Решена pup.optional.mailru

Статус
В этой теме нельзя размещать новые ответы.

Darkstriker

Новый пользователь
Сообщения
45
Реакции
0
Здравствуйте, появился похоже, что вирус с названием pup.optional.mailru, удалять пробовал но все тщетно, прикрепить лог не могу, т.к. блокируется программа (при ее открытии, она сразу же закрывается) и сам сайт. Записал пару видосов, где показано, что не могу открыть сайт с adwcleaner и саму программу, так же в папке AutoLogger не могу открыть папку AVZ
Безымянный.jpg
41.jpg
 
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Пост выше удалил, не нужно писать полусонным. Сделайте логи этой версией автологера
 
Последнее редактирование:
Правильно сделал?
 

Вложения

  • PC_2018-02-07_01-05-11.7z
    793.6 KB · Просмотры: 7
Последнее редактирование:
Да, все верно. И еще подготовьте лог pif версией автологера из моего предыдущего поста. Сегодня (уже сегодня наступило) с утра подготовим скрипт, пока, спокойной ночи!
 
При попытке его (pif) открыть, он сразу же закрывается при распаковке файлов (100%, появляется окно программы и сразу же закрывается)
Имеется HiJackThis.log стоит его прикреплять?
 

Вложения

  • HiJackThis.log
    31.1 KB · Просмотры: 4
Последнее редактирование:
Сделал анализ, но лог не было создано, что дальше нужно делать?
 
Деинсталируйте до завершения лечения Malwarebytes' Anti-Malware.
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v400c
    OFFSGNSAVE
    BREG
    sreg
    zoo %SystemDrive%\PROGRAM FILES (X86)\RYYCO.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\RYYCO.EXE
    delref HTTP://DREAMMY.INFO/QSAZHNKNLSGZ.ZYO
    regt 18
    czoo
    deltmp
    areg
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
 
Сделал анализ, но лог не было создано, что дальше нужно делать?
Так и задумано, проверка при помощи uvs основывается так же и на результатах VT. После выполнения скрипта попробуйте запустить автологер.
 
Отправил
Автологер запустился
 
Последнее редактирование:
Он?
 

Вложения

  • CollectionLog-2018.02.07-12.36.zip
    94.8 KB · Просмотры: 2
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\System\ip100Avista', 'EventMessageFile', 'REG_EXPAND_SZ', '%SystemRoot%\System32\netevent.dll');
RebootWindows(false);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Готово
 

Вложения

  • AdwCleaner[S0].txt
    952 байт · Просмотры: 2
Еще раз попробуйте собрать логи FRST (сообщение №2)
 
Готово
 

Вложения

  • Addition.txt
    65.5 KB · Просмотры: 3
  • FRST.txt
    47.3 KB · Просмотры: 5
  • Shortcut.txt
    157 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [DisallowRun] 0
    HKLM\...\Policies\Explorer: [RestrictRun] 0
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-21-90886909-452889198-3688984548-1002\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-21-90886909-452889198-3688984548-1002\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    Task: {BD6B9532-A8F4-4A75-97BA-007B95C54EEA} - \{03B7CAB5-7E42-4E97-AEFA-7EF141668563} -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу