• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Недолеченный ноутбук, браузер в автозапуске, возможно "недочищенные" хвосты

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Здравствуйте! Есть ноутбук, начинал "лечить" с помощью нашего форума, но у него вышла из строя плата зарядки, а затем полностью сел аккумулятор и я немного не успел. Предполагаю, что остались "хвосты" от зловредов, логи во вложении, просьба посмотреть.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,849
Реакции
6,188
Баллы
913
Здравствуйте.
HappyProg version 18.89 ваша программа?
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
>>> [HTTP][s] "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"         -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"  =>> "hxxp://newsray.ru/" ]
>>> [HTTP][s] "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Войти в Интернет.lnk"     -> ["C:\Users\Administrator\AppData\Local\Xpom\Application\chrome.exe"  =>> "hxxp://newsray.ru/" ]
>>> [HTTP][s] "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Одноклассники.lnk"        -> ["C:\Users\Administrator\AppData\Local\Xpom\Application\run_chrome.exe"  =>> "hxxp://newsray.ru/" hxxp://r.mail.ru/cln10362/odnoklassniki.ru]
>>> [HTTP][s] "C:\Users\Administrator\Desktop\Войти в Интернет.lnk"    -> ["C:\Users\Administrator\AppData\Local\Xpom\Application\chrome.exe"  =>> "hxxp://newsray.ru/" ]
>>> [HTTP][s] "C:\Users\Administrator\Desktop\Искать в Интернете.lnk"  -> ["C:\Users\Administrator\AppData\Local\Xpom\Application\chrome.exe"  =>> "hxxp://newsray.ru/" hxxp://go.mail.ru/?sct=1]
>>> [*.URL][s] "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk"    -> ["C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\Application\browser.url"] -> hxxp://newsray.ru/ ( >>> BROWSER.exe существует <<< )
>>> [*.URL][s] "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk"    -> ["C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\Application\browser.url"] -> hxxp://newsray.ru/ ( >>> BROWSER.exe существует <<< )
>>> [*.URL][s] "C:\Users\Administrator\Desktop\Yandex.lnk"   -> ["C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\Application\browser.url"] -> hxxp://newsray.ru/ ( >>> BROWSER.exe существует <<< )
>>> [*.URL] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk"     -> ["C:\Program Files (x86)\Mozilla Firefox\firefox.url"] -> hxxp://newsray.ru/ ( >>> FIREFOX.exe существует <<< )
>>> [*.URL] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk"     -> ["C:\Program Files (x86)\Opera\opera.url"] -> hxxp://newsray.ru/ ( >>> OPERA.exe существует <<< )
>>>  "C:\Users\zhukovvv1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Kinoroom Browser.lnk"        -> ["C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe"]
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,849
Реакции
6,188
Баллы
913
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Здравствуйте! Удалил все в AdwCleaner'e. Все логи во вложении.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,849
Реакции
6,188
Баллы
913
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll No File
BHO-x32: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
CHR Plugin: (McAfee SecurityCenter) - c:\progra~2\mcafee\msc\npmcsn~1.dll => No File
CHR HKLM-x32\...\Chrome\Extension: [kifonanmkilecibbfhmdcoeonomahncd] - {localappdata}\Google\Chrome\Application\Plugins\kifonanmkilecibbfhmdcoeonomahncd_0.0.2.crx <not found>
Task: {598D1E36-5DA8-4E1A-910D-36957CEF130E} - \kbrowser-updater-utility -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows\SysWOW64\FlashPlayerApp.exe:$CmdTcID
AlternateDataStreams: C:\Users\Administrator\Desktop\adwcleaner_5.009.exe:$CmdTcID
AlternateDataStreams: C:\Users\Administrator\Desktop\adwcleaner_5.009.exe:$CmdZnID
AlternateDataStreams: C:\Users\Administrator\Desktop\FRST64.exe:$CmdTcID
AlternateDataStreams: C:\Users\Administrator\Desktop\FRST64.exe:$CmdZnID
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5fb25da1a2f27b1c42644374df9596d0044dfe59d4a6]
FirewallRules: [mediaget-tcp] => (Allow) C:\Users\zhukovvv1\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [mediaget-udp] => (Allow) C:\Users\zhukovvv1\AppData\Local\MediaGet2\mediaget.exe
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Последнее редактирование:

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Спасибо. Все выполнено. Что далее?
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,849
Реакции
6,188
Баллы
913
Устраните:

COMODO Antivirus (включен и устарел)

Java 7 Update 9 (64-bit) v.7.0.90 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-x64.exe^
Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.2.7.1.19610 Внимание! Скачать обновления
Adobe Flash Player 18 ActiveX v.18.0.0.209 Внимание! Скачать обновления
Adobe Flash Player 19 NPAPI v.19.0.0.185
Adobe Flash Player 18 PPAPI v.18.0.0.209 Внимание! Скачать обновления
Adobe Reader XI (11.0.10) - Russian v.11.0.10 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Opera 12.16 v.12.16.1860 Внимание! Скачать обновления


  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Удалите папку FRST.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу