Решена Бесплатный сыр.

Статус
В этой теме нельзя размещать новые ответы.

Xattiko

Новый пользователь
Сообщения
15
Реакции
0
Добрый день!
У меня сложилась не очень хорошая ситуация,попробую объяснить вкратце:
Как вы знаете,во многих интернет-играх,будь то браузерная или клиентская,люди покупают интернет валюту,за которую можно всё.В одной такой игре,я решил на халяву закачать себе немного "денег",открыл хаксайт(их полно на youtube,внизу в описании к видеороликам) и начал делать всё,что там сказано.После всей процедуры,я подождал ответа.Ответ пришёл,но не тот,что я ожидал.После перевода,я понял следующее:"Приносим свои извинения,но ваш регион не обслуживается".Я,повторил попытку и проделал тоже самое второй раз...:Fool:.После,я зашёл на сайт игры...и фсё полезли баннеры,даже со "стоп рекламом".Поставил на проверку от Malwarebytes Anti-Malware,он нашёл 3 потенциально опасных файла,я их удалил.После этого начал играть,но не тут то было.Я,начал обильную проверку от Dr.Web(одноразовая лечащая утилита с оф сайта),ADVCleaner, Malwarebytes ни одного вируса,но я то знаю,что есть.И вот,я у вас....
Всё,что надо,я сделал..только вчера.
Прошу понять и помочь в данной ситуации,так как я не силён в искусстве врачевания ОС ПК.
С уважением Хаттико!
 

Вложения

  • CollectionLog-2017.09.29-23.18.zip
    159.1 KB · Просмотры: 4
Tencent деинсталируйте.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
QQ Phone Manager Service,Tencent,Iobit ... ваше?
Аваст как удаляли?
 
Перезагрузите систему.
Скачайте отладочную версию HiJackThis.
Распакуйте, запустите, нажмите Scan, по окончанию проверки нажмите Save Log...
Сохраните файл HiJackThis.log, упакуйте в архив, прикрепите к вашему сообщению.
 

Вложения

  • Addition.txt
    26.9 KB · Просмотры: 1
  • FRST.txt
    21.3 KB · Просмотры: 1
  • Shortcut.txt
    48.5 KB · Просмотры: 1
  • HiJackThis.log
    4.3 MB · Просмотры: 4
Зачистите следы всех антивирусов, что удаляли (аваст):
https://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
HKU\S-1-5-21-2026571132-1214774528-1767223049-1000\...\ChromeHTML: ->  <==== ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\Application\browser.bat
Task: {1E249B40-8E35-4067-80F7-A6F511D2D1CD} - System32\Tasks\avast! Emergency Update => D:\аваст\AvastEmUpdate.exe
Task: {56672277-93E4-4A0E-9659-90581133F564} - System32\Tasks\Uninstaller_SkipUac_Admin => C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {6008D9FB-2CFE-4CCE-92A7-3CFFEB14FB7C} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - D:\аваст\WebRep\FF => not found
FF HKLM\...\Firefox\Extensions: [sp@avast.com] - D:\аваст\SafePrice\FF => not found
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - D:\аваст\WebRep\Chrome\aswWebRepChromeSp.crx <not found>
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - D:\аваст\WebRep\Chrome\aswWebRepChrome.crx <not found>
S4 QQPMSRV; "C:\Program Files\Tencent\QQPCMgr\10.11.16600.237\Plugins\QQPCB1AndroidJmp\QQPmSrv.exe" [X]
S1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\10.11.16600.237\QMUdisk.sys [X]
S3 TS888; \??\C:\Program Files\Tencent\QQPCMgr\10.11.16600.237\TS888.sys [X]
C:\Program Files\Tencent\
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Повторите лог FRST

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Сообщите, какие проблемы остаются.
 
Последнее редактирование:
проблемка,поясните пожалуйста в папку с заменой сохранять или,как ?
и fixlist.txt сразу переименовывается в FRST и просит замену файлов,это правильно ?
вот как то так Screenshot Screenshot
 
Последнее редактирование:
Xattiko, тогда проще. Скопируйте скрипт для FRST, откройте утилиту и нажмите FIX. Утилита может извлекать скрипты из буфера обмена.
 
вот что получилось,пробовать выходить на сайт(который был заражен) не решаюсь
что делать далее...?
 

Вложения

  • ClearLNK-01.10.2017_15-26.log
    6 KB · Просмотры: 1
  • Fixlog.txt
    6 KB · Просмотры: 3
  • AdwCleaner[S1].txt
    1.1 KB · Просмотры: 1
А свежий лог frst?
 
есть желание поработать с моим ПК удалённо...?
 
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

есть желание поработать с моим ПК удалённо...?
По удаленке не работаем. Только прозрачное лечение. Тем более большая часть дела уже сделана.
 
Доброе утро отчёт прикреплю и скрины тоже:Screenshot
 

Вложения

  • AdwCleaner[S1].txt
    1.1 KB · Просмотры: 1
1.Здесь вот какая штука...антивирусы его не видят...а,он существует и более того прогрессирует...
2.было 2 рабочих браузера Мазила фаерфокс и Хром...оба удалял,а хром ставил заново..проблемы остались..
3.в Internet Explorer.работает стабильно,без "переходов на стр рекламы"...но очень медленно и частые сбои"зависание"+мигание экрана"как перезагрузка".
 
Подготовьте свежий CollectionLog с помощью Автологера.
 
вот только закончил...
 

Вложения

  • CollectionLog-2017.10.02-19.33.zip
    95.2 KB · Просмотры: 2
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://accesswebunlimited.com/wpad.dat?e65d14ed6b5fdf1d503df7ecd82a888b35963715
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(default) = 0http://accesswebunlimited.com/wpad.dat?e65d14ed6b5fdf1d503df7ecd82a888b35963715

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
пофиксить не смог не нашёл..всё остальное сделал
 

Вложения

  • CollectionLog-2017.10.02-21.22.zip
    52.8 KB · Просмотры: 1
Все правильно. Фикс я дал на случай, если не сработает скрипт, а он сработал :)

Что сейчас с проблемой?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу