вопрос по kernelbase.dll

Sandor · Отправлено: **09:07, 27-04-2016** | #2

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

APP Shop v1.0.20
maintenance software version 1.0
UC浏览器 [20160427]-->"C:\Program Files (x86)\UCBrowser\Application\Uninstall.exe" --uninstall --system-level

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\yeaplayer\yeaplayermd.exe');
 TerminateProcessByName('c:\program files (x86)\badu\uc.exe');
 TerminateProcessByName('c:\program files (x86)\maintenance software\comowin.exe');
 TerminateProcessByName('c:\users\Ярослав\appdata\roaming\upupdata\conhost.exe');
 TerminateProcessByName('c:\program files (x86)\badu\bind.exe');
 TerminateProcessByName('c:\windows\temp\27b4.tmp');
 TerminateProcessByName('c:\program files (x86)\03000200-1459983703-0500-0006-000700080009\knst1eb3.tmpfs');
 TerminateProcessByName('c:\programdata\msiql.exe');
 TerminateProcessByName('C:\Users\Ярослав\AppData\Local\Temp\BPBO1L2MJJ\testversion.exe');
 TerminateProcessByName('C:\Users\Ярослав\AppData\Local\Temp\GTPLEQ5OY9\testversion.exe');
 StopService('ProntSpooler');
 StopService('myjinukezbt');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe','');
 QuarantineFile('C:\Program Files (x86)\Winsere\Winsere\Winsere.exe','');
 QuarantineFile('C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe','');
 QuarantineFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe','');
 QuarantineFile('C:\Users\Ярослав\AppData\Local\Apps\2.0\abril.exe','');
 QuarantineFile('c:\program files (x86)\yeaplayer\yeaplayermd.exe','');
 QuarantineFile('c:\program files (x86)\badu\uc.exe','');
 QuarantineFile('c:\program files (x86)\maintenance software\comowin.exe','');
 QuarantineFile('c:\users\Ярослав\appdata\roaming\upupdata\conhost.exe','');
 QuarantineFile('c:\program files (x86)\badu\bind.exe','');
 QuarantineFileF('c:\users\ярослав\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\windows\temp\27b4.tmp', '');
 QuarantineFile('c:\program files (x86)\03000200-1459983703-0500-0006-000700080009\knst1eb3.tmpfs', '');
 QuarantineFile('c:\programdata\msiql.exe', '');
 QuarantineFile('C:\Users\Ярослав\AppData\Local\Temp\BPBO1L2MJJ\testversion.exe', '');
 QuarantineFile('C:\Users\Ярослав\AppData\Local\Temp\GTPLEQ5OY9\testversion.exe', '');
 QuarantineFile('C:\Users\3CDE~1\AppData\Local\Temp\nsqBDE8.tmp\nsExec.dll', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Users\Ярослав\AppData\Roaming\gplyra\gplyra\start.cmd', '');
 QuarantineFile('C:\Users\Ярослав\AppData\Local\Hostinstaller\1514462912_installcube.exe', '');
 QuarantineFile('C:\Users\Ярослав\appdata\roaming\upupdata\service.exe', '');
 QuarantineFile('C:\Program Files\spacesoundpro\idscservice.exe', '');
 QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe', '');
 DeleteFile('c:\program files (x86)\badu\bind.exe','32');
 DeleteFile('c:\users\Ярослав\appdata\roaming\upupdata\conhost.exe','32');
 DeleteFile('c:\program files (x86)\maintenance software\comowin.exe','32');
 DeleteFile('c:\program files (x86)\badu\uc.exe','32');
 DeleteFile('c:\program files (x86)\yeaplayer\yeaplayermd.exe','32');
 DeleteFile('C:\Users\Ярослав\AppData\Local\Apps\2.0\abril.exe','32');
 DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe','32');
 DeleteFile('C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe','32');
 DeleteFile('C:\Program Files (x86)\Winsere\Winsere\Winsere.exe','32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe','32');
 DeleteFile('c:\windows\temp\27b4.tmp', '32');
 DeleteFile('c:\program files (x86)\03000200-1459983703-0500-0006-000700080009\knst1eb3.tmpfs', '32');
 DeleteFile('c:\programdata\msiql.exe', '32');
 DeleteFile('C:\Users\Ярослав\AppData\Local\Temp\BPBO1L2MJJ\testversion.exe', '32');
 DeleteFile('C:\Users\Ярослав\AppData\Local\Temp\GTPLEQ5OY9\testversion.exe', '32');
 DeleteFile('C:\Users\3CDE~1\AppData\Local\Temp\nsqBDE8.tmp\nsExec.dll', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Users\Ярослав\AppData\Roaming\gplyra\gplyra\start.cmd', '32');
 DeleteFile('C:\Users\Ярослав\AppData\Local\Hostinstaller\1514462912_installcube.exe', '32');
 DeleteFile('C:\Users\Ярослав\appdata\roaming\upupdata\service.exe', '32');
 DeleteFile('C:\Program Files\spacesoundpro\idscservice.exe', '32');
 DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WinTaske" /F', 0, 15000, true);
 DeleteService('Winsere');
 DeleteService('ggbugreport');
 DeleteService('CloudPrinter');
 DeleteService('ProntSpooler');
 DeleteService('myjinukezbt');
 DeleteFileMask('c:\users\ярослав\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteDirectory('c:\users\ярослав\appdata\local\hostinstaller');
 DeleteDirectory('c:\program files\spacesoundpro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','maintenance software');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','conhost.exe -start');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','QQPCTray');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yeaplayer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost0');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msiql');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gplyra');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

frqhero · Отправлено: **12:46, 27-04-2016** | #3

Всё сделал, после перезагрузки хром перестал быть браузером по умолчанию и у него появилась стартовая страница yeabests.cc тоже не знаю как убрать

frqhero · Отправлено: **12:56, 27-04-2016** | #4

я уже всё очистил, если что. То есть нажал кнопку clean.

Sandor · Отправлено: **13:00, 27-04-2016** | #5

Лог очистки тоже покажите [C1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

frqhero · Отправлено: **14:03, 27-04-2016** | #6

Вот, пожалуйста

Sandor · Отправлено: **14:16, 27-04-2016** | #7

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
HKLM\...\Winlogon: [Userinit] wscript C:\WINDOWS\run.vbs,
2016-04-27 02:46 - 2016-04-27 03:02 - 00000000 ____D C:\Users\Ярослав\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-04-27 02:45 - 2016-04-27 02:45 - 00132344 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
2016-04-27 02:45 - 2016-04-27 02:45 - 00005120 _____ C:\Users\Ярослав\AppData\Roaming\GiftBag.db
2016-04-27 02:45 - 2016-04-27 02:45 - 00002292 _____ C:\Users\Все пользователи\webad.xml
2016-04-27 02:45 - 2016-04-27 02:45 - 00002292 _____ C:\ProgramData\webad.xml
2016-04-27 02:45 - 2016-04-27 02:45 - 00000000 ____D C:\Users\唣铖豚鈂AppData
2016-04-27 02:45 - 2016-04-27 02:45 - 00000000 ____D C:\Users\Ярослав\AppData\Local\Yeaplayer
2016-04-27 02:45 - 2016-04-27 02:45 - 00000000 ____D C:\Users\Ярослав\AppData\Local\UCBrowser
2016-04-27 02:45 - 2016-04-25 17:47 - 01266176 _____ C:\Users\Все пользователи\conhost.exe
2016-04-27 02:45 - 2016-04-25 17:47 - 01266176 _____ C:\ProgramData\conhost.exe
2016-04-27 02:45 - 2016-04-25 17:46 - 00114176 _____ C:\Users\Все пользователи\hp.exe
2016-04-27 02:45 - 2016-04-25 17:46 - 00114176 _____ C:\ProgramData\hp.exe
2016-04-27 02:45 - 2016-04-13 19:37 - 00080768 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\ucguard.sys
2016-04-27 02:44 - 2016-04-27 12:35 - 00000000 ____D C:\Users\Ярослав\AppData\Roaming\UPUpdata
2016-04-27 02:44 - 2016-04-27 02:45 - 00000000 ____D C:\Users\Public\Thunder Network
2016-04-27 02:44 - 2016-04-27 02:44 - 00000000 ____D C:\Users\Ярослав\AppData\Local\tuto_monetize_220160426
2016-04-27 02:44 - 2016-04-27 02:44 - 00000000 ____D C:\Users\Ярослав\AppData\Local\tuto_monetize_120160426
2016-04-27 02:44 - 2016-04-27 02:44 - 00000000 ____D C:\Users\Все пользователи\Thunder Network
2016-04-27 02:44 - 2016-04-27 02:44 - 00000000 ____D C:\ProgramData\Thunder Network
2016-04-07 23:14 - 2016-04-07 23:14 - 06504960 _____ C:\Users\Ярослав\AppData\Roaming\agent.dat
2016-04-07 23:14 - 2016-04-07 23:14 - 01626416 _____ C:\Users\Ярослав\AppData\Roaming\Vaia-Nix.tst
2016-04-07 23:14 - 2016-04-07 23:14 - 00127488 _____ C:\Users\Ярослав\AppData\Roaming\Installer.dat
2016-04-07 23:14 - 2016-04-07 23:14 - 00126464 _____ C:\Users\Ярослав\AppData\Roaming\noah.dat
2016-04-07 23:14 - 2016-04-07 23:14 - 00126464 _____ C:\Users\Ярослав\AppData\Roaming\lobby.dat
2016-04-07 23:14 - 2016-04-07 23:14 - 00118034 _____ C:\Users\Ярослав\AppData\Roaming\inst.lat
2016-04-07 23:14 - 2016-04-07 23:14 - 00072699 _____ C:\Users\Ярослав\AppData\Roaming\Subdex.tst
2016-04-07 23:14 - 2016-04-07 23:14 - 00065424 _____ C:\Users\Ярослав\AppData\Roaming\Config.xml
2016-04-07 23:14 - 2016-04-07 23:14 - 00054272 _____ C:\Users\Ярослав\AppData\Roaming\ApplicationHosting.dat
2016-04-07 23:14 - 2016-04-07 23:14 - 00018432 _____ C:\Users\Ярослав\AppData\Roaming\Main.dat
2016-04-07 23:14 - 2016-04-07 23:14 - 00015888 _____ C:\Users\Ярослав\AppData\Roaming\InstallationConfiguration.xml
2016-04-07 23:14 - 2016-04-07 23:14 - 00005568 _____ C:\Users\Ярослав\AppData\Roaming\md.xml
2016-04-07 23:14 - 2016-04-07 23:14 - 00000000 ____D C:\Users\Ярослав\AppData\Local\tuto_monetize_120160407
2016-04-07 23:14 - 2016-04-07 23:14 - 00000000 ____D C:\Users\Все пользователи\Tampstrings
2016-04-07 23:14 - 2016-04-07 23:14 - 00000000 ____D C:\ProgramData\Tampstrings
2016-04-07 02:13 - 2016-04-07 02:13 - 00000000 ____D C:\Users\Ярослав\AppData\Local\tuto_monetize_120160406
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Ярлыки

Цитата:

C:\Users\Ярослав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Ярослав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Ярослав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
C:\Users\Ярослав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Сообщите что с проблемой.

frqhero · Отправлено: **14:32, 27-04-2016** | #8

Ах, это дело было ярлыке. Пропала эта ёлопуки)) спасибо. Ну игра по-прежнему не запускается(

Sandor · Отправлено: **14:55, 27-04-2016** | #9

Цитата frqhero:

Ах, это дело было ярлыке »

Не только))

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Цитата frqhero:

игра по-прежнему не запускается »

Переустановить не пробовали?

frqhero · Отправлено: **14:55, 27-04-2016** | #10

опять появился( yeabests