Решена Общее лечение 2

Тема в разделе "Лечение компьютерных вирусов", создана пользователем RuMax, 4 янв 2016.

Статус темы:
Закрыта.
  1. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Создаю вторую тему (первая тут) для того, чтобы и второй компьютер проверить. Проблемы те же. Комп тупит, браузеры тормозят, вообще работает медленнее. Особенно одолели всплывающие вкладки. Не переходит на сайт если рекламу не покажет.
     

    Вложения:

  2. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Здравствуйте.
    ДругВокруг 2.0 - ваше?

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    RuMax нравится это.
  3. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Здравствуйте, мое
     

    Вложения:

  4. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора),
    • В меню Настройки отметьте:
      • Сброс политик IE
      • Сброс политик Chrome
      Нажмите кнопку "Scan" ("Сканировать").
    • По окончанию сканирования снимите галочки со следующих строк:
      Код (Text):

      Папка Найдено : C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh
      [C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Найдено : cncgohepihcekklokhbhiblhfcmipbdh
      Файл Найдено : C:\Users\Анютик\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\yandex.ru-020239.xml
      Файл Найдено : C:\Users\Анютик\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\yasearch@yandex.ru.xpi
      Файл Найдено : C:\Users\Анютик\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\vb@yandex.ru.xpi

       
    • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.


    Сообщите как проблема.
     
    RuMax нравится это.
  5. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Я перепутал компы или темы для них и со второго компа сделал эти рекомендации вместо вышенаписанных:


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Вышенаписанные рекомендации пока не делал, может можно как то исправить совершенную ошибку?
    --- Объединённое сообщение, 11 янв 2016 ---
    Отчеты прикрепил
     

    Вложения:

  6. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Как восстановить ошибочно удалённые объекты.

    В принципе,кроме элементов яндекса вы ничего особо и не удалили лишнего))
    Можете не восстанавливать если для вас это не критично.

    Какие то проблемы имеются?

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
    RuMax нравится это.
  7. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Да, браузеры все также еле работают, особенно виснет яндекс браузер, хром чуть меньше
     

    Вложения:

  8. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.035
    Симпатии:
    4.478
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFileF('C:\Users\Анютик\AppData\Local\Experience Plugin\xBin', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
    QuarantineFile('C:\Users\Анютик\AppData\Local\Experience Plugin\xBin\ExperiencePlugin.dll', '');
    ExecuteFile('schtasks.exe', '/delete /TN "Experience Plugin" /F', 0, 15000, true);
    DeleteFile('C:\Users\Анютик\AppData\Local\Experience Plugin\xBin\ExperiencePlugin.dll', '32');
    DeleteFileMask('C:\Users\Анютик\AppData\Local\Experience Plugin\xBin', '*', true);
    DeleteDirectory('C:\Users\Анютик\AppData\Local\Experience Plugin\xBin');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    К сообщению прикреплять карантин не нужно!


    Подготовьте логи Farbar Recovery Scan Tool
     
    Kиpилл и RuMax нравится это.
  9. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Отправил quarantine.zip
     

    Вложения:

    • Addition.txt
      Размер файла:
      32,5 КБ
      Просмотров:
      4
    • FRST.txt
      Размер файла:
      44,6 КБ
      Просмотров:
      4
    • Shortcut.txt
      Размер файла:
      58,9 КБ
      Просмотров:
      0
  10. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.035
    Симпатии:
    4.478
    Выполните скрипт в Farbar Recovery Scan Tool
    Код (Text):
    start
    CreateRestorePoint:
    BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-3236351530-3653437826-2702735954-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    CHR Extension: () - C:\Users\Анютик\AppData\Local\Experience Plugin\Component [2016-01-11]
    EmptyTemp:
    Reboot:
    end
    +
    Почистите кэш и куки в браузерах.

    Что с проблемой?
     
    Последнее редактирование модератором: 12 янв 2016
  11. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    получше стало, но не на много, проблема осталась
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      1,4 КБ
      Просмотров:
      1
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Файлы
    Код (Text):
    C:\Users\Анютик\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js
    C:\Program Files\mozilla firefox\defaults\pref\!CCB7F643FAB4F25DE0D7C86FF202328DCCB7.js
    C:\Program Files\mozilla firefox\CCB7F643FAB4F25DE0D7C86FF202328DCCB7
    заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Код (Text):
    FF Extension: BlueSoleil Extension - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\FireFox\isend@www.bluesoleil.com [2015-12-15] [not signed]
     
    это расширение сами устанавливали?

    Скрипт дам попозже.

    Смотрю у вас на обоих компьютерах (и здесь и в соседней теме) стоит SafenSoft SysWatch, но вирусам это не помешало. Наглядный пример, что это не панацея и вирусы пролазиют при любом антивирусе.

    --- Объединённое сообщение, 12 янв 2016, Дата первоначального сообщения: 12 янв 2016 ---
    1) Отошлите архив (просьба выше).
    2) Деинсталируйте Skype Click to Call и удалите его расширения из браузеров.
    3) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\!CCB7F643FAB4F25DE0D7C86FF202328DCCB7.js [2015-11-09] <==== ATTENTION
    FF ExtraCheck: C:\Program Files\mozilla firefox\CCB7F643FAB4F25DE0D7C86FF202328DCCB7 [2015-11-09] <==== ATTENTION

    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    4) Все эти расширения вам знакомы?
    Код (Text):
    CHR Extension: (Документы Google) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-09-22]
    CHR Extension: (Диск Google) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-11-09]
    CHR Extension: (YouTube) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-11-09]
    CHR Extension: (TransSend) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\cocpghbdppojfnfpjhmlcfkljjjfpika [2015-09-22]
    CHR Extension: (Google Search) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-09]
    CHR Extension: (Avast SafePrice) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2015-11-09]
    CHR Extension: (Google Документы офлайн) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-11-17]
    CHR Extension: (Avast Online Security) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2015-11-09]
    CHR Extension: (SurfPatrol) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkppgpkggbadgdkdjephjfpmblapdcpb [2016-01-07]
    CHR Extension: (Skype) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2016-01-09]
    CHR Extension: (Яндекс) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdeldjolamfbcgnndjmjjiinnhbnbnla [2015-12-04]
    CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-08-12]
    CHR Extension: (Gmail) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-09-22]
    CHR Extension: () - C:\Users\Анютик\AppData\Local\Experience Plugin\Component [2016-01-11]
    CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [cocpghbdppojfnfpjhmlcfkljjjfpika] - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\Chrome\TS_Chrome.crx [2015-04-08]
    CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-08-12]
    CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2015-08-12]
    CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2015-10-12]
    CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
    + отпишитесь, что с проблемой?
     
  13. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Отправил по форме

    Жена устанавливала и я устанавливал блютуз, это именно не помню кто. Сейчас можно удалить, потому что сегодня нашел родные драйверишки на блютуз.
    Думаю, что многие вирусы сам загнал в машину, потому что были случаи, когда при установке неизвестного ПО лезла куча всякой фигни, сисвоч конечно реагировал, я запрещал что и помню, что была ситуация когда запрос на внесение изменений шел автоматически через определенные интервалы, отключить никак нельзя было. Думаю, что сам собственноручно впустил вирусы на каком либо этапе, т.к приходится иногда юзать варезный софт. Очень много чего перелопатил из софта, ну и на эту машину мог занести конечно. Сисвоч реагирует очень хорошо, другое дело, что не всегда знал чему разрешал доступ...
    Удалил, его расширений в браузерах после этого не нашел
    До записей реестра названия то знакомы, а вот последние файлы в путях нахождения - вобще абракадабра какая то
    Проблема осталась
     
    SNS-amigo нравится это.
  14. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
    RuMax нравится это.
  15. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    RuMax, я просил прислать prefs.js а вы прислали prefs.js_20150812020239.backup посмотрите и если есть там без дописки, то пришлите его.
    если вам нужны тупые алерты на всё, то лучше было ставить антивирус от комодо.
    --- Объединённое сообщение, 13 янв 2016 ---
    + Запакуйте в архив с паролем "virus" папку C:\FRST\Quarantine\ - C:\ - Ваш системный диск
    Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
     
    RuMax нравится это.
  16. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Koza Nozdri, выполнил

    отправил по форме
    Нужен антивирус + сисвоч, какой лучше антивирь мне неизвестно. Чем комодо лучше?
    отправил
     

    Вложения:

  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Для того чтобы решать какой лучше какой хуже есть отдельный раздел. Там и спрашивайте. Только учтите, что не стоит верить во всё что пишут маркетологи от вендоров. Это их работа заставить поверить, что вам нужен их антивирус и что он спасёт от всех видов угроз.На практике как видите всё обстоит не совсем так как в их рекламных статьях.

    Экспопрт этого ключа можете сделать?
    Код (Microsoft Registry):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{9563BC59-9556-4805-8CD4-886781779D8D}
    --- Объединённое сообщение, 14 янв 2016, Дата первоначального сообщения: 14 янв 2016 ---
    не могу найти, пожалуйста, загрузите на RGhost — файлообменник и скиньте мне в ЛС.
     
  18. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Нет навыков, если объяснить - сделаю
    готово
     
  19. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Запустите редактор реестра,перейдите в указанный раздел,нажмите по нему правой кнопкой мыши - выберите пункт "экспортировать".
    Укажите имя файла и место сохранения и прикрепите к сообщению.
     
  20. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Прикрепил ключ
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей