[Sandor]

Здравствуйте!

Цитата Rommel:

Или все же логи нужны? »

Да, нужны.

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

[Rommel]

Прикрепил

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата:

Avast Update Helper

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', '');
 DeleteFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', '');
 DeleteFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', '64');
 DeleteService('cpuz150');
 DeleteService('cpuz152');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis:

Код:

O4 - HKCU\..\StartupApproved\Run: [Orbitum Update] = C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /c (2019/06/22) (sign: 'Bergarius Limited')
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe    ->    (PE EXE) (2023/04/20) (not signed - no company - D689468061FA582303F69DE347F55D5B7C64ED05)
O22 - Tasks: OrbitumUpdateTaskUserS-1-5-21-2436307246-769056543-2871907544-1001Core - C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /c (sign: 'Bergarius Limited')
O22 - Tasks: OrbitumUpdateTaskUserS-1-5-21-2436307246-769056543-2871907544-1001UA - C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /ua /installsource scheduler (sign: 'Bergarius Limited')
O22 - Tasks_Migrated: Adobe Flash Player NPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_270_Plugin.exe -check plugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_255_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Avast Secure Browser Heartbeat Task (Hourly) - C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --hourly (file missing)
O22 - Tasks_Migrated: Avast Secure Browser Heartbeat Task (Logon) - C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --logon (file missing)
O22 - Tasks_Migrated: AvastUpdateTaskMachineCore - C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /c (file missing)
O22 - Tasks_Migrated: AvastUpdateTaskMachineUA - C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /ua /installsource scheduler (file missing)

Перезагрузите компьютер вручную.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[Rommel]

Sandor, начал делать все по порядку. Ну, во-первых у меня нет Avast Update Helper. Ни через удаление программ, ни через Uninstall Tool не показывает мне ничего. Пробовал поиском найти
Далее, второй шаг сделал, комп ребутнулся. Дефендер был отключен. Дальше, пишу скрипт, выдает ошибку:

Код:

Удаление файла: C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\quarantine.7z
>>>Для удаления файла C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\quarantine.7z необходима перезагрузка
Запуск приложения C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\7za.exe a -mx9 -pmalware quarantine .\Quarantine\*

Ну я перезагрузился, повторил уже с выключенным дефендером (он после перезагрузки включается) - опять ошибка и создает пустой архив 1Кб quarantine.7z
Ну и так как он пустой - ничего не прикладываю.

Далее, начинаю фиксить в ХайДжек - у меня нет строчки

Код:

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe    ->    (PE EXE) (2023/04/20) (not signed - no company - D689468061FA582303F69DE347F55D5B7C64ED05)

Внимательно смотрел, даже поиском искал - ничего. Все остальные пофиксил
Сканирование провел, файлы прикрепил

[Sandor]

Цитата Rommel:

у меня нет Avast Update Helper »

Он был скрыт. Сейчас исправим.

Цитата Rommel:

создает пустой архив 1Кб »

Значит в карантин ничего не попало.

Цитата Rommel:

у меня нет строчки »

Не страшно.


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  S3 block_reader; \??\D:\MPR Portable\block_reader.sys [X]
  Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1579.3 - AVAST Software) Hidden
  Avast Update Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.8.1065.0 - AVAST Software) Hidden
  aescripts + aeplugins desktop apps (HKLM-x32\...\{9b619644-1c34-43b7-8661-9fb174698bbd}) (Version: 1.9.80.0 - aescripts + aeplugins) Hidden
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [290]
  FirewallRules: [UDP Query User{91977AFE-794E-4107-8192-D8DD3C2EE86F}E:\qip\qip.exe] => (Allow) E:\qip\qip.exe => Нет файла
  FirewallRules: [TCP Query User{3C56EC8E-FF5B-4EA6-BF97-41EEAD56A79F}E:\qip\qip.exe] => (Allow) E:\qip\qip.exe => Нет файла
  FirewallRules: [{A23D1376-7774-4AA7-BCF0-A9FE502A616D}] => (Allow) LPort=8319
  FirewallRules: [{763ECC44-A45B-465E-BC4A-4C569C97B192}] => (Allow) LPort=5222
  FirewallRules: [{0D66A7D7-6A33-42E3-A32D-F1D320002C60}] => (Allow) LPort=1688
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В перечне установленных программ появятся ранее скрытые

Цитата:

Avast Update Helper aescripts + aeplugins desktop apps

Удалите.

[Rommel]

Сделано.

Цитата Sandor:

Avast Update Helper aescripts + aeplugins desktop apps »

Это удалил. Но пока что проблема до сих пор осталась, если что

[Sandor]

Проблема в том, что во всех браузерах есть не удаляемые расширения - верно?

Пробуйте сбросить настройки браузеров. Если не получится, покажите ещё раз скриншотом.

[Rommel]

Цитата Sandor:

Проблема в том, что во всех браузерах есть не удаляемые расширения - верно? Пробуйте сбросить настройки браузеров. Если не получится, покажите ещё раз скриншотом. ------- »

а я не знаю, как увидеть, есть ли неудаляемое в данном браузере или нет. Все, что я вижу - можно отключить/удалить. Проблема в том, что может я их не вижу - другое дело. Да и поможет ли сброс настроек, если Хром я переустанавливал? А расширения я ставлю только на него, так другие браузеры мне нужны для разовых действий. И да, я когда выполнял ваши манипуляции, видел названия браузеров, которых у меня уже нет. На данный момент у менятолько Хром, Edge, Cent, Yandex и Comodo. Но что самое интересное SaveFromNet'овская кнопка Скачать на ютубе есть в каждом браузере, собственно и эта реклама. Но я точно не стал бы заморачиваться установкой плагина для каждого браузера.
Перед тем как обратиться за помощью, я через виндопоиск нашел экзешник SaveFromNet. Что-то припоминаю, вроде когда-то хром прикрыл лавочку и они выпустили программу. Но это было давно. Так вот, этот экзешник я удалил через shift+del (наверное, зря), так как в установке и удалении программ он не отображался. Ну я через поиск нашел, ткнул на расположение файла - меня и привело туда. Еще удивило, что был только один .ехе, больше никаких файлов. Может это не расширение в браузере, а программа (точнее, ее следы) голову дурят? Но как ее найти, если поиск теперь ничего не дает?

[Rommel]

Зашел на сайт СФН (сейв фром нет) - и что-то не могу найти установщик программы - только расширения для разных браузеров. Но как-то же я ее установил, ехешник же был. Ну и тыкая на расшерение и Установить - оно не показывает, что он уже установлен. Собственно и этот Orange Monkey тоже можно как бы установить. Вы вообще знакомы с этим расширением? Там на сайте есть инструкция как устанавливать и там надо прописать скрипт. Может скинуть ссылку, вдруг это что-то даст?