Закрыто Общее торможение системы, а также всплывающая реклама

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Razey, 15 апр 2015.

Статус темы:
Закрыта.
  1. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Здравствуйте!

    Новый (старый) подопечный - ноутбук со всплывающей рекламой. Также заметна просто общая заторможенность системы. Логи во вложении.
     

    Вложения:

  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):


    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     SetServiceStart('lwnfd_1_10_0_13', 4);
     StopService('lwnfd_1_10_0_13');
     QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\toolbar.exe', '');
     QuarantineFile('C:\Users\Admin\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE', '');
     QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\lwnfd_1_10_0_13.sys', '');
     DeleteFile('C:\Windows\system32\drivers\lwnfd_1_10_0_13.sys', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys', '32');
     DeleteFile('C:\Users\Admin\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE', '32');
     DeleteFile('C:\Windows\Tasks\Digital Sites.job', '64');
     DeleteFile('C:\Windows\system32\Tasks\Digital Sites', '64');
     DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\toolbar.exe', '32');
     DeleteFile('C:\Windows\system32\Tasks\SystemScript', '64');
     DeleteFileMask('C:\Users\Admin\AppData\Roaming\DIGITA~1\', '*', true);
     DeleteDirectory('C:\Users\Admin\AppData\Roaming\DIGITA~1\');
     DeleteService('BAPIDRV');
     DeleteService('lwnfd_1_10_0_13');
    BC_ImportAll;
     ExecuteWizard('SCU', 2, 3, true);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Razey и Kиpилл нравится это.
  3. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Скрипт AVZ выполнил, карантин отослал, лог AdwCleaner'a во вложени...
     

    Вложения:

  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".


      [​IMG]

    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
     
    Razey нравится это.
  5. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Здравствуйте! Логи указанные во вложении, жду дальнейших распоряжений.
     

    Вложения:

    • AdwCleaner[S2].txt
      Размер файла:
      6,8 КБ
      Просмотров:
      0
    • Addition.txt
      Размер файла:
      43,1 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      67,7 КБ
      Просмотров:
      1
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Деинсталлируйте:

    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код ( (Unknown Language)):
    start
    CreateRestorePoint:
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    FF Extension: No Name - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
    CHR Extension: (Site navigation) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gpfbncnkoeocopnpcacbbkdljdfhekcl [2014-09-15]
    CHR Extension: (Переводчик для Chrome 2) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\oadboiipflhobonjjffjbfekfjcgkhco [2014-09-15]
    CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - https://clients2.google.com/service/update2/crx
    OPR StartupUrls: "hxxp://www.yandex.ru/?win=171&clid=2139453-027","hxxp://inffworld.ru","hxxp://inffworld.ru"
    OPR Extension: (Site navigation) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\gpfbncnkoeocopnpcacbbkdljdfhekcl [2014-09-15]
    OPR Extension: (Переводчик для Chrome 2) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\oadboiipflhobonjjffjbfekfjcgkhco [2014-09-15]
    2015-04-14 15:19 - 2015-04-14 15:19 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\Mipony
    2015-04-09 21:55 - 2015-04-09 21:55 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MiPony
    2015-04-09 21:55 - 2015-04-09 21:55 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony
    2015-04-09 21:55 - 2015-04-09 21:55 - 00000000 ____D () C:\Program Files (x86)\MiPony
    Task: {67648E12-EECB-429B-A42D-A03FFEF185F2} - \MobProtect No Task File <==== ATTENTION
    Task: {91FDB1FF-5A60-4B1A-ABD6-C81E1B82B46F} - \SystemScript No Task File <==== ATTENTION
    AlternateDataStreams: C:\Users\Admin\Documents\МРТ КОЛЕНО.jpeg:3or4kl4x13tuuug3Byamue2s4b
    AlternateDataStreams: C:\Users\Admin\Documents\МРТ КОЛЕНО.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
    FirewallRules: [{A08327F8-6203-4CDD-8C75-AE2939B981FA}] => (Allow) C:\Program Files (x86)\BaiduEx\BaiduAn.txt
    FirewallRules: [{BE74E050-F220-4F6A-9F4B-423313908349}] => (Allow) C:\Program Files (x86)\BaiduEx\BaiduAn.txt
    FirewallRules: [{E38AC289-A355-4132-965F-BA27607350DA}] => (Allow) C:\Program Files (x86)\BaiduEx\BaiduAn.txt
    FirewallRules: [{18C3E615-A0B4-4510-9A80-EE32E2C45522}] => (Allow) C:\Program Files (x86)\BaiduEx\BaiduAn.txt
    FirewallRules: [{E16A2B62-5A06-433D-A8CC-2530D8B5C215}] => (Allow) C:\Program Files (x86)\BaiduEx\BaiduAn.txt
    FirewallRules: [{B11E9248-01BD-4CF8-A998-AD2EAF09CBA9}] => (Allow) C:\Program Files (x86)\BaiduEx\BaiduAn.txt
    FirewallRules: [{AA8C7521-0203-4EAC-9FAB-F0FBBA4B7393}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
    FirewallRules: [{B33F15E7-9DDE-4A8B-A064-3F871A2E61E2}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
    FirewallRules: [{F94537DC-6715-4C9B-9EB1-19018D5E60E4}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
    FirewallRules: [{CFC1C1B5-8454-4D3E-A50C-B3C680DC4CC8}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
    FirewallRules: [{828ABA19-DDE8-4956-8A82-141DAAD7A458}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
    FirewallRules: [{AB9318C2-40E6-4B66-9949-761D6A57605C}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
    FirewallRules: [{105C0816-7393-4655-A18B-146EA2816A8F}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
    C:\Program Files (x86)\Common Files\Baidu\
    C:\Program Files (x86)\BaiduEx\
    FirewallRules: [{3A1D2C84-CEF0-4208-A9BA-E2859D0FB510}] => (Allow) D:\IQIYI Video\LStyle\QyClient.exe
    FirewallRules: [{34A2E184-5DAF-46C7-9A3D-7C9046EAB7F5}] => (Allow) D:\IQIYI Video\LStyle\QyWebPlayer.exe
    FirewallRules: [{A7A2D7C9-576D-451A-9585-ECF2BF91AA50}] => (Allow) D:\IQIYI Video\Common\HCDNClient.exe
    FirewallRules: [{0C214E2C-9329-4106-8D3A-1269867A7B76}] => (Allow) D:\IQIYI Video\LStyle\QyPlayer.exe
    FirewallRules: [{55617801-A4B3-401A-8B9D-0A549755E8DF}] => (Allow) C:\Users\Admin\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
    FirewallRules: [{1BCF3725-2D4B-4437-9FF2-8B6BC5C23F84}] => (Allow) D:\IQIYI Video\LStyle\QyClient.exe
    FirewallRules: [{3DC07730-3772-47E1-8514-29C94E1A4357}] => (Allow) D:\IQIYI Video\LStyle\QyWebPlayer.exe
    FirewallRules: [{196C8520-7748-4DEA-B7DC-317957AA3101}] => (Allow) D:\IQIYI Video\LStyle\GeePlayer.exe
    FirewallRules: [{2C334D3B-BE1C-4771-8AE5-100495A66915}] => (Allow) D:\IQIYI Video\Common\HCDNClient.exe
    FirewallRules: [{808B3832-4372-4693-A6B9-4ED68CBB9FEE}] => (Allow) D:\IQIYI Video\Common\QyKernel.exe
    FirewallRules: [{F922E626-91FE-45C0-B7B6-DB53A82B00D5}] => (Allow) D:\IQIYI Video\LStyle\QyPlayer.exe
    D:\IQIYI Video\
    C:\Users\Admin\AppData\Roaming\IQIYI Video\
    cmd: ipconfig /flushdns
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.
     
    Razey нравится это.
  7. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Просьба не закрывать тему - вчера пробовал провести действия, описанные выше, но у этого ноута возникла аппаратная проблема - он выключился и не включался. Сегодня он в сервисе, завтра уже должен быть дома у владельцев - завтра хочу продолжить...
     
  8. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Здравствуйте! Просьба закрыть тему. Пользователь не хочет продолжать лечение...
     
Статус темы:
Закрыта.

Поделиться этой страницей