1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Ноутбук жены

Тема в разделе "Удаление компьютерных вирусов", создана пользователем ScriptMakeR, 9 май 2017.

  1. ScriptMakeR

    ScriptMakeR Клуб переводчиков

    Сообщения:
    1.452
    Симпатии:
    514
    Приветствую, Уважаемые!:Bye:
    Что-то я совсем про Вас позабыл:Blush2:

    Тут у жены на ноуте кто-то зловредов накачал. Гляньте логи, пожалуйста:Smile:
     

    Вложения:

    Phoenix нравится это.
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.613
    Симпатии:
    1.266
    Здравствуйте!

    Через Панель управления - Удаление программ - удалите нежелательное ПО:
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\users\1288~1\appdata\local\temp\067b.tmp');
     TerminateProcessByName('c:\users\Лена\appdata\local\temp\7647.tmp.exe');
     StopService('netfilter2');
     StopService('SvcHost Service Host');
     QuarantineFile('C:\Users\Лена\AppData\Local\xpon\xpon.exe','');
     QuarantineFile('C:\Users\Лена\AppData\Local\wupdate\wupdate.exe','');
     QuarantineFile('C:\Users\Лена\AppData\Local\SearchGo\searchgo.exe','');
     QuarantineFile('C:\Users\Лена\AppData\Local\PowerMonitor\PowerMonitor.exe','');
     QuarantineFile('C:\Users\Лена\AppData\Roaming\Tortoise\TortoiseOverlay.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\xpon.sys','');
     QuarantineFile('c:\users\1288~1\appdata\local\temp\067b.tmp', '');
     QuarantineFile('c:\users\Лена\appdata\local\temp\7647.tmp.exe', '');
     QuarantineFile('C:\Windows\Microsoft\svchost.exe', '');
     QuarantineFile('C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe', '');
     QuarantineFile('C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe', '');
     QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe', '');
     QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk', '');
     QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
     QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
     QuarantineFile('C:\Users\Лена\Desktop\Вoйти в Интeрнет.lnk', '');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
     QuarantineFile('C:\Users\Лена\Desktop\Амиго.lnk', '');
     QuarantineFile('C:\Users\Лена\Desktop\Одноклассники.lnk', '');
     QuarantineFile('C:\Users\Лена\Desktop\ВКонтакте.lnk', '');
     QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk', '');
     QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk', '');
     QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk', '');
     DeleteFile('C:\Users\Лена\AppData\Roaming\Tortoise\TortoiseOverlay.dll','32');
     DeleteFile('C:\Users\Лена\AppData\Local\PowerMonitor\PowerMonitor.exe','32');
     DeleteFile('C:\Users\Лена\AppData\Local\SearchGo\searchgo.exe','32');
     DeleteFile('C:\Users\Лена\AppData\Local\wupdate\wupdate.exe','32');
     DeleteFile('C:\Users\Лена\AppData\Local\xpon\xpon.exe','32');
     DeleteFile('C:\WINDOWS\system32\drivers\xpon.sys','32');
     DeleteFile('c:\users\1288~1\appdata\local\temp\067b.tmp', '32');
     DeleteFile('c:\users\Лена\appdata\local\temp\7647.tmp.exe', '32');
     DeleteFile('C:\Windows\Microsoft\svchost.exe', '32');
     DeleteFile('C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe', '32');
     DeleteFile('C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe', '32');
     DeleteFile('C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe', '32');
     ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Notepad" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "xpon" /F', 0, 15000, true);
     DeleteService('netfilter2');
     DeleteService('SvcHost Service Host');
     DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
     DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
     DelCLSID('{CBF88FC2-F150-4F29-BC80-CE30EFD1B62C}');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xdrnuxkvzf');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteRepair(3);
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Файл CheckBrowserLnk.log
    из папки
    перетащите на утилиту ClearLNK.

    [​IMG]

    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  4. ScriptMakeR

    ScriptMakeR Клуб переводчиков

    Сообщения:
    1.452
    Симпатии:
    514
    До скрипта все жутко тупило. Вроде все удалил через панель управления.
    Пытался еще боковую панель Комета удалить, но не получилось.
     

    Вложения:

  5. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.613
    Симпатии:
    1.266
    Попробуйте удалить через Revo Uninstall
    • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 10 май 2017
  6. ScriptMakeR

    ScriptMakeR Клуб переводчиков

    Сообщения:
    1.452
    Симпатии:
    514
    Я ее вчера из списка установленных удалил случайно. Теперь ее ни панель, ни CCleaner, ни Revo Uninstall не видят.
    Но с ней я уж как-нить потом и сам справлюсь.
     

    Вложения:

  7. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.613
    Симпатии:
    1.266
    • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
    • Нажмите кнопку "Scan" ("Сканировать").
    • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
      • Прокси
      • Политики IE
      • Политики Chrome
        и нажмите Ok.
    • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    Далее:
    Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  8. ScriptMakeR

    ScriptMakeR Клуб переводчиков

    Сообщения:
    1.452
    Симпатии:
    514
    Готовенько
     

    Вложения:

    • AdwCleaner[C0].txt
      Размер файла:
      10,4 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      54,2 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      27,9 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      148,1 КБ
      Просмотров:
      1
  9. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.613
    Симпатии:
    1.266
    • Запустите FRST/FRST64
    • Нажмите комбинацию Ctrl+y - откроется Блокнот
    • Скопируйте в него следующий код:
      Код (Text):
      start
      CreateRestorePoint:
      HKLM\...\Winlogon: [Userinit] C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe,C:\Windows\system32\userinit.exe,
      HKU\S-1-5-21-4212443356-1451427896-2642487668-1001\...\Winlogon: [Shell] C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe <==== ATTENTION
      ShellIconOverlayIdentifiers: [TortoiseOverlay] -> {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} =>  -> No File
      Toolbar: HKLM - No Name - {0BF43445-2F28-4351-9252-17FE6E806AA0} -  No File
      FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
      FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
      FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://lonsale.ru/?utm_source=startpage03wmt&utm_content=48ce9a5751d4a2f4214e3814776ef355&utm_term=45893E6678D8502047BF054CD0219AC1&utm_d=20170508
      FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B1F08FF8A-9B3F-4932-9698-067820F36163%7D&gp=831106
      FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-05-08]
      FF Extension: (Поиск@Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-05-08]
      FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-08]
      CHR HomePage: Default -> mail.ru
      CHR NewTab: Default ->  Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
      CHR DefaultSearchURL: Default -> hxxp://pelyena.ru/search?q={searchTerms}
      CHR DefaultSearchKeyword: Default -> wsearch
      CHR Extension: (Mail.Ru) - C:\Users\Лена\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2017-05-08]
      CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Лена\AppData\Local\Google\Chrome\User Data\Default\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-05-08]
      2017-05-08 13:38 - 2017-05-09 18:23 - 00000000 ____D C:\Users\Лена\AppData\Local\xpon
      2017-05-08 13:30 - 2017-05-08 13:30 - 00000000 ____D C:\Users\Лена\AppData\Roaming\Tortoise
      2017-05-08 13:25 - 2017-05-09 15:55 - 00000000 ____D C:\Users\Лена\AppData\Local\NetBoxLogs
      2017-05-08 12:56 - 2017-05-09 17:50 - 00000000 ____D C:\Users\Лена\AppData\LocalLow\Unity
      2017-05-08 12:56 - 2017-05-09 17:50 - 00000000 ____D C:\Users\Лена\AppData\Local\Unity
      2017-05-08 12:52 - 2017-05-09 18:44 - 00001575 _____ C:\Users\Лена\Desktop\Войти в Интернет.LNK
      2017-05-08 12:46 - 2017-05-09 18:05 - 00000000 ____D C:\Users\Лена\AppData\Local\PowerMonitor
      2017-05-08 12:46 - 2017-05-08 14:55 - 00000000 ____D C:\Users\Лена\AppData\Local\wupdate
      2017-05-08 12:45 - 2017-05-08 12:45 - 00001642 _____ C:\Users\Лена\Desktop\Войны престолов.lnk
      2017-05-08 12:45 - 2017-05-08 12:45 - 00000000 ____D C:\Users\Лена\AppData\Local\Войны престолов
      Task: {FF7825EF-5D35-47A6-ADAE-EAC16B50BF7B} - System32\Tasks\MSI => C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe [2017-05-08] ()
      EmptyTemp:
      Reboot:
      end
    • Сохраните (Ctrl+s) и закройте.
    • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Подробнее читайте в этом руководстве.
     
  10. ScriptMakeR

    ScriptMakeR Клуб переводчиков

    Сообщения:
    1.452
    Симпатии:
    514
    Блокнот не открывактся
     
  11. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.613
    Симпатии:
    1.266
    Тогда создайте рядом с файлом FRST64.exe текстовый файл с именем fixlist.txt, скопируйте в него код, сохраните и закройте.
     
  12. ScriptMakeR

    ScriptMakeR Клуб переводчиков

    Сообщения:
    1.452
    Симпатии:
    514
    Сделал
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      7,3 КБ
      Просмотров:
      1
  13. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.613
    Симпатии:
    1.266
    Что сейчас с проблемой?
     
  14. ScriptMakeR

    ScriptMakeR Клуб переводчиков

    Сообщения:
    1.452
    Симпатии:
    514
    Похоже, что все нормально.
    Благодарю за содействие:Thank You:
     
  15. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.613
    Симпатии:
    1.266
    Завершающие шаги:
    1.
    • Пожалуйста, запустите adwcleaner.exe
    • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
    • Подтвердите удаление, нажав кнопку: Да.

    Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

    2.
    • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
     
  16. ScriptMakeR

    ScriptMakeR Клуб переводчиков

    Сообщения:
    1.452
    Симпатии:
    514
    Вот
     

    Вложения:

  17. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.613
    Симпатии:
    1.266
    ------------------------------- [ Windows ] -------------------------------
    Расширенная поддержка закончилась Внимание! Скачать обновления
    Internet Explorer 11.545.10586.0 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    --------------------------- [ OtherUtilities ] ----------------------------
    Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
    WinRAR 4.00 бета 7 (32-разрядная) v.4.00.7 Внимание! Скачать обновления
    Microsoft Silverlight v.5.1.50901.0 Внимание! Скачать обновления
    --------------------------------- [ IM ] ----------------------------------
    Skype™ 7.30 v.7.30.105 Внимание! Скачать обновления
    ^Необязательное обновление.^
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.5.0.43580 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
    -------------------------------- [ Java ] ---------------------------------
    JavaFX 2.1.0 v.2.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
    JavaFX 2.1.0 SDK v.2.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u131-windows-i586.exe).
    Java(TM) 6 Update 26 v.6.0.260 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
    Java 7 Update 65 v.7.0.650 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
    Java SE Development Kit 7 Update 4 v.1.7.0.40 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u131-windows-i586.exe).
    --------------------------- [ AppleProduction ] ---------------------------
    iTunes v.12.5.4.42 Внимание! Скачать обновления
    ^Для проверки новой версии используйте приложение Apple Software Update^
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe Reader X (10.1.3) - Russian v.10.1.3 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
    ------------------------------- [ Browser ] -------------------------------
    Google Chrome v.58.0.3029.96 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О Google Chrome!^
    Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
    ---------------------------- [ UnwantedApps ] -----------------------------
    Pandora Service Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


    Прочтите и выполните Рекомендации после удаления вредоносного ПО
     
Загрузка...

Поделиться этой страницей

Поисковый запрос:

  1. xpon.exe