Решена Безопасное удаление рекламного ПО после проверки программой AdwCleaner .

[Александр А.П.]

Проверил ПК программой AdwCleaner - программа, которая ищет и удаляет рекламное ПО в веб-браузере, панели инструментов, потенциально нежелательные программы (PUP) и hijacker-утилиты с компьютера. Но боюсь что удалю что то не то и ПК станет работать не корректно, поэтому прошу по возможности сообщить мне какие ПО и т.п. я могу безопасно удалить со своего ПК, лог файл программы прилагаю.

Спасибо,
с уважением Александр

 

[regist]

Программы от Mail.ru и zona используете?

+ Сделайте ещё комплект логов по правилам.

 

[Александр А.П.]

Да Mail.ru и Zona использую, комплект логов по правилам сделаю, спасибою
Доброе время суток, по Вашему запросу во вложении комплект логов.

 

[akok]

- Удалите в AdwCleaner всё кроме папок от mail.ru и Zona Отчет после удаления прикрепите.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 ExecuteRepair(10);
end.

После проверьте какие проблемы еще остались

 

[Кирилл]

+

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
• По окончанию сканирования снимите галочки со следующих строк:
  

  Папка Найдено : C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\yasearch@yandex.ru
  Папка Найдено : C:\Documents and Settings\Администратор\Application Data\zona
  Папка Найдено : C:\Documents and Settings\Администратор\Local Settings\Application Data\Mail.Ru
  Папка Найдено : C:\Documents and Settings\Администратор\Local Settings\Application Data\MailRu
  Папка Найдено : C:\Program Files\zona
  Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater]
  Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
  Ключ Найдено : HKCU\Software\zona
  люч Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{3A787631-66A2-4634-B928-A37E73B58FB6}
  Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\zona
  Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zona
  Ключ Найдено : HKLM\SOFTWARE\zona

• Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.




Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Александр А.П.]

Доброе время суток всем, спасибо за рекомендации, высылаю отчет после очистки программой AdwCleaner, если возможно прошу подсказать где можно посмотреть процедуры выполнения предложенного мне скрипта AVZ или написать чуть подробнее, сканирование программой Farbar Recovery Scan Tool выполню и вышлю в ближайшее время, еще раз спасибо.

С уважением

Александр
Еще раз доброе время суток, скрипт AVZ выполнил - получил сообщение "скрипт выполнен без ошибок" во вложении отчеты FRST.txt, Addition.txt, Shortcut.txt, спасибо,

с уважением

Александр

 

[Кирилл]

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-2000478354-1647877149-1801674531-500_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> No Filepath
CustomCLSID: HKU\S-1-5-21-2000478354-1647877149-1801674531-500_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> No Filepath
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:07BF512B
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:D3A96964
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2000478354-1647877149-1801674531-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
HKU\S-1-5-21-2000478354-1647877149-1801674531-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
HKU\S-1-5-21-2000478354-1647877149-1801674531-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
HKU\S-1-5-21-2000478354-1647877149-1801674531-500\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
SearchScopes: HKLM -> {95289393-33EA-4F8D-B952-483415B9C955} URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-2000478354-1647877149-1801674531-500 -> Yandex URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-2000478354-1647877149-1801674531-500 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = http://search.qip.ru/search?query={searchTerms}&from=IE
BHO: Skype Browser Helper -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} ->  No File
Toolbar: HKU\S-1-5-21-2000478354-1647877149-1801674531-500 -> AutoLogin - {598B818E-71F1-486E-A0BE-9952B5851367} -  No File
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} -  No File
CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-04]
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Вам этот сайт знаком?

http://installsoft.ru/

Если не ваше,то добавьте в скрипт еще такую строчку:

HKU\S-1-5-21-2000478354-1647877149-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://installsoft.ru

Запустите avz - сервис - поиск по реестру - введите:
webalta
Все найденное сохраните,отчет прикрепите.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
QuarantineFile('C:\WINDOWS\system32\User32.dll','');
QuarantineFile('C:\WINDOWS\explorer.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

У вас диск с дистрибутивом вашей ОС или образ диска есть?

 

[Кирилл]

+ нужен такой лог
https://safezone.cc/resources/check-browsers-lnk-by-dragokas-regist.122/

 

[Александр А.П.]

Доброе время суток, все Ваши указания выполнил, строчку добавил, все отчеты во вложении, скрипт выполнен без ошибок.
образ диска есть. Спасибо,

с уважением

Александр

 

[Кирилл]

Повторите поиск webalta с помощью avz и удалите все найденное.

Ваши указания выполнил,

А карантин где?

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

образ диска есть

Выполните проверку целостности системных файлов одним из способов:
https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/
https://safezone.cc/threads/obzor-utility-sfc-exe.18934/

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

 

[Александр А.П.]

Доброе время суток, извиняюсь был не внимателен, карантин отправил. Проверку целостности системных файлов и лог SecurityCheck.txt постараюсь отправить в ближайшее время, спасибо

с уважением
Александр

 

[Александр А.П.]

Доброе время суток, к сожалению у меня не получилось запустить программу "sfc" из командной строки (высылаю скрин) если Вы мне подскажете поточнее что надо делать т.к. в инструкции я не нашел или не правильно понял, высылаю лог созданный программой обычного запуска этой программы т.е. не из командной строки, спасибо

с уважением
Александр

з.ы. образ диска с виндой установил в виртуальный привод, система определила его как диск "Н" и лог SecurityCheck.txt пока не делал т.к. не полностью выполнил программу "sfs" или лог можно делать независимо от выполнения программы "sfc", еще раз спасибо.

 

[regist]

или лог можно делать независимо от выполнения программы "sfc",

можно независимо.

 

[Александр А.П.]

Доброе время суток, спасибо за информацию, повторил поиск webalta с помощью avz и удалил все найденное (см.вложение лог и скрин).
SecurityCheck.txt - сделал во вложении, спасибо

с уважением

Александр

 

[Кирилл]

Исправляйте уязвимости.


Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.6001.18702 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено

-------------------------------- [ Java ] ---------------------------------
Java 7 Update 80 v.7.0.800 Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.76.80.95 Внимание! Скачать обновления

Adobe Reader XI (11.0.08) - Russian v.11.0.08 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

---------------------------- [ UnwantedApps ] -----------------------------
Driver Booster 2.4 v.2.4 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
IObit Apps Toolbar v9.6 v.9.6 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------


Еще проблемы есть?

Выполните рекомендации после лечения.

 

[Александр А.П.]

Доброе время суток, огромное спасибо за помощь, очень Вам всем благодарен.
У меня вопрос по "IObit Apps Toolbar v9.6 v.9.6 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов .Рекомендуется деинсталляция". Деинсталлировать не могу, только если принудительно (см. вложение скрины).
Программа Driver Booster 2.4 v.2.4 - я заплатил за лицензию, пользуюсь и в этом случае прошу Ваших рекомендаций, если надо сносить, снесу и
порекомендуйте достойную замену. По остальным обновления понял.
И еще почитал ветку по поддержке обновления ХР, не все понял (если честно ничего не понял) и если можно коротко пояснить как это можно сделать и нужно ли это делать ?
еще раз спасибо,

с уважением,

Алекасандр

з.ы. и если я например не пользуюсь программами: QuickTime 7 v.7.76.80.95 и Adobe Reader XI (11.0.08) - могу ли я их удалить с ПК, спасибо.
Еще раз доброе время суток, вопрос исходя из ниже приведенного текста, мне устанавливать Java 8 т.к. ХР она не поддерживает:

Какой вариант установки мне следует выбрать?

Выберите загрузку 32-разрядной версии для использования с браузером 32-разрядной версии.
Выберите загрузку64-разрядной версии для использования с браузером 64-разрядной версии.
Если используются браузеры 32-разрядной и 64-разрядной версии, необходимо загрузить обе версии Java (32- и 64-разрядную).

Выберите интерактивную, чтобы быстро выполнить установку.
Выберите автономную загрузку, если установка будет выполняться на компьютере без соединения с Интернетом, или при наличии проблем с интерактивной загрузкой.

Системные требования

• Windows 8 (Настольные ПК)
• Windows 7
• Windows Vista SP2
• Windows Server 2008 R2 с пакетом обновления 1 (SP1) (64-разрядная версия)
• Windows Server 2012 (64-разрядная версия)

Примечание. Начиная с 8 апреля 2014 года, Microsoft прекращает поддержку ОС Windows XP, следовательно данная платформа официально более не поддерживается. Пользователи могут продолжать использовать обновления Java 7 для ОС Windows XP по своему усмотрению, но поддержка будет предоставляться для версий Microsoft Windows, таких как Windows Vista или более поздних.

 

[Кирилл]

Деинсталлировать не могу, только если принудительно (см. вложение скрины).

Удаляйте принудительно.
Если не получится поможем.

Программа Driver Booster 2.4 v.2.4 - я заплатил за лицензию, пользуюсь и в этом случае прошу Ваших рекомендаций, если надо сносить, снесу и
порекомендуйте достойную замену.

Если заплатили - на ваше усмотрение.
Но могу вам сказать что деньги на ветер,все драйвера доступны на оффсайтах производителей,а за разного рода оптимизаторами и обновляторами часто водится обычная брехня и отжим денег.
Бывало так что после подобного ПО система не запускалась.

если я например не пользуюсь программами: QuickTime 7 v.7.76.80.95 и Adobe Reader XI (11.0.08) - могу ли я их удалить с ПК, спасибо.

Ваше желание))

обновления Java 7

Да,используйте эту версию,замечание отправлено разработчику программы.

 

[Александр А.П.]

Доброе время суток, если можно то пожалуйста прокомментируйте

И еще почитал ветку по поддержке обновления ХР, не все понял (если честно ничего не понял) и если можно коротко пояснить как это можно сделать и нужно ли это делать ?

.
Во вложении скрин на что "ругается" Касперский, я обычно ставлю пропустить или можно тупо добавить в доверенные программы, спасибо.

С уважением
Александр

 

[Кирилл]

на что "ругается" Касперский

Сделайте по инструкции:
https://safezone.cc/threads/kak-soz...vosstanovlenija-i-ochistit-predyduschie.2065/

коротко пояснить как это можно сделать и нужно ли это делать ?

Вопрос не совсем понятен...задайте его в теме по ХР

Проблемы есть еще?

 

[Александр А.П.]

Доброе время суток, все понял. Большое спасибо всем и лично Вам за помощь, пока вопросов, проблем нет, по ХР займусь в теме.
Еще раз спасибо, с уважением

Александр