1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена 100% загрузка процессора, до 5-ти вкладок в Mozilla всплывающей рекламы..

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Razey, 7 дек 2016.

  1. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Здравствуйте!

    Есть подопечный, ноутбук достаточно древний (5-7 лет), но еще могущий что-то...
    Антивирус (Comodo Internet Security) перестал работать (не хочет запускаться, возможно, его "пожрали" зловреды), а хозяйка не очень-то в этом понимает... Обратилась тогда, когда "сильно начало тормозить"... Почти все время 100% загрузка процессора, до 5-ти вкладок всплывающей рекламы в Mozilla (а также в IE и Chromodo). Не открываются некоторые сайты... Прошу посмотреть. Логи во вложении.
     

    Вложения:

  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Здравствуйте еще раз! Хочу напомнить про свои логи...
     
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.484
    Симпатии:
    9.201
    Деинсталлируйте полностью Comodo, он мешает нашим утилитам сбора лога, скачайте Autologger заново и сделайте новый комплект логов
    --- Объединённое сообщение, 12 дек 2016 ---
    + деинсталлируйте данные программы:

     
    Razey нравится это.
  5. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Здравствуйте!

    Выполнено. Программы удалены, логи во вложении.
     

    Вложения:

  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.484
    Симпатии:
    9.201
    Выполните скрипт в AVZ

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
    then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    TerminateProcessByName('c:\users\Дом\appdata\roaming\vdi\shared\product updater\monhost.exe');
    TerminateProcessByName('c:\users\Дом\appdata\local\villabase.exe');
    TerminateProcessByName('c:\programdata\logic handler\set.exe');
    TerminateProcessByName('c:\programdata\ronzap\ronzap.exe');
    TerminateProcessByName('c:\users\Дом\appdata\roaming\vdi\shared\product updater\produpd.exe');
    TerminateProcessByName('c:\program files\obnovi soft\obnovisoft.exe');
    TerminateProcessByName('c:\programdata\networkpacketmanitor\nettrans.exe');
    SetServiceStart('Ronzap', 4);
    StopService('Ronzap');
    SetServiceStart('pupducteraupdatedown', 4);
    StopService('pupducteraupdatedown');
    SetServiceStart('Nettrans', 4);
    StopService('Nettrans');
    SetServiceStart('BitTorrent', 4);
    StopService('BitTorrent');
    SetServiceStart('backlh', 4);
    StopService('backlh');
    QuarantineFile('c:\users\Дом\appdata\local\amigo\application\amigo.exe','');
    QuarantineFile('C:\Users\Дом\AppData\Local\Hostinstaller\2791001606_monster.exe','');
    QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\Strongplus','');
    QuarantineFile('C:\Users\Дом\AppData\Local\rightchose\regCheck.vbs','');
    QuarantineFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe','');
    QuarantineFile('C:\Users\Дом\AppData\Local\ValidateLife\regCheck.vbs','');
    QuarantineFile('C:\Users\Дом\AppData\Local\LastNews\regCheck.vbs','');
    QuarantineFile('C:\ProgramData\Ronzap\Transis.dll','');
    QuarantineFile('C:\Users\Дом\AppData\Local\ImmediateHelp\regCheck.vbs','');
    QuarantineFile('C:\Users\Дом\AppData\Local\TestMenu\regCheck.vbs','');
    QuarantineFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','');
    QuarantineFile('C:\Users\Дом\AppData\Local\FileSystemOptions\regCheck.vbs','');
    QuarantineFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe','');
    QuarantineFile('C:\Users\Дом\AppData\Roaming\PBot\launchall.py','');
    QuarantineFile('C:\ProgramData\hdtask\hdtask.exe','');
    QuarantineFile('C:\Users\Дом\AppData\Local\FilterOptions\regCheck.vbs','');
    QuarantineFile('C:\Users\Дом\AppData\Local\DateOption\regCheck.vbs','');
    QuarantineFile('C:\ProgramData\Ronzap\Ronzap.exe','');
    QuarantineFile('C:\Users\Дом\AppData\Local\Villabase.exe','');
    QuarantineFile('C:\ProgramData\NetworkPacketManitor\Nettrans.exe','');
    QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
    QuarantineFile('C:\ProgramData\Logic Handler\set.exe','');
    QuarantineFile('c:\users\Дом\appdata\local\villabase.exe','');
    QuarantineFile('c:\programdata\logic handler\set.exe','');
    QuarantineFile('c:\programdata\ronzap\ronzap.exe','');
    QuarantineFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\produpd.exe','');
    QuarantineFile('c:\program files\obnovi soft\obnovisoft.exe','');
    QuarantineFile('c:\programdata\networkpacketmanitor\nettrans.exe','');
    QuarantineFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\monhost.exe','');
    DeleteFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\monhost.exe','32');
    DeleteFile('c:\programdata\networkpacketmanitor\nettrans.exe','32');
    DeleteFile('c:\program files\obnovi soft\obnovisoft.exe','32');
    DeleteFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\produpd.exe','32');
    DeleteFile('c:\programdata\ronzap\ronzap.exe','32');
    DeleteFile('c:\programdata\logic handler\set.exe','32');
    DeleteFile('c:\users\Дом\appdata\local\villabase.exe','32');
    DeleteFile('C:\ProgramData\Logic Handler\set.exe','32');
    DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32');
    DeleteFile('C:\ProgramData\NetworkPacketManitor\Nettrans.exe','32');
    DeleteFile('C:\Users\Дом\AppData\Local\Villabase.exe','32');
    DeleteFile('C:\ProgramData\Ronzap\Ronzap.exe','32');
    DeleteFile('C:\Users\Дом\AppData\Local\DateOption\regCheck.vbs','32');
    DeleteFile('C:\Users\Дом\AppData\Local\FilterOptions\regCheck.vbs','32');
    DeleteFile('C:\ProgramData\hdtask\hdtask.exe','32');
    DeleteFile('C:\Users\Дом\AppData\Roaming\PBot\launchall.py','32');
    DeleteFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe','32');
    DeleteFile('C:\Users\Дом\AppData\Local\FileSystemOptions\regCheck.vbs','32');
    DeleteFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','32');
    DeleteFile('C:\Users\Дом\AppData\Local\TestMenu\regCheck.vbs','32');
    DeleteFile('C:\Users\Дом\AppData\Local\ImmediateHelp\regCheck.vbs','32');
    DeleteFile('C:\ProgramData\Ronzap\Transis.dll','32');
    DeleteFile('C:\Users\Дом\AppData\Local\LastNews\regCheck.vbs','32');
    DeleteFile('C:\Users\Дом\AppData\Local\ValidateLife\regCheck.vbs','32');
    DeleteFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe','32');
    DeleteFile('C:\Users\Дом\AppData\Local\rightchose\regCheck.vbs','32');
    DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Local\Strongplus','32');
    DeleteFile('C:\Windows\system32\Tasks\rkdownilad','32');
    DeleteFile('C:\Users\Дом\AppData\Local\Hostinstaller\2791001606_monster.exe','32');
    DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
    DeleteFile('C:\Windows\system32\Tasks\{C6B1817F-F7E3-4A3E-A512-8B1DB58669CE}','32');
    DeleteFile('c:\users\Дом\appdata\local\amigo\application\amigo.exe','32');
    ExecuteFile('schtasks.exe', '/delete /TN "{C6B1817F-F7E3-4A3E-A512-8B1DB58669CE}" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "rkdownilad" /F', 0, 15000, true);
    DeleteService('Ronzap');
    DeleteService('Nettrans');
    DeleteService('pupducteraupdatedown');
    DeleteService('BitTorrent');
    DeleteService('backlh');
    DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
    DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hdtask');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','produpd');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Обнови Софт');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','shell');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

    Запустите HijackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\)
    Нажмите кнопку "Do a system scan only"
    В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix сhecked".
    Код (Text):
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4x
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0VgbR9rPLZvnk1J7IiqxmVuVzUggjigG5-3Ibii6J2erRKyLjHCFGHUlaw6stK-x6k36kSSM4zIX20D8xLpZtRmtrnrkS
    R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4x
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.linkzb.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4xR4GXQCsmV_RV&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4xR4GXQCsmV_RV&q={searchTerms}
    O1 - Hosts: 127.0.0.1 down.baidu2016.com
    O1 - Hosts: 127.0.0.1 123.sogou.com
    O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
    O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
    O1 - Hosts: 127.0.0.1 union.baidu2019.com
    O4 - HKCU\..\Policies\Explorer\Run: [LastNews] C:\Users\Дом\AppData\Local\LastNews\regCheck.vbs www.snowyear.xyz/?rnd=133 0 2400000
    O4 - HKCU\..\Policies\Explorer\Run: [ValidateLife] C:\Users\Дом\AppData\Local\ValidateLife\regCheck.vbs www.hitopup.xyz/?rnd=133 0 4200000
    O4 - HKCU\..\Run: [FileSystemOptions] C:\Users\Дом\AppData\Local\FileSystemOptions\regCheck.vbs www.minipigping.com/?rnd=133 0 1200000
    O4 - HKCU\..\Run: [PBot] "C:\Users\Дом\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\Дом\AppData\Roaming\PBot\launchall.py"
    O4 - HKCU\..\Run: [hdtask] "C:\ProgramData\hdtask\hdtask.exe"
    O4 - HKCU\..\Run: [produpd] "C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe" /20431x7405
    O4 - HKCU\..\Run: [Обнови Софт] "C:\Program Files\Obnovi Soft\ObnoviSoft.exe" -startup
    O4 - HKLM\..\Policies\Explorer\Run: [ImmediateHelp] C:\Users\Дом\AppData\Local\ImmediateHelp\regCheck.vbs www.2road.xyz/?rnd=133 0 3600000
    O4 - HKLM\..\Policies\Explorer\Run: [TestMenu] C:\Users\Дом\AppData\Local\TestMenu\regCheck.vbs www.testmenu.xyz/?rnd=133 0 1800000
    O4 - HKLM\..\Run: [DateOption] C:\Users\Дом\AppData\Local\DateOption\regCheck.vbs www.syschecksync.com/?rnd=133 0 0
    O4 - HKLM\..\Run: [FilterOptions] C:\Users\Дом\AppData\Local\FilterOptions\regCheck.vbs www.regtestproc.com/?rnd=133 0 600000
    O4 - MSConfig\startupreg:  [Auto]  (2014/12/08) (no file)
    O4 - MSConfig\startupreg:  [Sbnknc]  (2014/12/08) (no file)
    O4 - MSConfig\startupreg:  [SystemScript]  (2014/12/08) (no file)
    O4 - MSConfig\startupreg:  [amigo]  (2014/12/08) (no file)
    O4 - MSConfig\startupreg:  [configuration]  (2014/12/08) (no file)
    O4 - MSConfig\startupreg:  [mobilegeni daemon]  (2013/10/10) (no file)
    O4 - User Startup: monhost.lnk    ->    C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe
    O4 - User Startup: regCheck.lnk    ->    C:\Users\Дом\AppData\Local\rightchose\regCheck.vbs
    O20 - AppInit_DLLs: C:\ProgramData\Ronzap\Transis.dll
    O22 - ScheduledTask: (Ready) PBot - {root} - C:\Users\Дом\AppData\Roaming\PBot\python\pythonw.exe app.py
    O22 - ScheduledTask: (Ready) Soft installer - {root} - "C:\Users\Дом\AppData\Local\Hostinstaller\2791001606_monster.exe" subid=0;scheduler=1
    O22 - ScheduledTask: (Ready) rkdownilad - {root} - C:\Windows\system32\config\systemprofile\AppData\Local\Strongplus /t 5738 5774
     
    Скачайте и распакуйте из архива программу ClearLNK.exe

    Перетащите файл-отчет...\AutoLogger\CheckBrowserLnk\Check_Browsers_LNK.log на файл программы.

    [​IMG]

    ВНИМАНИЕ: Приложите в теме, где Вам оказывают помощь, отчет ClearLNK-<Дата>.log, который будет создан в папке LOG рядом с программой.
    Если отчет слишком большой, упакуйте его в архив формата ZIP.


    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
     
    Razey нравится это.
  7. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Здравствуйте!

    Скрипт AVZ выполнен, найденное (но не все, части не было) пофиксено, логи новые во вложении, карантин на почту отправлен
     

    Вложения:

  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.484
    Симпатии:
    9.201
  9. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Выполнено. лог во вложении.
     

    Вложения:

  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.484
    Симпатии:
    9.201
    Советую додеинсталлировать:

    Далее удалите все найденное в AdwCleaner по этой инструкции: http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-157088

    Лог C:\AdwCleaner\AdwCleaner[C1].txt. прикрепите.

    подготовьте логи FRST: http://safezone.cc/threads/kak-podgotovit-log-farbar-recovery-scan-tool.17759/
     
    Razey нравится это.
  11. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Здравствуйте!

    Программы деинсталлировал, логи во вложении.

    Лог AdwCleaner'a C1 не нашел, прикрепил то, что нашел...
     

    Вложения:

    • AdwCleaner[C0].txt
      Размер файла:
      12 КБ
      Просмотров:
      1
    • AdwCleaner[S1].txt
      Размер файла:
      11,5 КБ
      Просмотров:
      0
    • Addition.txt
      Размер файла:
      37,3 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      50,8 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      113,9 КБ
      Просмотров:
      0
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.484
    Симпатии:
    9.201
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.
    [​IMG]
    Cкопируйте в него текст из окна "код" ниже и сохраните.

    Код (Text):
    start
    CreateRestorePoint:
    GroupPolicy: Restriction ? <======= ATTENTION
    GroupPolicy\User: Restriction ? <======= ATTENTION
    HKU\S-1-5-21-3326964963-3196463299-1342001486-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0VgbR9rPLZvnk1J7IiqxmVuVzUggjigG5-3Ibii6J2erRKyLjHCFGHUlaw6stK-x6k36kSSM4zIX20D8xLpZtRmtrnrkS
    SearchScopes: HKLM -> DefaultScope value is missing
    SearchScopes: HKU\S-1-5-21-3326964963-3196463299-1342001486-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4xR4GXQCsmV_RV&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3326964963-3196463299-1342001486-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    FF Homepage: Mozilla\Firefox\Profiles\a2l0aot2.default -> hxxp://mail.ru/cnt/10445?gp=811001
    FF Extension: (The Safe Surfing) - C:\Users\Дом\AppData\Roaming\Mozilla\Firefox\Profiles\a2l0aot2.default\Extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2015-11-24] [not signed]
    FF Extension: (Global Stat) - C:\Users\Дом\AppData\Roaming\Mozilla\Firefox\Profiles\a2l0aot2.default\Extensions\{98538934-3027-1265-953f-95936ac8736f}.xpi [2016-11-23] [not signed]
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\config-prefs.js [2016-12-06]
    CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
    OPR Extension: (Tampermonkey) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-11-23]
    OPR Extension: (The Safe Surfing) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-09-17]
    NETSVC: KBDMAI -> no filepath.
    NETSVC: d3dadapter -> no filepath.
    NETSVC: ir16_32 -> no filepath.
    NETSVC: wlanmgr -> no filepath.
    2016-12-14 16:46 - 2016-12-14 16:46 - 00000000 ____D C:\Program Files\Common Files\32t14jlw
    2016-12-14 15:46 - 2016-12-14 15:46 - 00000000 ____D C:\Program Files\Common Files\o0qfkpze
    2016-12-14 14:46 - 2016-12-14 14:46 - 00000000 ____D C:\Program Files\Common Files\ww01m4nd
    2016-12-14 13:46 - 2016-12-14 13:46 - 00000000 ____D C:\Program Files\Common Files\2pglxkbn
    2016-12-14 12:46 - 2016-12-14 12:46 - 00000000 ____D C:\Program Files\Common Files\loxeasfd
    2016-12-14 11:46 - 2016-12-14 11:46 - 00000000 ____D C:\Program Files\Common Files\krpwwdxc
    2016-12-14 10:46 - 2016-12-14 10:46 - 00000000 ____D C:\Program Files\Common Files\4imxqiko
    2016-12-14 09:46 - 2016-12-14 09:46 - 00000000 ____D C:\Program Files\Common Files\ci5xo3oc
    2016-12-14 08:46 - 2016-12-14 08:46 - 00000000 ____D C:\Program Files\Common Files\ujvvi00x
    2016-12-14 08:19 - 2016-12-14 08:19 - 00000000 ____D C:\Program Files\Common Files\egj4digh
    2016-12-09 10:02 - 2016-12-09 10:02 - 00000000 ____D C:\Program Files\Common Files\24badixh
    2016-12-08 17:47 - 2016-12-08 17:47 - 00000000 ____D C:\Program Files\Common Files\1cmucipu
    2016-12-08 15:48 - 2016-12-08 15:48 - 00000000 ____D C:\Program Files\Common Files\i1irnm5p
    2016-12-08 10:41 - 2016-12-08 10:41 - 00000000 ____D C:\Program Files\Common Files\0jslc1qa
    2016-12-08 09:40 - 2016-12-08 09:40 - 00000000 ____D C:\Program Files\Common Files\wv2bw1po
    2016-12-08 08:39 - 2016-12-08 08:39 - 00000000 ____D C:\Program Files\Common Files\z2xpqaya
    2016-12-08 07:42 - 2016-12-08 07:42 - 00000000 ____D C:\Program Files\Common Files\cot0vmci
    2016-12-08 06:43 - 2016-12-08 06:43 - 00000000 ____D C:\Program Files\Common Files\b4dkjmal
    2016-12-08 05:38 - 2016-12-08 05:38 - 00000000 ____D C:\Program Files\Common Files\r4y2ya1n
    2016-12-08 04:37 - 2016-12-08 04:37 - 00000000 ____D C:\Program Files\Common Files\pyfzmh4w
    2016-12-08 03:38 - 2016-12-08 03:38 - 00000000 ____D C:\Program Files\Common Files\gi0oopln
    2016-12-08 02:38 - 2016-12-08 02:38 - 00000000 ____D C:\Program Files\Common Files\4hy22jqe
    2016-12-08 01:38 - 2016-12-08 01:38 - 00000000 ____D C:\Program Files\Common Files\nifmk13b
    2016-12-08 00:37 - 2016-12-08 00:37 - 00000000 ____D C:\Program Files\Common Files\ba4tt2s1
    2016-12-07 23:34 - 2016-12-07 23:34 - 00000000 ____D C:\Program Files\Common Files\jhf42sly
    2016-12-07 22:31 - 2016-12-07 22:31 - 00000000 ____D C:\Program Files\Common Files\uwnu4clc
    2016-12-07 21:30 - 2016-12-07 21:30 - 00000000 ____D C:\Program Files\Common Files\ckfpoguh
    2016-11-30 11:19 - 2016-11-30 11:19 - 00000000 ____D C:\Program Files\Common Files\gkj5xakv
    2016-11-30 10:19 - 2016-11-30 10:19 - 00000000 ____D C:\Program Files\Common Files\bgulzvcr
    2016-11-29 15:08 - 2016-11-29 15:08 - 00000000 ____D C:\Program Files\Common Files\iisigcly
    2016-11-29 14:08 - 2016-11-29 14:08 - 00000000 ____D C:\Program Files\Common Files\emzgw5ix
    2016-11-24 14:19 - 2016-11-24 14:19 - 00000000 ____D C:\Program Files\Common Files\poawthg3
    2016-12-16 06:47 - 2016-03-31 11:33 - 00000000 ____D C:\Program Files\Common Files\COMODO
    2016-12-16 06:47 - 2015-09-02 07:02 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo
    2016-12-16 06:47 - 2015-09-02 07:01 - 00000000 ____D C:\Program Files\Comodo
    2016-12-16 06:38 - 2014-12-04 10:47 - 00000000 ____D C:\Users\Дом\AppData\Local\Comodo
    2016-12-14 17:44 - 2016-11-16 10:40 - 00000000 ____D C:\Users\Дом\AppData\Roaming\PBot
    2016-12-14 08:29 - 2015-09-02 07:00 - 00000000 ____D C:\Users\Все пользователи\Comodo
    2016-12-14 08:29 - 2015-09-02 07:00 - 00000000 ____D C:\ProgramData\Comodo
    2016-12-14 08:17 - 2016-11-16 10:44 - 00000000 ____D C:\Users\Все пользователи\ProductData
    2016-12-14 08:17 - 2016-11-16 10:44 - 00000000 ____D C:\ProgramData\ProductData
    2016-11-23 13:56 - 2016-11-16 10:45 - 00000000 ____D C:\Users\Дом\AppData\Roaming\ProductData
    C:\Users\Дом\AppData\Local\Temp\ccav_installer.exe
    C:\Users\Дом\AppData\Local\Temp\csgSetBsr32.dll
    C:\Users\Дом\AppData\Local\Temp\downloader.exe
    C:\Users\Дом\AppData\Local\Temp\EK9QF1CPZJV.exe
    C:\Users\Дом\AppData\Local\Temp\libeay32.dll
    C:\Users\Дом\AppData\Local\Temp\MailRuUpdater.exe
    C:\Users\Дом\AppData\Local\Temp\msvcr120.dll
    C:\Users\Дом\AppData\Local\Temp\nsm389D.exe
    C:\Users\Дом\AppData\Local\Temp\sqlite3.dll
    C:\Users\Дом\AppData\Local\Temp\YandexWorking.exe
    C:\Users\Дом\AppData\Local\Temp\{D4598420-6BD5-4BD4-90FD-ABD38A9619A6}.exe
    C:\Users\Дом\AppData\Local\Temp\{E30B0031-27C5-455E-9B15-CDF231A070AA}.exe
    AlternateDataStreams: C:\Windows\system32\HP1100LM.DLL:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\HP1100SM.EXE:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\HP1100SMs.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\HPSIsvc.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\mvusbews.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\Drivers\mvusbews.sys:$CmdTcID [64]
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
     
    Razey нравится это.
  13. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Выполнено! Fixlog.txt во вложении.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      15,5 КБ
      Просмотров:
      1
  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.484
    Симпатии:
    9.201
    Что с проблемами?

    Поставьте клиенту антивирус (Comodo не рекомендую, все-таки продукт больше для гиков, да и со стабильностью у него не очень)

    На выбор:

    От таких программ, как

    тоже толку особо нет.

    Вот тут и тут про оптимизаторы подробно расписано.

    Подготовьте лог SecurityCheck by glax24
     
    Razey нравится это.
  15. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Выполнено... Лог во вложении.
     

    Вложения:

  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.484
    Симпатии:
    9.201
    Исправляйте обновляйте:

    TeamViewer 12 v.12.0.71503 Внимание! Скачать обновления
    Microsoft Silverlight v.5.1.40728.0 Внимание! Скачать обновления
    Skype 5.6.0.110
    Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
    ^Необязательное обновление.^

    SnapDo v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


    Последнюю тоже деинсталлируйте.

    И читайте: http://safezone.cc/threads/rekomendacii-posle-udalenija-vredonosnogo-po.16715/
     
    Razey нравится это.
  17. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Удалил Comodo, поставил Avast по вашей ссылке, но в связи с этим вопрос: надо ли дополнительномк Avast активировать встроенный в ОС файерволл или ставить сторонний? А так можно закрывать тему.
     
    Последнее редактирование: 22 дек 2016
  18. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.484
    Симпатии:
    9.201
    Включайте встроенный в ОС. Не забудьте сбросить его настройки по умолчанию:

    [​IMG]
     
    Razey нравится это.
  19. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Спасибо, выполнено.
     
  20. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.484
    Симпатии:
    9.201

Поделиться этой страницей