Статус
В этой теме нельзя размещать новые ответы.
fseto

fseto

Активный пользователь
Сообщения
1,437
Реакции
319
Баллы
383
При работе в браузере, через какое-то время, автоматом открывается новая вкладка"Вулкан"
 

Вложения

Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
fseto, через панель управления удалите следующее ПО:
Код:
Calculator
Video and Audio Plugin UBar
Приложение Unity Web Player вам знакомо?

Посмотрите что в этой папке C:\ProgramData\USOShared?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Armen\AppData\Roaming\daemon2.exe', '');
QuarantineFile('C:\Users\Armen\appdata\local\systemdir\nethost.exe', '');
QuarantineFile('c:\program files\windowsapps\microsoft.messaging_2.13.20000.0_x86__8wekyb3d8bbwe\skypehost.exe', '');
QuarantineFile('C:\Users\Armen\AppData\Roaming\WindowsUpdater', '');
QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E\D7134B0C-7F1C-4E91-AACD-76FB2F813BEF.exe', '');
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
QuarantineFile('C:\WINDOWS\system32\Updater.exe', '');
QuarantineFileF('C:\Program Files (x86)\Unigine\Valley Benchmark 1.0', 'browser_x86.exe', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Users\Armen\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\KRB Updater Utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\Kinoroom Browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\nethost task', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM\ATWURM_OL', '64');
DeleteFile('C:\Users\Armen\appdata\local\systemdir\nethost.exe', '32');
DeleteFile('C:\Users\Armen\appdata\roaming\daemon2.exe', '32');
DeleteFile('C:\Users\Armen\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Kinoroom Browser.lnk', '32');
DeleteFileMask('C:\Users\Armen\appdata\local\systemdir', '*', true);
DeleteFileMask('C:\ProgramData\KRB Updater Utility', '*', true);
DeleteFileMask('C:\Program Files (x86)\Kinoroom Browser', '*', true);
DeleteDirectory('C:\Users\Armen\appdata\local\systemdir');
DeleteDirectory('C:\ProgramData\KRB Updater Utility');
DeleteDirectory('C:\Program Files (x86)\Kinoroom Browser');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Daemon');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kinoroom Browser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Последнее редактирование:
fseto

fseto

Активный пользователь
Сообщения
1,437
Реакции
319
Баллы
383
Привет)
удалите следующее ПО
Удалил.

Приложение Unity Web Player вам знакомо?
Знакомо, но тоже удалил.

Посмотрите что в этой папке C:\ProgramData\USOShared?
Не понятно. Посмотрите в прикрепленном файле Заметка1

Остальное сделал.
 

Вложения

Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
Привет)
Не понятно. Посмотрите в прикрепленном файле Заметка1
там все файлы формата etl? В таком формате хранит свои журналы Windows. По всей видимости это какая то их часть, возможно логи обновлений.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Folder Found : C:\Users\Armen\AppData\Local\Yandex
    Folder Found : C:\Users\Armen\AppData\LocalLow\Yandex
    Folder Found : C:\Users\Armen\AppData\Roaming\Yandex
    Folder Found : C:\Users\Armen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
    Так же снимите галочки и с этих строк, но если продуктами mail и Амиго не пользуетесь можете не снимать
    Код:
    Folder Found : C:\Program Files (x86)\Mail.Ru
    Folder Found : C:\ProgramData\Mail.Ru
    Folder Found : C:\Users\Armen\AppData\Local\Amigo
    Folder Found : C:\Users\Armen\AppData\Local\Mail.Ru
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Не сделали повторные логи по правилам!!
 
fseto

fseto

Активный пользователь
Сообщения
1,437
Реакции
319
Баллы
383

Вложения

Последнее редактирование:
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
fseto, расширение в Google CHrome nlipoenfbbikpbjkfpfillcgkoblgpmj 1 Goodsmart 104.5.2.127 ваше?
Игру WURM устанавливали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM\ATWURM', '');
QuarantineFileF('C:\Users\Armen\appdata\local\microsoft\extensions', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E\D7134B0C-7F1C-4E91-AACD-76FB2F813BEF.exe', '32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\extsetup', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\SafeBrowser', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A56A77F13-AFED-4806-9F84-89E6D834720E', '64');
DeleteFile('C:\Users\Armen\AppData\Roaming\WindowsUpdater', '32');
DeleteFile('C:\Users\Armen\appdata\local\microsoft\extensions\extsetup.exe', '32');
DeleteFileMask('C:\Users\Armen\appdata\local\microsoft\extensions', '*', true);
DeleteFileMask('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E', '*', true);
DeleteDirectory('C:\Users\Armen\appdata\local\microsoft\extensions');
DeleteDirectory('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '56A77F13-AFED-4806-9F84-89E6D834720E');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
fseto

fseto

Активный пользователь
Сообщения
1,437
Реакции
319
Баллы
383
расширение в Google CHrome nlipoenfbbikpbjkfpfillcgkoblgpmj 1 Goodsmart 104.5.2.127 ваше?
не надо никаких расширений.

Игру WURM устанавливали?
точно сказать не могу, но в Программы и компоненты не вижу, так что, можно удалить. Возможно оставшиеся файлы.
 

Вложения

fseto

fseto

Активный пользователь
Сообщения
1,437
Реакции
319
Баллы
383
то есть незнакомо?
нет.

авз не может закарантинить, пробую по инструкции, получается папка пустая. АВЗ выдает :
Ошибка карантина файла, попытка прямого чтения (updater.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (updater.exe)
Карантин с использованием прямого чтения - ошибка
Заархивировал в ручную в вин рар и отправил на quarantine <at> safezone.cc, но если не ошибаюсь у них фильтр, который принимает только архив сделанный самим АВЗ.
 
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
fseto, на архив пароль поставили?
письмо не дошло, заархивируйте, выложите на какой нибудь файлообменник и дайте ссылку мне в личку.
 
fseto

fseto

Активный пользователь
Сообщения
1,437
Реакции
319
Баллы
383
на архив пароль поставили?
разумеется. (virus)
дайте ссылку мне в личку.
если это принципиально, то нужно чтоб вы были онлайн. Последние несколько дней форум не работает должным образом. искал вас у др. пользователей в подписчиках, но увы.
 
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
нужен файл, можете его самостоятельно проверить на вирустотал и дать ссылку прямо здесь, а так я всегда онлайн, потому что на работе всегда остается страница с открытой вкладкой.
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,316
Реакции
5,919
Баллы
998
fseto

fseto

Активный пользователь
Сообщения
1,437
Реакции
319
Баллы
383
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
Task: {30905458-F43B-4DD0-A0B9-21762D470F9C} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {33398E93-D224-41DB-9751-FA7B94AFF2AE} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
Task: {4527ABE6-D760-4950-90DC-036A2CF3ADBB} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {545B4B53-F090-42A3-8546-6B73A4B6B982} - \Microsoft\SafeBrowser -> No File <==== ATTENTION
Task: {89DD811B-813F-45E8-8A32-D23E93EE8065} - \Microsoft\Windows\A56A77F13-AFED-4806-9F84-89E6D834720E -> No File <==== ATTENTION
Task: {8E7ADBE4-A281-4CB9-A3BA-17DA8D0D63F9} - System32\Tasks\Microsoft\Windows\extsetup => C:\Users\Armen\AppData\Local\Microsoft\Extensions\extsetup.exe
Task: {B8A42074-F1BF-4B95-8C70-5F3926B46685} - \Microsoft\Windows\WURM\ATWURM_OL -> No File <==== ATTENTION
Task: {BFAC2C16-EBBD-40CC-AD11-E19DC8B64AA7} - System32\Tasks\Microsoft\Windows\WURM\ATWURM => cmd
Task: {C89F6539-4787-4E09-842B-61748B6150C9} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Task: {F328EC24-3746-4612-BE5B-F4F11BF837CC} - System32\Tasks\Microsoft\Windows\SafeBrowser => C:\Users\Armen\AppData\Local\Microsoft\Extensions\extsetup.exe
Task: {FA542658-A82E-4889-B31E-2E62E6C341FA} - \Microsoft\extsetup -> No File <==== ATTENTION
FirewallRules: [{A110C010-8EE6-4525-B114-43691248F7C9}] => (Allow) C:\Users\Armen\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{C0300D8A-1269-47D6-A6AB-6AFCF1C468E9}] => (Allow) C:\Program Files\UBar\ubar.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-01-26 20:16 - 2016-01-26 20:16 - 00000000 ____D C:\Users\Armen\AppData\Local\Kometa
2016-01-26 20:16 - 2016-01-26 20:16 - 00000000 ____D C:\Users\Armen\AppData\Local\Amigo
2016-01-24 20:39 - 2016-01-25 00:27 - 00000000 ____D C:\Users\Armen\AppData\Roaming\Calculator
2016-01-24 20:37 - 2016-01-24 20:37 - 00000000 ____D C:\Users\Armen\AppData\Local\Поиcк в Интeрнете
2016-01-24 20:34 - 2016-01-25 00:26 - 00000000 ____D C:\Users\Armen\AppData\LocalLow\Unity
2016-01-24 20:34 - 2016-01-25 00:26 - 00000000 ____D C:\Users\Armen\AppData\Local\Unity
2016-01-24 20:34 - 2016-01-24 20:34 - 00000000 ____D C:\Users\Armen\AppData\Roaming\MailProducts
2016-01-26 01:26 - 2016-01-26 01:26 - 0000000 _____ () 
SearchScopes: HKU\S-1-5-21-3267805165-2103882178-1324926663-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD7095CA8-3E17-4414-9DE5-B03760E92FF8%7D&gp=801510
C:\Users\Armen\AppData\Roaming\smw_inst
cmd: del /Q C:\Users\Armen\AppData\Roaming\WindowsUpdater
cmd: del /Q C:\Users\Armen\AppData\Local\Microsoft\Extensions
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\SafeBrowser
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetup
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM\ATWURM
CHR Extension: (SyncGround) - C:\Users\Armen\AppData\Local\Google\Chrome\User Data\Default\Extensions\jgpmhnmjbhgkhpbgelalfpplebgfjmbf [2016-01-26]
CHR Extension: (Smart Browser™) - C:\Users\Armen\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-01-25]
OPR Extension: (SyncGround) - C:\Users\Armen\AppData\Roaming\Opera Software\Opera Stable\Extensions\jgpmhnmjbhgkhpbgelalfpplebgfjmbf [2016-01-26]
OPR Extension: (Smart Browser™) - C:\Users\Armen\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-01-25]
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Сделайте еще раз повторные логи по правилам.
 
Последнее редактирование:
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
fseto, в Хроме все равно кривые расширения. Попробуйте воспользоваться средством очистки

Скачайте инструмент очистки Google Chrome Chrome Cleanup Tool

Запустите инструмент очистки Chrome и он проверит ваш компьютер на наличие программ, которые Google считает "подозрительными" или "как известно, вызывают проблемы с Chrome", и предложит их удалить в случае обнаружения.

После завершения удаления, Chrome Cleanup Tool запустит браузер Chrome с командой chrome://settings/resetProfileSettings, которая предложит сбросить все настройки Chrome. Нажмите "Сбросить" и Google Chrome будет сброшен на настройки по умолчанию, или просто закройте окно, чтобы сохранить настройки.
 
fseto

fseto

Активный пользователь
Сообщения
1,437
Реакции
319
Баллы
383
вот это конечно странно, Хрома нет на компе, но расширения вижу в frst. Хотя, возможно хром был удален, а хвосты остались.
апустите инструмент очистки Chrome
Инструмент очистки:
ничего не найдено.
 
Chinaski

Chinaski

Ассоциация VN
Сообщения
2,148
Реакции
483
Баллы
453
вот это конечно странно, Хрома нет на компе
На это я не обратил внимания.
но расширения вижу в frst
потому что FRST проверил папки и нашел расширения в них.
В этой папке C:\Users\Armen\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences что есть?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу