Решена Общее лечение

[RuMax]

Приходилось пользоваться сомнительным софтом, думаю наловил много чего нехорошего. Браузеры тупят, открываются новые вкладки.

Общие тупняки системы, ее зависания, несанкционированные перезагрузки и прочая фигня.

Помогите, пожалуйста, восстановить работу ноута

 

[Кирилл]

Здравствуйте.
Друг вокруг ваше?

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[RuMax]

Здравствуйте.
Друг вокруг ваше?

Здравствуйте, да, мое.

 

[Кирилл]

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


Сообщите о проблемах.

 

[RuMax]

Удалил все, на первый взгляд с браузерами нормально стало, посмотрю еще что будет дальше.
отчет ниже. Еще что то делать нужно?

 

[RuMax]

В хроме все равно всплывает реклама, открываются новые вкладки

 

[Кирилл]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[RuMax]

Выполнил

 

[Кирилл]

SlimCleaner Plus,расширение Chameleon Bob,SurfPatrol - ваше?
Реклама во всех браузерах ил и каком то определенном?

 

[RuMax]

Во всех. сюрфпатруль мой, остальные левые.

 

[Кирилл]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Task: {7B332EE1-3BFD-4F45-9B75-007A89E34D19} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Мах) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3419889406-615430308-3615925342-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: Chameleon Bob - C:\Users\Мах\AppData\Roaming\Mozilla\Firefox\Profiles\thhwio0v.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA78}.xpi [2015-10-13] [not signed]
CHR Extension: (Get Styles) - C:\Users\Мах\AppData\Local\Google\Chrome\User Data\Default\Extensions\cammakhaipbljopbkbbffhachjekcfki [2015-10-09]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Скачайте отсюда Оперу portable и проверьте проблему в ней.

 

[RuMax]

фикслог

C портативной оперой открывается все нормально

 

[Кирилл]

RuMax, попробуйте отключить расширения в браузерах и сообщите какое из них провоцирует показ рекламы:
Как удалить нежелательные расширения, вкладки?

 

[regist]

RuMax, советую начните с удаления этих двух

FF Extension: Универсальный перевод для FireFox - C:\Users\Мах\AppData\Roaming\Mozilla\Firefox\Profiles\thhwio0v.default\extensions\[email protected] [2015-08-13] [not signed]
FF Extension: Skype Click to Call - C:\Program Files\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-10-08]

 

[RuMax]

Koza Nozdri, у меня в хроме, например, заблокировано открытие расширений. Это походу специально прописался вирус, чтобы нельзя было отключить его.

regist, как это удалить?

 

[Кирилл]

у меня в хроме, например, заблокировано открытие расширений.

Если в адресной строке набрать:
chrome://extensions/
То тоже не откроется?

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​
5. Подробнее читайте в руководстве Как подготовить лог UVS.

 

[RuMax]

Если в адресной строке набрать:
chrome://extensions/
То тоже не откроется?

Да, не открывается.

 

[Кирилл]

Tweepi Bulk Default Action (aka Select All)
VK.COM - бриллиантовый статус - вам знакомы эти расширения?

Создайте точку восстановления.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   ;uVS v3.87 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v385c
   breg
   sreg
   zoo %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
   ; C:\USERS\МАХ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
   bl C7FBE5438116209503E6AED7D155086F 51150
   delall %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\45.0.2454.93\RESOURCES\CHROME_APP\CHROME
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\44.0.2403.107\RESOURCES\CHROME_APP\CHROME
   delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CAMMAKHAIPBLJOPBKBBFFHACHJEKCFKI\1.0.8_0\GET STYLES
   delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\COOBGPOHOIKKIIPIBLMJELJNIEDJPJPF\0.0.0.60_0\GOOGLE SEARCH
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
   delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CJDPGLAFIPLKMFHENLCHAMFLIIHNKCII\2015.11.22.55424_0\АНДРЕЙ ГУБАНОВ - YOUTUBE
   delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС
   delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA\1.0.3_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
   delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH\1.2.0_0\ПОИСК  ЯНДЕКСA
   deltmp
   czoo
   areg
   restart
4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

Если данный скрипт результата не принесет - придется временно удалить SNS и делать новые логи...

 

[regist]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Вдобавок перед выполнением скрипта полностью удалите safensoft syswatch .

 

[RuMax]

VK.COM - бриллиантовый статус - вам знакомы эти расширения?

Это не знакомо

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Отправил.

При выполнении скрипта вышла ошибка, прикрепил скрин ошибки к сообщению

Вдобавок перед выполнением скрипта полностью удалите safensoft syswatch - это главный вирус у вас.

Удалил с помощью Revo Uninstaller