Решена Безопасное удаление рекламного ПО после проверки программой AdwCleaner .

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Александр А.П., 13 июл 2015.

Статус темы:
Закрыта.
  1. Александр А.П.
    Оффлайн

    Александр А.П. Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Проверил ПК программой AdwCleaner - программа, которая ищет и удаляет рекламное ПО в веб-браузере, панели инструментов, потенциально нежелательные программы (PUP) и hijacker-утилиты с компьютера. Но боюсь что удалю что то не то и ПК станет работать не корректно, поэтому прошу по возможности сообщить мне какие ПО и т.п. я могу безопасно удалить со своего ПК, лог файл программы прилагаю.

    Спасибо,
    с уважением Александр
     

    Вложения:

  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
  3. Александр А.П.
    Оффлайн

    Александр А.П. Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Да Mail.ru и Zona использую, комплект логов по правилам сделаю, спасибою
    --- Объединённое сообщение, 14 июл 2015, Дата первоначального сообщения: 13 июл 2015 ---
    Доброе время суток, по Вашему запросу во вложении комплект логов.
     

    Вложения:

  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    - Удалите в AdwCleaner всё кроме папок от mail.ru и Zona Отчет после удаления прикрепите.
    --- Объединённое сообщение, 14 июл 2015 ---
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
     ExecuteRepair(10);
    end.
    --- Объединённое сообщение, 14 июл 2015 ---
    После проверьте какие проблемы еще остались
     
  5. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    +
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
    • По окончанию сканирования снимите галочки со следующих строк:
      Код (Text):

      Папка Найдено : C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\yasearch@yandex.ru
      Папка Найдено : C:\Documents and Settings\Администратор\Application Data\zona
      Папка Найдено : C:\Documents and Settings\Администратор\Local Settings\Application Data\Mail.Ru
      Папка Найдено : C:\Documents and Settings\Администратор\Local Settings\Application Data\MailRu
      Папка Найдено : C:\Program Files\zona
      Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater]
      Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
      Ключ Найдено : HKCU\Software\zona
      люч Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{3A787631-66A2-4634-B928-A37E73B58FB6}
      Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\zona
      Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zona
      Ключ Найдено : HKLM\SOFTWARE\zona


       
    • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.




    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 14 июл 2015
  6. Александр А.П.
    Оффлайн

    Александр А.П. Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Доброе время суток всем, спасибо за рекомендации, высылаю отчет после очистки программой AdwCleaner, если возможно прошу подсказать где можно посмотреть процедуры выполнения предложенного мне скрипта AVZ или написать чуть подробнее, сканирование программой Farbar Recovery Scan Tool выполню и вышлю в ближайшее время, еще раз спасибо.

    С уважением

    Александр
    --- Объединённое сообщение, 15 июл 2015, Дата первоначального сообщения: 15 июл 2015 ---
    Еще раз доброе время суток, скрипт AVZ выполнил - получил сообщение "скрипт выполнен без ошибок" во вложении отчеты FRST.txt, Addition.txt, Shortcut.txt, спасибо,

    с уважением

    Александр
     

    Вложения:

    • AdwCleaner[S0].txt
      Размер файла:
      8,4 КБ
      Просмотров:
      4
    • Shortcut.txt
      Размер файла:
      92,6 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      39,1 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      57,7 КБ
      Просмотров:
      2
  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    CustomCLSID: HKU\S-1-5-21-2000478354-1647877149-1801674531-500_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2000478354-1647877149-1801674531-500_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> No Filepath
    AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:07BF512B
    AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51
    AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:D3A96964
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-2000478354-1647877149-1801674531-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    HKU\S-1-5-21-2000478354-1647877149-1801674531-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
    HKU\S-1-5-21-2000478354-1647877149-1801674531-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
    HKU\S-1-5-21-2000478354-1647877149-1801674531-500\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
    SearchScopes: HKLM -> {95289393-33EA-4F8D-B952-483415B9C955} URL = http://search.qip.ru/?query={searchTerms}
    SearchScopes: HKU\S-1-5-21-2000478354-1647877149-1801674531-500 -> Yandex URL = http://search.qip.ru/?query={searchTerms}
    SearchScopes: HKU\S-1-5-21-2000478354-1647877149-1801674531-500 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = http://search.qip.ru/search?query={searchTerms}&from=IE
    BHO: Skype Browser Helper -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} ->  No File
    Toolbar: HKU\S-1-5-21-2000478354-1647877149-1801674531-500 -> AutoLogin - {598B818E-71F1-486E-A0BE-9952B5851367} -  No File
    Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} -  No File
    CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-04]
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    Вам этот сайт знаком?
    Код (Text):
    http://installsoft.ru/
    Если не ваше,то добавьте в скрипт еще такую строчку:
    Код (Text):
    HKU\S-1-5-21-2000478354-1647877149-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://installsoft.ru
    Запустите avz - сервис - поиск по реестру - введите:
    webalta
    Все найденное сохраните,отчет прикрепите.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    QuarantineFile('C:\WINDOWS\system32\User32.dll','');
    QuarantineFile('C:\WINDOWS\explorer.exe','');
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

     

    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    У вас диск с дистрибутивом вашей ОС или образ диска есть?
     
    Последнее редактирование модератором: 19 ноя 2015
  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
  9. Александр А.П.
    Оффлайн

    Александр А.П. Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Доброе время суток, все Ваши указания выполнил, строчку добавил, все отчеты во вложении, скрипт выполнен без ошибок.
    образ диска есть. Спасибо,

    с уважением

    Александр
     

    Вложения:

    • Check_Browsers_LNK.log
      Размер файла:
      9,8 КБ
      Просмотров:
      3
    • Fixlog.txt
      Размер файла:
      6,3 КБ
      Просмотров:
      1
    • Export.txt
      Размер файла:
      697 байт
      Просмотров:
      2
    • Screenshot_4.png
      Screenshot_4.png
      Размер файла:
      48,5 КБ
      Просмотров:
      1
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Повторите поиск webalta с помощью avz и удалите все найденное.

    А карантин где?


    Выполните проверку целостности системных файлов одним из способов:
    http://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/
    http://safezone.cc/threads/obzor-utility-sfc-exe.18934/
    --- Объединённое сообщение, 17 июл 2015 ---
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  11. Александр А.П.
    Оффлайн

    Александр А.П. Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Доброе время суток, извиняюсь был не внимателен, карантин отправил. Проверку целостности системных файлов и лог SecurityCheck.txt постараюсь отправить в ближайшее время, спасибо

    с уважением
    Александр
     
  12. Александр А.П.
    Оффлайн

    Александр А.П. Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Доброе время суток, к сожалению у меня не получилось запустить программу "sfc" из командной строки (высылаю скрин) если Вы мне подскажете поточнее что надо делать т.к. в инструкции я не нашел или не правильно понял, высылаю лог созданный программой обычного запуска этой программы т.е. не из командной строки, спасибо

    с уважением
    Александр

    з.ы. образ диска с виндой установил в виртуальный привод, система определила его как диск "Н" и лог SecurityCheck.txt пока не делал т.к. не полностью выполнил программу "sfs" или лог можно делать независимо от выполнения программы "sfc", еще раз спасибо.
     

    Вложения:

    • Screenshot_4.png
      Screenshot_4.png
      Размер файла:
      58,6 КБ
      Просмотров:
      1
    • sfcdoc.log
      Размер файла:
      13,8 КБ
      Просмотров:
      2
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    можно независимо.
     
  14. Александр А.П.
    Оффлайн

    Александр А.П. Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Доброе время суток, спасибо за информацию, повторил поиск webalta с помощью avz и удалил все найденное (см.вложение лог и скрин).
    SecurityCheck.txt - сделал во вложении, спасибо

    с уважением

    Александр
     

    Вложения:

    • SecurityCheck.txt
      Размер файла:
      7,3 КБ
      Просмотров:
      3
    • Export.txt
      Размер файла:
      697 байт
      Просмотров:
      1
    • Screenshot_4.png
      Screenshot_4.png
      Размер файла:
      139 КБ
      Просмотров:
      1
  15. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Исправляйте уязвимости.


    Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
    Internet Explorer 8.0.6001.18702 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Автоматическое обновление отключено

    -------------------------------- [ Java ] ---------------------------------
    Java 7 Update 80 v.7.0.800 Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
    --------------------------- [ AppleProduction ] ---------------------------
    QuickTime 7 v.7.76.80.95 Внимание! Скачать обновления

    Adobe Reader XI (11.0.08) - Russian v.11.0.08 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - Проверить обновления!^

    ---------------------------- [ UnwantedApps ] -----------------------------
    Driver Booster 2.4 v.2.4 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    IObit Apps Toolbar v9.6 v.9.6 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    ----------------------------- [ End of Log ] ------------------------------


    Еще проблемы есть?

    Выполните рекомендации после лечения.
     
  16. Александр А.П.
    Оффлайн

    Александр А.П. Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Доброе время суток, огромное спасибо за помощь, очень Вам всем благодарен.
    У меня вопрос по "IObit Apps Toolbar v9.6 v.9.6 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов .Рекомендуется деинсталляция". Деинсталлировать не могу, только если принудительно (см. вложение скрины).
    Программа Driver Booster 2.4 v.2.4 - я заплатил за лицензию, пользуюсь и в этом случае прошу Ваших рекомендаций, если надо сносить, снесу и
    порекомендуйте достойную замену. По остальным обновления понял.
    И еще почитал ветку по поддержке обновления ХР, не все понял (если честно ничего не понял) и если можно коротко пояснить как это можно сделать и нужно ли это делать ?
    еще раз спасибо,

    с уважением,

    Алекасандр

    з.ы. и если я например не пользуюсь программами: QuickTime 7 v.7.76.80.95 и Adobe Reader XI (11.0.08) - могу ли я их удалить с ПК, спасибо.
    --- Объединённое сообщение, 18 июл 2015, Дата первоначального сообщения: 17 июл 2015 ---
    Еще раз доброе время суток, вопрос исходя из ниже приведенного текста, мне устанавливать Java 8 т.к. ХР она не поддерживает:

    [​IMG]
    Какой вариант установки мне следует выбрать?

    Выберите загрузку 32-разрядной версии для использования с браузером 32-разрядной версии.
    Выберите загрузку64-разрядной версии для использования с браузером 64-разрядной версии.
    Если используются браузеры 32-разрядной и 64-разрядной версии, необходимо загрузить обе версии Java (32- и 64-разрядную).

    Выберите интерактивную, чтобы быстро выполнить установку.
    Выберите автономную загрузку, если установка будет выполняться на компьютере без соединения с Интернетом, или при наличии проблем с интерактивной загрузкой.

    Системные требования
    • Windows 8 (Настольные ПК)
    • Windows 7
    • Windows Vista SP2
    • Windows Server 2008 R2 с пакетом обновления 1 (SP1) (64-разрядная версия)
    • Windows Server 2012 (64-разрядная версия)
    Примечание. Начиная с 8 апреля 2014 года, Microsoft прекращает поддержку ОС Windows XP, следовательно данная платформа официально более не поддерживается. Пользователи могут продолжать использовать обновления Java 7 для ОС Windows XP по своему усмотрению, но поддержка будет предоставляться для версий Microsoft Windows, таких как Windows Vista или более поздних.
     

    Вложения:

  17. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Удаляйте принудительно.
    Если не получится поможем.

    Если заплатили - на ваше усмотрение.
    Но могу вам сказать что деньги на ветер,все драйвера доступны на оффсайтах производителей,а за разного рода оптимизаторами и обновляторами часто водится обычная брехня и отжим денег.
    Бывало так что после подобного ПО система не запускалась.

    Ваше желание))
    --- Объединённое сообщение, 18 июл 2015, Дата первоначального сообщения: 18 июл 2015 ---
    Да,используйте эту версию,замечание отправлено разработчику программы.
     
  18. Александр А.П.
    Оффлайн

    Александр А.П. Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Доброе время суток, если можно то пожалуйста прокомментируйте
    .
    Во вложении скрин на что "ругается" Касперский, я обычно ставлю пропустить или можно тупо добавить в доверенные программы, спасибо.

    С уважением
    Александр
     

    Вложения:

  19. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Сделайте по инструкции:
    http://safezone.cc/threads/kak-sozd...vosstanovlenija-i-ochistit-predyduschie.2065/

    Вопрос не совсем понятен...задайте его в теме по ХР

    Проблемы есть еще?
     
  20. Александр А.П.
    Оффлайн

    Александр А.П. Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Доброе время суток, все понял. Большое спасибо всем и лично Вам за помощь, пока вопросов, проблем нет, по ХР займусь в теме.
    Еще раз спасибо, с уважением

    Александр
     
Статус темы:
Закрыта.

Поделиться этой страницей