...\MountPoints2: {65ffec12-887d-11e5-bfc9-364b50b7efda} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-3856105161-613545088-1402832437-1000\...\MountPoints2: {c57a6e1d-8789-11e5-99fa-364b50b7efda} - F:\AutoRun.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

3) Что с проблемой?

wap173 06-01-2016 20:33 2591865
Здравствуйте.
Цитата:
Цитата regist
3) Что с проблемой? »
Скрытый текст

Цитата:
Цитата regist
Программа создаст лог-файл (Fixlog.txt). »

Sandor 07-01-2016 00:19 2591925
Поясните, пожалуйста, словами.

wap173 07-01-2016 03:58 2591953
Цитата:
Цитата Sandor
Поясните, пожалуйста, словами. »
да всё тоже самое, удалю адгуард, установлю заново всё работает как часики, но стоит перезагрузить пк, и появляется в браузере значок пазла в место адгуара, также с ним идёт и транслейт(переводчик), тоже пазл появляется, надо удалять и заново устанавливать и так каждый раз после перезагрузки или выключения.

вот так выглядит ярлык адгуарда после перезагрузки

regist 07-01-2016 16:16 2592064
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.

wap173 07-01-2016 17:00 2592080
здавствуйте.
Цитата:
Цитата regist
Дождитесь окончания работы программы и прикрепите лог к посту в теме. »

regist 07-01-2016 19:50 2592164
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.86.9 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    dirzooex %SystemDrive%\USERS\ЦАРЬ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS
    zoo %SystemDrive%\USERS\ЦАРЬ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
    bl 9FF1325C9EC546912E18A54AD2B96F47 379525
    delall %SystemDrive%\USERS\ЦАРЬ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

wap173 07-01-2016 21:19 2592215
Цитата:
Цитата regist
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. »
щас всё заработало, я даже не знаю что он там удалил, но 2 раза перезагружал и 1 выключал.
вот
спасибо вам за поддержку вашу, дорогие программисты с праздником вас :up :yahoo:
не знаю как тут поблагодарить вас уважаемые, какую кнопку жать?

regist 09-01-2016 11:50 2592683
Для контроля свежий лог UVS сделайте, чтобы убедиться что чисто.

+ карантин вы отослали?

wap173 09-01-2016 13:46 2592730
Вложений: 1
вот свежий лог
Цитата:
Цитата regist
Код:
;uVS v3.86.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
dirzooex %SystemDrive%\USERS\ЦАРЬ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS
zoo %SystemDrive%\USERS\ЦАРЬ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
bl 9FF1325C9EC546912E18A54AD2B96F47 379525
delall %SystemDrive%\USERS\ЦАРЬ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
czoo
restart »
теперь там этого нет всё чисто

regist 09-01-2016 21:33 2592918
Код:
C:\USERS\ЦАРЬ\ТОРЕНТЫ\CCLEANER 5.12.5431 BUSINESS_PROFESSIONAL_TECHNICIAN EDITION REPACK (& PORTABLE) BY D!AKOV (10.12.2015)\CCLEANER-5.12.54.31.EXE
вы в курсе, что эти сборки и есть источник заразы и часто причина обращения юзеров в раздел лечения? Вот тут подробней писалось hi.ru архив софта с троянами

да и этот файл если вы проверите на вирустотал то https://www.virustotal.com/ru/file/5...62cc/analysis/
Показатель выявления: 19 / 54
В том числе
DrWeb Trojan.StartPage1.23046 20151220
Kaspersky Trojan-PSW.Win32.Tepfer.psxdah 20151220

Так что сборки от Дьяка и Кролика рекомендую никогда не использовать. А этот файл удалите самостоятельно.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.


Время: 20:26.

Время: 20:26.
© OSzone.net 2001-