• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Статус
В этой теме нельзя размещать новые ответы.

RuMax

Активный пользователь
Сообщения
351
Реакции
56
Баллы
258
Приходилось пользоваться сомнительным софтом, думаю наловил много чего нехорошего. Браузеры тупят, открываются новые вкладки.

Общие тупняки системы, ее зависания, несанкционированные перезагрузки и прочая фигня.

Помогите, пожалуйста, восстановить работу ноута
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,811
Реакции
6,163
Баллы
913
Здравствуйте.
Друг вокруг ваше?

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Кирилл

Команда форума
Администратор
Сообщения
13,811
Реакции
6,163
Баллы
913
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


Сообщите о проблемах.
 

RuMax

Активный пользователь
Сообщения
351
Реакции
56
Баллы
258
Удалил все, на первый взгляд с браузерами нормально стало, посмотрю еще что будет дальше.
отчет ниже. Еще что то делать нужно?
 

Вложения

RuMax

Активный пользователь
Сообщения
351
Реакции
56
Баллы
258
В хроме все равно всплывает реклама, открываются новые вкладки
 

Кирилл

Команда форума
Администратор
Сообщения
13,811
Реакции
6,163
Баллы
913
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Кирилл

Команда форума
Администратор
Сообщения
13,811
Реакции
6,163
Баллы
913
SlimCleaner Plus,расширение Chameleon Bob,SurfPatrol - ваше?
Реклама во всех браузерах ил и каком то определенном?
 

RuMax

Активный пользователь
Сообщения
351
Реакции
56
Баллы
258
Во всех. сюрфпатруль мой, остальные левые.
 

Кирилл

Команда форума
Администратор
Сообщения
13,811
Реакции
6,163
Баллы
913
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Task: {7B332EE1-3BFD-4F45-9B75-007A89E34D19} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Мах) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3419889406-615430308-3615925342-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: Chameleon Bob - C:\Users\Мах\AppData\Roaming\Mozilla\Firefox\Profiles\thhwio0v.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA78}.xpi [2015-10-13] [not signed]
CHR Extension: (Get Styles) - C:\Users\Мах\AppData\Local\Google\Chrome\User Data\Default\Extensions\cammakhaipbljopbkbbffhachjekcfki [2015-10-09]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Скачайте отсюда Оперу portable и проверьте проблему в ней.
 
Последнее редактирование:

RuMax

Активный пользователь
Сообщения
351
Реакции
56
Баллы
258
фикслог

C портативной оперой открывается все нормально
 

Вложения

Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
RuMax, советую начните с удаления этих двух
Код:
FF Extension: Универсальный перевод для FireFox - C:\Users\Мах\AppData\Roaming\Mozilla\Firefox\Profiles\thhwio0v.default\extensions\translator@zoli.bod [2015-08-13] [not signed]
FF Extension: Skype Click to Call - C:\Program Files\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-10-08]
 

RuMax

Активный пользователь
Сообщения
351
Реакции
56
Баллы
258
Koza Nozdri, у меня в хроме, например, заблокировано открытие расширений. Это походу специально прописался вирус, чтобы нельзя было отключить его.

regist, как это удалить?
 

Кирилл

Команда форума
Администратор
Сообщения
13,811
Реакции
6,163
Баллы
913
у меня в хроме, например, заблокировано открытие расширений.
Если в адресной строке набрать:
chrome://extensions/
То тоже не откроется?

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 

Кирилл

Команда форума
Администратор
Сообщения
13,811
Реакции
6,163
Баллы
913
Tweepi Bulk Default Action (aka Select All)
VK.COM - бриллиантовый статус - вам знакомы эти расширения?

Создайте точку восстановления.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    breg
    sreg
    zoo %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
    ; C:\USERS\МАХ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
    bl C7FBE5438116209503E6AED7D155086F 51150
    delall %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\45.0.2454.93\RESOURCES\CHROME_APP\CHROME
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\44.0.2403.107\RESOURCES\CHROME_APP\CHROME
    delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CAMMAKHAIPBLJOPBKBBFFHACHJEKCFKI\1.0.8_0\GET STYLES
    delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\COOBGPOHOIKKIIPIBLMJELJNIEDJPJPF\0.0.0.60_0\GOOGLE SEARCH
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
    delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CJDPGLAFIPLKMFHENLCHAMFLIIHNKCII\2015.11.22.55424_0\АНДРЕЙ ГУБАНОВ - YOUTUBE
    delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA\1.0.3_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
    delref %SystemDrive%\USERS\МАХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH\1.2.0_0\ПОИСК  ЯНДЕКСA
    deltmp
    czoo
    areg
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


Если данный скрипт результата не принесет - придется временно удалить SNS и делать новые логи...
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
Последнее редактирование модератором:

RuMax

Активный пользователь
Сообщения
351
Реакции
56
Баллы
258
VK.COM - бриллиантовый статус - вам знакомы эти расширения?
Это не знакомо
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Отправил.

При выполнении скрипта вышла ошибка, прикрепил скрин ошибки к сообщению
Вдобавок перед выполнением скрипта полностью удалите safensoft syswatch - это главный вирус у вас.
Удалил с помощью Revo Uninstaller
 

Вложения

Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу