Решена При скачивании программы, подхватил вирус.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем lilchurll, 20 авг 2016.

Статус темы:
Закрыта.
  1. lilchurll
    Оффлайн

    lilchurll Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    При скачивании программы, подхватил какой-то вирус, который самостоятельно удаляет расширения в браузере, устанавливает свои расширения и меняет поисковую систему на свою.
    (Прикладываю необходимый архив с логами.)
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.978
    Здравствуйте.
    Программа Raptr вам знакома - сами установили? Пользуетесь?

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
      ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
      ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
      ExecuteFile('schtasks.exe', '/delete /TN "psv_Alphaphase" /F', 0, 15000, true);
      ExecuteFile('schtasks.exe', '/delete /TN "psv_Dong-Sing" /F', 0, 15000, true);
      ExecuteFile('schtasks.exe', '/delete /TN "psv_Volfresh" /F', 0, 15000, true);
      ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       TerminateProcessByName('c:\users\tomatov\appdata\roaming\nssm.exe');
       StopService('gkernel');
       QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
       QuarantineFileF('c:\users\tomatov\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
       QuarantineFile('c:\users\tomatov\appdata\roaming\nssm.exe', '');
       QuarantineFile('C:\ProgramData\ocep\ocep.exe', '');
       QuarantineFile('C:\Users\Tomatov\AppData\Local\Temp\gkernel.sys', '');
       QuarantineFile('C:\ProgramData\ocep\DonSanstrong.dll', '');
       QuarantineFile('C:\ProgramData\ocep\Softdinla.dll', '');
       QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
       QuarantineFile('C:\ProgramData\ocep\QuoSilla.reg', '');
       QuarantineFile('C:\ProgramData\ocep\Newit.reg', '');
       QuarantineFile('C:\ProgramData\ocep\Trisdonlex.reg', '');
       QuarantineFile('C:\Users\Tomatov\AppData\Local\Hostinstaller\3806941765_monster.exe', '');
       DeleteFile('c:\users\tomatov\appdata\roaming\nssm.exe', '32');
       DeleteFile('C:\ProgramData\ocep\ocep.exe', '32');
       DeleteFile('C:\Users\Tomatov\AppData\Local\Temp\gkernel.sys', '32');
       DeleteFile('C:\ProgramData\ocep\DonSanstrong.dll', '32');
       DeleteFile('C:\ProgramData\ocep\Softdinla.dll', '32');
       DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
       DeleteFile('C:\ProgramData\ocep\QuoSilla.reg', '32');
       DeleteFile('C:\ProgramData\ocep\Newit.reg', '32');
       DeleteFile('C:\ProgramData\ocep\Trisdonlex.reg', '32');
       DeleteFile('C:\Users\Tomatov\AppData\Local\Hostinstaller\3806941765_monster.exe', '32');
       DeleteService('clr_optimization_v1.02');
       DeleteService('ocep');
       DeleteService('gkernel');
       DeleteFileMask('c:\programdata\ocep', '*', true);
       DeleteFileMask('c:\users\tomatov\appdata\local\hostinstaller', '*', true);
       DeleteDirectory('c:\programdata\ocep');
       DeleteDirectory('c:\users\tomatov\appdata\local\hostinstaller');
      RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
      CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     BC_Activate;
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    O20 - AppInit_DLLs: C:\ProgramData\ocep\Softdinla.dll
    O20-32 - AppInit_DLLs: C:\ProgramData\ocep\DonSanstrong.dll
    O22 - ScheduledTask: (Ready) psv_Alphaphase - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\QuoSilla.reg" & del "C:\ProgramData\ocep\QuoSilla.reg" & SCHTASKS /Delete /TN "psv_Alphaphase" /F
    O22 - ScheduledTask: (Ready) psv_Dong-Sing - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\Newit.reg" & del "C:\ProgramData\ocep\Newit.reg" & SCHTASKS /Delete /TN "psv_Dong-Sing" /F
    O22 - ScheduledTask: (Ready) psv_Volfresh - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\Trisdonlex.reg" & del "C:\ProgramData\ocep\Trisdonlex.reg" & SCHTASKS /Delete /TN "psv_Volfresh" /F

     
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  3. lilchurll
    Оффлайн

    lilchurll Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Программа Raptr это - стандартная программа для видео карт AMD Radeon. Она установилась автоматически, при обновлении драйверов.
    (Отчет об работе программы ClearLNK) : Пришлось докачивать необходимое, чтобы сделать это.
    Файл quarantine.zip отправил по форме.
    В программе HiJackThis отсутствовали некоторые строки как и было написано.
    Провёл повторную диагностику.
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.978
    Ну а где лог повторной диагностики?
     
  5. lilchurll
    Оффлайн

    lilchurll Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Вот, судя по времени это он.
     

    Вложения:

  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.978
    Он,но почему то не полный.

    Выполните скрипт avz:

    Код (Text):
    var PathAutoLogger, CMDLine : string;

    begin
      clearlog;
      PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
      AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
      SaveLog(PathAutoLogger+'report3.log');
        if FolderIsEmpty(PathAutoLogger+'CrashDumps')
            then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
            else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
         if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
            else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
      AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
    end.
     
    архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников RGhost — файлообменник , Zippyshare.com - Free File Hosting , My-Files.RU лучший бесплатный файлообменник и файловый сервис , Ge.tt | Gett sharing и дайте на него ссылку в Вашей теме.

    Попробуйте еще раз собрать свежий лог avz
     
    machito нравится это.
  7. lilchurll
    Оффлайн

    lilchurll Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Вот, залил на RGhost - Report.7z — RGhost — файлообменник
    При запуске этого скрипта, выдает сообщение "Скрипт запущен без ошибок" и всё. Далее ничего не происходит.
    (Прикладываю свежий лог программой AutoLogger.)
    Нужно же было снова делать лог AutoLogger'ом?
     

    Вложения:

  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.978
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('C:\Program Files\nplus\nplus.exe');
     TerminateProcessByName('c:\programdata\ocep\ocep.exe');
     StopService('nplus');
     QuarantineFileF('c:\program files\nplus', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('C:\Program Files\nplus\nplus.exe', '');
     QuarantineFile('c:\programdata\ocep\ocep.exe', '');
     QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
     ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
     DeleteFile('C:\Program Files\nplus\nplus.exe', '32');
     DeleteFile('c:\programdata\ocep\ocep.exe', '32');
     DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
     DeleteFileMask('c:\program files\nplus', '*', true);
     DeleteFileMask('c:\programdata\ocep', '*', true);
     DeleteDirectory('c:\program files\nplus');
     DeleteDirectory('c:\programdata\ocep');
     DeleteService('nplus');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.


    Смените пароли от аккаунтов соцсетей.
     
    machito нравится это.
  9. lilchurll
    Оффлайн

    lilchurll Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Первый скрипт выполнил и отправил quarantine.zip по форме.
    Провел повторную диагностику и прикладываю лог :
    Прикладываю файл из AdwCleaner. (S1 Я не нашел, но нашел S0) :
    Пароли собираюсь сменить прямо сейчас.
     

    Вложения:

    machito нравится это.
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.978
    Загрузитесь в безопасном режиме и выполните скрипт avz:

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
    QuarantineFile('C:\ProgramData\ocep\ocep.exe', '');
    QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
    ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
    DeleteFile('C:\ProgramData\ocep\ocep.exe', '32');
    DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
    DeleteFileMask('c:\programdata\ocep', '*', true);
    DeleteDirectory('c:\programdata\ocep');
    DeleteService('ocep');
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Сделайте свежий лог adwcleaner


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  11. lilchurll
    Оффлайн

    lilchurll Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Прикладываю лог удаления в AdwCleaner : (Не пойму какой из них, поэтому прикладываю оба.)
    [C3] - Свежий лог AdwCleaner
    + Лог из AutoLogger'а
     

    Вложения:

  12. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.978
    Загрузитесь в безопасном режиме и выполните скрипт avz:

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
      ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
      ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
      ExecuteFile('schtasks.exe', '/delete /TN "AFCF1149F-4B0F-4920-B8E9-8F580AEECD33" /F', 0, 15000, true);
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       TerminateProcessByName('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe');
       QuarantineFile('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe', '');
       QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
       QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe', '');
       QuarantineFile('C:\Users\Tomatov\AppData\Local\Temp\nsa77C0.tmp\System.dll', '');
       DeleteFile('C:\Users\Tomatov\AppData\Local\Temp\nsa77C0.tmp\System.dll');
       DeleteFile('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe', '32');
       DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
       DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe', '32');
      CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     BC_Activate;
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится
    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    O4 - HKLM\..\Policies\Explorer\Run: [ACDB898745F5196B4F4F51D44B2E8E42SB] "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
    O4-32 - HKLM\..\Policies\Explorer\Run: [ACDB898745F5196B4F4F51D44B2E8E42SB] "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
    O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42 - \Microsoft - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --setresetup
    O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42 - \Microsoft\Windows - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --setresetup
    O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42SB - \Microsoft - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
    O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42SB - \Microsoft\Windows - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
    O22 - ScheduledTask: (Ready) AFCF1149F-4B0F-4920-B8E9-8F580AEECD33 - \Microsoft\Windows - "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe" --getupdate-ppapi-plugin

     
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
    Последнее редактирование: 22 авг 2016
  13. lilchurll
    Оффлайн

    lilchurll Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Выполнил скрипт.
    Прикладываю лог повторной диагностики.
    + Образ автозапуска.
     

    Вложения:

    machito нравится это.
  14. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.978
    Отлично.
    Еще раз скачайте свежую версию adwcleaner и сделайте новый лог.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.


    Как общее самочувствие "пациента"?
     
  15. lilchurll
    Оффлайн

    lilchurll Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Скачал новую версию AdwCleaner'a и прикладываю лог.
    + Те три файла.
    Не понял на счет "пациента", но Я заболел и если ты интересовался моим здоровьем, спасибо.
     

    Вложения:

    • AdwCleaner[C4].txt
      Размер файла:
      2 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      33,9 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      33,7 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      70 КБ
      Просмотров:
      0
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.978
    Расширение браузеров Mego Shop - это ваше?

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    2016-08-18 00:04 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Все пользователи\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
    2016-08-18 00:04 - 2016-08-18 00:04 - 00000000 ____D C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
    2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Все пользователи\IObit
    2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Tomatov\AppData\LocalLow\IObit
    2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\ProgramData\IObit
    2016-08-18 00:01 - 2016-08-18 00:01 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    2016-08-18 00:01 - 2016-08-18 00:01 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    C:\ProgramData\VideoPluginDone.dat
    C:\Users\Все пользователи\VideoPluginDone.dat
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.

    Я и смотрю по логам - вроде как и хозяин компа приболел))0
    Выздоравливай.

    Какие то проблемы с компом еще остаются?
    --- Объединённое сообщение, 22 авг 2016 ---
    +
    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код (Text):

    ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
    ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
    ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%


     
     
  17. lilchurll
    Оффлайн

    lilchurll Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Как раз этот MegoShop и устанавливается сам. Постоянно, после перезагрузки компьютера, это расширение ставится само.
    Вот Fixlog который создался :
    Файл из программы :
    Из утилиты ClearLNK :
    Проблема есть с этими расширениями, они сами добавляются в браузеры и удаляют блокераторы рекламы.
     

    Вложения:

  18. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.978
    Тогда пардон,сейчас добьем

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    CHR Extension: (Mego Shop) - C:\Users\Tomatov\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-08-22]
    OPR Extension: (Mego Shop) - C:\Users\Tomatov\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-08-22]
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Обновите:

    ----
    WinRAR 5.31 (64-bit) v.5.31.0 Внимание! Скачать обновления
    VLC media player v.2.2.4

    -------------------------------- [ Java ] ---------------------------------
    Java 8 Update 101 (64-bit) v.8.0.1010.13 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u102-windows-x64.exe)^

    Adobe Flash Player 22 NPAPI v.22.0.0.192 Внимание! Скачать обновления



    Вы так и не ответили - какие то проблемы еще наблюдаются?
     
  19. lilchurll
    Оффлайн

    lilchurll Новый пользователь

    Сообщения:
    16
    Симпатии:
    2
    Вот фикс лог, сейчас начну обновлять программы.
    Я же говорю, при перезагрузке компьютера, в браузеры добавляются какие-то расширения, которые автоматически удаляют блокировщики рекламы.
    --- Объединённое сообщение, 23 авг 2016 ---
    Обманул. Перезагрузил компьютер и посмотрел, ни одно расширение не удалилось. Всё хорошо.
    Есть какие-то заключительные инструкции?
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      1,6 КБ
      Просмотров:
      1
  20. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.978
    Последнее редактирование: 23 авг 2016
Статус темы:
Закрыта.

Поделиться этой страницей