Решена Adware программы в системе

Статус
В этой теме нельзя размещать новые ответы.

borecart

Активный пользователь
Сообщения
109
Симпатии
1
Баллы
98
#1
Провел чистку программой CCleaner - было удалено более 18 000 МБ мусора. Затем очистил мусор программой ADWcleaner. Специалисты обнаружили вредоносные файлы.
Лог HiJackThis fork;
Лог Check Browsers' LNK;
Лог FRST.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,544
Симпатии
6,003
Баллы
843
#2
Здравствуйте.
Удалите через установку и удаление программ:
Video and Audio Plugin UBar


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   ClearQuarantine;
   QuarantineFile('C:\Users\Егор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
   QuarantineFile('C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
   QuarantineFile('C:\ProgramData\help.bat', '');
   QuarantineFile('C:\Users\Егор\AppData\Local\Yandex\browser.bat', '');
   QuarantineFile('C:\eSupport\Manual\eManual.exe', '');
   QuarantineFile('C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '');
   DeleteFile('C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
   DeleteFile('C:\ProgramData\help.bat', '');
   DeleteFile('C:\Users\Егор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
   DeleteFile('C:\Users\Егор\AppData\Local\Yandex\browser.bat', '');
   DeleteFile('C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '');
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - (no file)

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
ShortcutWithArgument: C:\Users\Егор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://rigneda.ru/?utm_source=startlink03&utm_content=adbf052057e305ed7ecce74202676864&utm_term=0BC7A30B8C31B899B5FD9CEB6C8615F5&utm_d=20161231"
Shortcut: C:\Users\Егор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk -> C:\Users\Егор\AppData\Local\Yandex\browser.bat (No File)
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [151]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [151]
AlternateDataStreams: C:\Users\Егор\Local Settings:wa [178]
AlternateDataStreams: C:\Users\Егор\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\Егор\AppData\Local\Application Data:wa [178]
MSCONFIG\startupreg: shsqkihuku => explorer "http://snikis.ru/?utm_source=uoua03&utm_content=692f4c1d7ea5518af113ac5e1c13872d&utm_term=0BC7A30B8C31B899B5FD9CEB6C8615F5"
FirewallRules: [TCP Query User{C6B887B0-72F2-4AE4-A212-33DC45F1C808}C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe] => (Block) C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe
FirewallRules: [UDP Query User{18974C41-A64D-4313-8730-5F99A7639B7B}C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe] => (Block) C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe
FirewallRules: [TCP Query User{BB614A32-A60F-4959-8385-A8205F71C499}C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe] => (Block) C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe
FirewallRules: [UDP Query User{565F4239-DA2E-478C-B295-D5912C28A9E7}C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe] => (Block) C:\users\егор\appdata\roaming\zona\plugins\zstream\engine\zstream.exe
FirewallRules: [{F682C1BF-4550-4CF6-AD6E-E7C7536F8D6C}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe
FirewallRules: [{5EA756BD-9696-419F-8077-676CADD956D2}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe
FirewallRules: [TCP Query User{94F100D5-ABAC-49C5-8920-2D4A51843E9C}C:\program files (x86)\zona\zona.exe] => (Allow) C:\program files (x86)\zona\zona.exe
FirewallRules: [UDP Query User{5FAA0544-0182-4643-8B4F-6BFAF87998AF}C:\program files (x86)\zona\zona.exe] => (Allow) C:\program files (x86)\zona\zona.exe
FirewallRules: [{BACBA8AD-3F8C-48AA-B269-276EB8D924B0}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{9E870D34-B317-45D3-9B37-40D29177B8A6}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{5DC8E64D-3338-4DA2-9C10-0F30C3F94DD9}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{1C4D0CCE-C73B-4B4F-9414-D9B0C5DEAF26}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{E6AB3F75-99B9-4397-B5F0-526510D9A852}] => (Allow) C:\Users\Егор\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{1CD60A69-FA49-4484-86C1-0C191E10AC98}] => (Allow) C:\Users\Егор\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{6DBF4A52-4ABF-416B-9210-0D7A2C1DFA1B}] => (Allow) C:\Program Files\UBar\ubar.exe
HKLM-x32\...\Run: [gmsd_ua_025010027] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4094458489-724003158-3901448109-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> C:\Program Files (x86)\Youtube AdBlock\IEEF\70ZBC0.dll => No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKU\S-1-5-21-4094458489-724003158-3901448109-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
FF Extension: (WebAlta) - C:\Users\Егор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi [2014-12-19] [not signed]
2016-07-19 14:47 - 2017-02-24 11:57 - 0000380 _____ () C:\Users\Егор\AppData\Roaming\sp_data.sys
2016-12-17 02:20 - 2016-12-17 02:20 - 0000000 ____H () C:\Users\Егор\AppData\Local\BIT580A.tmp
2016-12-17 02:20 - 2016-12-17 02:20 - 0000000 _____ () C:\Users\Егор\AppData\Local\{627F944A-1012-4F91-B23B-5D6F9C2773EF}
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Запустите AVZ - сервис - поиск данных в реестре - введите webalta
Отчет о найденном прикрепите.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

borecart

Активный пользователь
Сообщения
109
Симпатии
1
Баллы
98
#3
Удалите через установку и удаление программ:
Video and Audio Plugin UBa
Выполнено.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы
Отправил.
Пофиксите" в HijackThis (некоторые строки могут отсутствовать)
Пофиксил. Отсутствующие строки, в том числе.
Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Сделано. Прикрепляю.
Запустите AVZ - сервис - поиск данных в реестре - введите webalta
Отчет о найденном прикрепите
Даю. (Export)
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Прикрепляю.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,544
Симпатии
6,003
Баллы
843
#6
Удалите все что нашел поиском WebAlta по реестру AVZ.

  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.


Проблемы есть еще?
 

borecart

Активный пользователь
Сообщения
109
Симпатии
1
Баллы
98
#7
Удалите все что нашел поиском WebAlta по реестру AVZ.
Выполнено.)
Все стало работать быстрее и лучше. Еще после чистки программой ADWCleaner. Обновил оценку производительности, увеличилась с 4,6, на 4,9.
Подготовьте лог OTL by OldTimer, как описано на этой странице.
Ошибка. Скрин прилагаю.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,612
Симпатии
12,661
Баллы
2,203
#8
Уберите галочку Scan all Users и попробуйте еще раз. Если опять будет ошибка, то подготовьте свежий лог FRST
 

Кирилл

Команда форума
Администратор
Сообщения
13,544
Симпатии
6,003
Баллы
843
#10
borecart, восстановите ассоциации файлов:
helpfile,htmlfile,regfile,txtfile,Folder
https://safezone.cc/threads/vosstanovlenija-fajlovyx-associacij.21818/

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

Кирилл

Команда форума
Администратор
Сообщения
13,544
Симпатии
6,003
Баллы
843
#12
Скачать и запустить html_fix,reg_fix,txt_fix,dyrectory_fix,dryve_fix от вашей системы и запустить.
 
Статус
В этой теме нельзя размещать новые ответы.

Similar Threads

Ответы
11
Просмотры
3,181
Ответы
10
Просмотры
2,438
Ответы
2
Просмотры
244
Ответы
10
Просмотры
459
Сверху Снизу