• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Ноутбук жены

ScriptMakeR

Клуб переводчиков
Сообщения
1,445
Симпатии
515
#1
Приветствую, Уважаемые!:Bye:
Что-то я совсем про Вас позабыл:Blush2:

Тут у жены на ноуте кто-то зловредов накачал. Гляньте логи, пожалуйста:Smile:
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
3,913
Симпатии
1,372
#2
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Kometa
Unity Web Player
Амиго
Служба автоматического обновления программ
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\1288~1\appdata\local\temp\067b.tmp');
 TerminateProcessByName('c:\users\Лена\appdata\local\temp\7647.tmp.exe');
 StopService('netfilter2');
 StopService('SvcHost Service Host');
 QuarantineFile('C:\Users\Лена\AppData\Local\xpon\xpon.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Local\wupdate\wupdate.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Local\SearchGo\searchgo.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Local\PowerMonitor\PowerMonitor.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Tortoise\TortoiseOverlay.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\xpon.sys','');
 QuarantineFile('c:\users\1288~1\appdata\local\temp\067b.tmp', '');
 QuarantineFile('c:\users\Лена\appdata\local\temp\7647.tmp.exe', '');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\Вoйти в Интeрнет.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\Амиго.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\ВКонтакте.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk', '');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Tortoise\TortoiseOverlay.dll','32');
 DeleteFile('C:\Users\Лена\AppData\Local\PowerMonitor\PowerMonitor.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Local\SearchGo\searchgo.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Local\wupdate\wupdate.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Local\xpon\xpon.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\xpon.sys','32');
 DeleteFile('c:\users\1288~1\appdata\local\temp\067b.tmp', '32');
 DeleteFile('c:\users\Лена\appdata\local\temp\7647.tmp.exe', '32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe', '32');
 DeleteFile('C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe', '32');
 DeleteFile('C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe', '32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Notepad" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "xpon" /F', 0, 15000, true);
 DeleteService('netfilter2');
 DeleteService('SvcHost Service Host');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 DelCLSID('{CBF88FC2-F150-4F29-BC80-CE30EFD1B62C}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xdrnuxkvzf');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,445
Симпатии
515
#3
До скрипта все жутко тупило. Вроде все удалил через панель управления.
Пытался еще боковую панель Комета удалить, но не получилось.
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
3,913
Симпатии
1,372
#4
боковую панель Комета удалить, но не получилось.
Попробуйте удалить через Revo Uninstall
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:

ScriptMakeR

Клуб переводчиков
Сообщения
1,445
Симпатии
515
#5
Я ее вчера из списка установленных удалил случайно. Теперь ее ни панель, ни CCleaner, ни Revo Uninstall не видят.
Но с ней я уж как-нить потом и сам справлюсь.
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
3,913
Симпатии
1,372
#6
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Сообщения
3,913
Симпатии
1,372
#8
  • Запустите FRST/FRST64
  • Нажмите комбинацию Ctrl+y - откроется Блокнот
  • Скопируйте в него следующий код:
    Код:
    start
    CreateRestorePoint:
    HKLM\...\Winlogon: [Userinit] C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe,C:\Windows\system32\userinit.exe,
    HKU\S-1-5-21-4212443356-1451427896-2642487668-1001\...\Winlogon: [Shell] C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe <==== ATTENTION
    ShellIconOverlayIdentifiers: [TortoiseOverlay] -> {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} =>  -> No File
    Toolbar: HKLM - No Name - {0BF43445-2F28-4351-9252-17FE6E806AA0} -  No File
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://lonsale.ru/?utm_source=startpage03wmt&utm_content=48ce9a5751d4a2f4214e3814776ef355&utm_term=45893E6678D8502047BF054CD0219AC1&utm_d=20170508
    FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B1F08FF8A-9B3F-4932-9698-067820F36163%7D&gp=831106
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-05-08]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-05-08]
    FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-08]
    CHR HomePage: Default -> mail.ru
    CHR NewTab: Default ->  Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
    CHR DefaultSearchURL: Default -> hxxp://pelyena.ru/search?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> wsearch
    CHR Extension: (Mail.Ru) - C:\Users\Лена\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2017-05-08]
    CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Лена\AppData\Local\Google\Chrome\User Data\Default\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-05-08]
    2017-05-08 13:38 - 2017-05-09 18:23 - 00000000 ____D C:\Users\Лена\AppData\Local\xpon
    2017-05-08 13:30 - 2017-05-08 13:30 - 00000000 ____D C:\Users\Лена\AppData\Roaming\Tortoise
    2017-05-08 13:25 - 2017-05-09 15:55 - 00000000 ____D C:\Users\Лена\AppData\Local\NetBoxLogs
    2017-05-08 12:56 - 2017-05-09 17:50 - 00000000 ____D C:\Users\Лена\AppData\LocalLow\Unity
    2017-05-08 12:56 - 2017-05-09 17:50 - 00000000 ____D C:\Users\Лена\AppData\Local\Unity
    2017-05-08 12:52 - 2017-05-09 18:44 - 00001575 _____ C:\Users\Лена\Desktop\Войти в Интернет.LNK
    2017-05-08 12:46 - 2017-05-09 18:05 - 00000000 ____D C:\Users\Лена\AppData\Local\PowerMonitor
    2017-05-08 12:46 - 2017-05-08 14:55 - 00000000 ____D C:\Users\Лена\AppData\Local\wupdate
    2017-05-08 12:45 - 2017-05-08 12:45 - 00001642 _____ C:\Users\Лена\Desktop\Войны престолов.lnk
    2017-05-08 12:45 - 2017-05-08 12:45 - 00000000 ____D C:\Users\Лена\AppData\Local\Войны престолов
    Task: {FF7825EF-5D35-47A6-ADAE-EAC16B50BF7B} - System32\Tasks\MSI => C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe [2017-05-08] ()
    EmptyTemp:
    Reboot:
    end
  • Сохраните (Ctrl+s) и закройте.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Сообщения
3,913
Симпатии
1,372
#10
Тогда создайте рядом с файлом FRST64.exe текстовый файл с именем fixlist.txt, скопируйте в него код, сохраните и закройте.
 

Sandor

Ассоциация VN/VIP
Сообщения
3,913
Симпатии
1,372
#12
Что сейчас с проблемой?
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,445
Симпатии
515
#13
Похоже, что все нормально.
Благодарю за содействие:Thank You:
 

Sandor

Ассоциация VN/VIP
Сообщения
3,913
Симпатии
1,372
#14
Завершающие шаги:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Sandor

Ассоциация VN/VIP
Сообщения
3,913
Симпатии
1,372
#16
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
Internet Explorer 11.545.10586.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
WinRAR 4.00 бета 7 (32-разрядная) v.4.00.7 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50901.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.30 v.7.30.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43580 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
JavaFX 2.1.0 v.2.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
JavaFX 2.1.0 SDK v.2.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u131-windows-i586.exe).
Java(TM) 6 Update 26 v.6.0.260 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
Java 7 Update 65 v.7.0.650 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
Java SE Development Kit 7 Update 4 v.1.7.0.40 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u131-windows-i586.exe).
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.5.4.42 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader X (10.1.3) - Russian v.10.1.3 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.58.0.3029.96 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Pandora Service Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


Прочтите и выполните Рекомендации после удаления вредоносного ПО