1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Adware программы в системе

Тема в разделе "Удаление компьютерных вирусов", создана пользователем borecart, 24 фев 2017.

  1. borecart
    Оффлайн

    borecart Активный пользователь

    Сообщения:
    135
    Симпатии:
    1
    Провел чистку программой CCleaner - было удалено более 18 000 МБ мусора. Затем очистил мусор программой ADWcleaner. Специалисты обнаружили вредоносные файлы.
    Лог HiJackThis fork;
    Лог Check Browsers' LNK;
    Лог FRST.
     

    Вложения:

    • HiJackThis.log
      Размер файла:
      32,6 КБ
      Просмотров:
      5
    • Check_Browsers_LNK.log
      Размер файла:
      16,7 КБ
      Просмотров:
      4
    • FRST.txt
      Размер файла:
      36,1 КБ
      Просмотров:
      2
    • Shortcut.txt
      Размер файла:
      87,3 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      56,3 КБ
      Просмотров:
      3
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    13.036
    Симпатии:
    5.454
    Здравствуйте.
    Удалите через установку и удаление программ:
    Video and Audio Plugin UBar


    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       ClearQuarantine;
       QuarantineFile('C:\Users\Егор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
       QuarantineFile('C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
       QuarantineFile('C:\ProgramData\help.bat', '');
       QuarantineFile('C:\Users\Егор\AppData\Local\Yandex\browser.bat', '');
       QuarantineFile('C:\eSupport\Manual\eManual.exe', '');
       QuarantineFile('C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '');
       DeleteFile('C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
       DeleteFile('C:\ProgramData\help.bat', '');
       DeleteFile('C:\Users\Егор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
       DeleteFile('C:\Users\Егор\AppData\Local\Yandex\browser.bat', '');
       DeleteFile('C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '');
      CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    O3 - Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - (no file)
     

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    ShortcutWithArgument: C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://rigneda.ru/?utm_source=startlink03&utm_content=adbf052057e305ed7ecce74202676864&utm_term=0BC7A30B8C31B899B5FD9CEB6C8615F5&utm_d=20161231"
    Shortcut: C:\Users\Егор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk -> C:\Users\Егор\AppData\Local\Yandex\browser.bat (No File)
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [151]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [151]
    AlternateDataStreams: C:\Users\Егор\Local Settings:wa [178]
    AlternateDataStreams: C:\Users\Егор\AppData\Local:wa [178]
    AlternateDataStreams: C:\Users\Егор\AppData\Local\Application Data:wa [178]
    MSCONFIG\startupreg: shsqkihuku => explorer "http://snikis.ru/?utm_source=uoua03&utm_content=692f4c1d7ea5518af113ac5e1c13872d&utm_term=0BC7A30B8C31B899B5FD9CEB6C8615F5"
    FirewallRules: [TCP Query User{C6B887B0-72F2-4AE4-A212-33DC45F1C808}C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe] => (Block) C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe
    FirewallRules: [UDP Query User{18974C41-A64D-4313-8730-5F99A7639B7B}C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe] => (Block) C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe
    FirewallRules: [TCP Query User{BB614A32-A60F-4959-8385-A8205F71C499}C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe] => (Block) C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe
    FirewallRules: [UDP Query User{565F4239-DA2E-478C-B295-D5912C28A9E7}C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe] => (Block) C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe
    FirewallRules: [{F682C1BF-4550-4CF6-AD6E-E7C7536F8D6C}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe
    FirewallRules: [{5EA756BD-9696-419F-8077-676CADD956D2}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe
    FirewallRules: [TCP Query User{94F100D5-ABAC-49C5-8920-2D4A51843E9C}C:\program files (x86)\zona\zona.exe] => (Allow) C:\program files (x86)\zona\zona.exe
    FirewallRules: [UDP Query User{5FAA0544-0182-4643-8B4F-6BFAF87998AF}C:\program files (x86)\zona\zona.exe] => (Allow) C:\program files (x86)\zona\zona.exe
    FirewallRules: [{BACBA8AD-3F8C-48AA-B269-276EB8D924B0}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
    FirewallRules: [{9E870D34-B317-45D3-9B37-40D29177B8A6}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
    FirewallRules: [{5DC8E64D-3338-4DA2-9C10-0F30C3F94DD9}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
    FirewallRules: [{1C4D0CCE-C73B-4B4F-9414-D9B0C5DEAF26}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
    FirewallRules: [{E6AB3F75-99B9-4397-B5F0-526510D9A852}] => (Allow) C:\Users\Егор\AppData\Local\MediaGet2\mediaget.exe
    FirewallRules: [{1CD60A69-FA49-4484-86C1-0C191E10AC98}] => (Allow) C:\Users\Егор\AppData\Local\MediaGet2\mediaget.exe
    FirewallRules: [{6DBF4A52-4ABF-416B-9210-0D7A2C1DFA1B}] => (Allow) C:\Program Files\UBar\ubar.exe
    HKLM-x32\...\Run: [gmsd_ua_025010027] => [X]
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    CHR HKU\S-1-5-21-4094458489-724003158-3901448109-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> C:\Program Files (x86)\Youtube AdBlock\IEEF\70ZBC0.dll => No File
    BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
    Toolbar: HKU\S-1-5-21-4094458489-724003158-3901448109-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
    FF Extension: (WebAlta) - C:\Users\Егор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi [2014-12-19] [not signed]
    2016-07-19 14:47 - 2017-02-24 11:57 - 0000380 _____ () C:\Users\Егор\AppData\Roaming\sp_data.sys
    2016-12-17 02:20 - 2016-12-17 02:20 - 0000000 ____H () C:\Users\Егор\AppData\Local\BIT580A.tmp
    2016-12-17 02:20 - 2016-12-17 02:20 - 0000000 _____ () C:\Users\Егор\AppData\Local\{627F944A-1012-4F91-B23B-5D6F9C2773EF}
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    Запустите AVZ - сервис - поиск данных в реестре - введите webalta
    Отчет о найденном прикрепите.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  4. borecart
    Оффлайн

    borecart Активный пользователь

    Сообщения:
    135
    Симпатии:
    1
    Выполнено.
    Отправил.
    --- Объединённое сообщение, 27 фев 2017 ---
    Пофиксил. Отсутствующие строки, в том числе.
    Сделано. Прикрепляю.
    --- Объединённое сообщение, 27 фев 2017 ---
    Даю. (Export)
    --- Объединённое сообщение, 27 фев 2017 ---
    Прикрепляю.
     

    Вложения:

    • худ.png
      худ.png
      Размер файла:
      64,8 КБ
      Просмотров:
      16
    • Fixlog.txt
      Размер файла:
      11 КБ
      Просмотров:
      2
    • Export.txt
      Размер файла:
      2,3 МБ
      Просмотров:
      2
    • AdwCleaner[S1].txt
      Размер файла:
      1,8 КБ
      Просмотров:
      4
  5. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    13.036
    Симпатии:
    5.454
    Еще это:
    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
     
  6. borecart
    Оффлайн

    borecart Активный пользователь

    Сообщения:
    135
    Симпатии:
    1
    Вуаля.
     

    Вложения:

  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    13.036
    Симпатии:
    5.454
    Удалите все что нашел поиском WebAlta по реестру AVZ.

    • Подготовьте лог OTL by OldTimer, как описано на этой странице.
    • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
    • Если логи не прикрепляются запакуйте их в архив.


    Проблемы есть еще?
     
  8. borecart
    Оффлайн

    borecart Активный пользователь

    Сообщения:
    135
    Симпатии:
    1
    Выполнено.)
    --- Объединённое сообщение, 27 фев 2017 ---
    Все стало работать быстрее и лучше. Еще после чистки программой ADWCleaner. Обновил оценку производительности, увеличилась с 4,6, на 4,9.
    --- Объединённое сообщение, 27 фев 2017 ---
    Ошибка. Скрин прилагаю.
     

    Вложения:

    Последнее редактирование: 27 фев 2017
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.430
    Симпатии:
    14.589
    Уберите галочку Scan all Users и попробуйте еще раз. Если опять будет ошибка, то подготовьте свежий лог FRST
     
    Kиpилл нравится это.
  10. borecart
    Оффлайн

    borecart Активный пользователь

    Сообщения:
    135
    Симпатии:
    1
     

    Вложения:

    • Extras.Txt
      Размер файла:
      90,7 КБ
      Просмотров:
      2
    • OTL.Txt
      Размер файла:
      79,8 КБ
      Просмотров:
      3
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    13.036
    Симпатии:
    5.454
    borecart, восстановите ассоциации файлов:
    helpfile,htmlfile,regfile,txtfile,Folder
    https://safezone.cc/threads/vosstanovlenija-fajlovyx-associacij.21818/

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  12. borecart
    Оффлайн

    borecart Активный пользователь

    Сообщения:
    135
    Симпатии:
    1
    Н
    Не понимаю, как это сделать.
     
  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    13.036
    Симпатии:
    5.454
    Скачать и запустить html_fix,reg_fix,txt_fix,dyrectory_fix,dryve_fix от вашей системы и запустить.
     
  14. borecart
    Оффлайн

    borecart Активный пользователь

    Сообщения:
    135
    Симпатии:
    1
    По очереди все?
     
  15. Sandor
    Оффлайн

    Sandor Ассоциация VN/VIP

    Лучший автор месяца

    Сообщения:
    3.384
    Симпатии:
    1.189
    Да.
     
    Kиpилл нравится это.

Поделиться этой страницей