Добрый день! Уже обращался с проблемой майнера, которую успешно решили. На этот раз ноутбук не мой, но проблема следующая. При запуске ноутбука открывается вкладки сомнительного характера (б*нгокамс). Curelt выявил 46 угроз и 44 из них решил. А вот две не смог. Помогите пожалуйста..
- Статус
- Сообщения
- 16,367
- Реакции
- 3,440
Здравствуйте!
www.safezone.cc
Правила оформления запроса о помощи
FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...
- Сообщения
- 24,989
- Реакции
- 13,675
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Подробнее читайте в этом руководстве.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\1\appdata\local\microsoft\extensions\extsetup.exe','');
QuarantineFile('C:\Users\1\appdata\locallow\searchgo\searchgo.dll','');
QuarantineFile('C:\Users\1\appdata\local\askpartnernetwork\toolbar\updater\idc\idcldr_x64.exe','');
QuarantineFile('C:\Users\1\appdata\local\askpartnernetwork\toolbar\updater\idc\idcldr.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1','x64');
DeleteFile('C:\Users\1\appdata\local\askpartnernetwork\toolbar\updater\idc\idcldr.exe','32');
DeleteFile('C:\Users\1\appdata\local\askpartnernetwork\toolbar\updater\idc\idcldr_x64.exe','32');
DeleteFile('C:\Users\1\appdata\local\askpartnernetwork\toolbar\updater\idc\idcsrvstub.dll','32');
DeleteFile('C:\Users\1\appdata\locallow\searchgo\searchgo.dll','32');
DeleteFile('C:\Users\1\appdata\local\microsoft\extensions\extsetup.exe','32');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://v9.com?type=hp&ts=1450258570&from=mych123&uid=st750lx003-1ac154_w200qeh3xxxxw200qeh3&z=c20c531ea0d32f2c3230153g3z0wce8oew1bawcmdo
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://v9.com?type=hp&ts=1450258570&from=mych123&uid=st750lx003-1ac154_w200qeh3xxxxw200qeh3&z=c20c531ea0d32f2c3230153g3z0wce8oew1bawcmdo
R0-32 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://v9.com?type=hp&ts=1450258570&from=mych123&uid=st750lx003-1ac154_w200qeh3xxxxw200qeh3&z=c20c531ea0d32f2c3230153g3z0wce8oew1bawcmdo
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{425ED333-6083-428a-92C9-0CFC28B9D1BF}: [URL] = http://v9.com/web?type=ds&ts=1450258570&from=zzgbkk123&uid=st750lx003-1ac154_w200qeh3xxxxw200qeh3&z=c20c531ea0d32f2c3230153g3z0wce8oew1bawcmdo&q={searchTerms} - V9
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\6790CB4663406B347AE949813350AAD5: [URL] = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST750LX003-1AC154_W200QEH3XXXXW200QEH3&ts=1377497047 - qvo6
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: [URL] = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST750LX003-1AC154_W200QEH3XXXXW200QEH3&ts=1377497047 - qvo6
O2 - HKLM\..\BHO: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {9cf699ca-2174-4ed8-bec1-ba82095edce0} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll (file missing)
O3 - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O3-32 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)
O4 - HKCU\..\Run: [DUP] = "C:\Program Files (x86)\DriverUpdaterPro\DriverUpdaterPro.exe" /ot /as /ss (file missing)
O22 - Task (.job): (Running) DealPlyLiveUpdateTaskMachineCore.job - C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe (file missing)
O22 - Task (.job): (Running) newSI_1497.job - C:\Users\1\AppData\Roaming\newSI_1497\s_inst.exe (file missing)
O22 - Task (.job): (Running) newSI_2.job - C:\Users\1\AppData\Roaming\newSI_2\s_inst.exe (file missing)
O22 - Task (.job): (Running) newSI_21.job - C:\Users\1\AppData\Roaming\newSI_21\s_inst.exe (file missing)
O22 - Task (.job): AmiUpdXp.job - C:\Users\1\AppData\Local\SwvUpdater\Updater.exe (file missing)
O22 - Task (.job): AutoKMS.job - C:\Windows\AutoKMS\AutoKMS.exe (file missing)
O22 - Task (.job): Dealply.job - C:\Users\1\AppData\Roaming\Dealply\UpdateProc\UPDATE~1.EXE (file missing)
O22 - Task (.job): DigitalSite.job - C:\Users\1\AppData\Roaming\DigitalSite\UpdateProc\UPDATE~1.EXE (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0641BF0C-7042-4041-9BA6-26D5E158D253} - \DealPlyLiveUpdateTaskMachineUA (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{42C44607-2AFB-4330-91A2-7BF9FE7B7234} - \newSI_21 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4FFDE42E-AEBC-44CC-B03B-A38881DB05D4} - \SystemScript (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5938AFBC-4488-49D0-A741-9FE93DF7CC60} - \DealPlyLiveUpdateTaskMachineCore (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6F4BD9A9-DB11-41D0-B40A-86C3369A5221} - \newSI_1497 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9C01535-B831-45D5-B90A-9E0E5EB0F260} - \newSI_2 (no xml)
O22 - Tasks: (damaged) \WPD\SqmUpload_S-1-5-21-2068639322-578692409-522817522-1013 - C:\Windows\system32\rundll32.exe portabledeviceapi.dll,#1 (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) ASUS P4G - C:\Program Files\ASUS\P4G\BatteryLife.exe (user missing) (sign: 'ASUSTeK Computer Inc.')
O22 - Tasks: (damaged) OrbitumUpdateTaskUserS-1-5-21-2068639322-578692409-522817522-1013Core - C:\Users\Михаил\AppData\Local\Orbitum\Update\GoogleUpdate.exe /c (file missing) (user missing)
O22 - Tasks: (damaged) OrbitumUpdateTaskUserS-1-5-21-2068639322-578692409-522817522-1013UA - C:\Users\Михаил\AppData\Local\Orbitum\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing) (user missing)
O22 - Tasks: (disabled) crxbroBrowserUpdateCore - C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe -c (file missing)
O22 - Tasks: (disabled) crxbroBrowserUpdateUA - C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe -update (file missing)
O22 - Tasks: (disabled) crxbroCheckTask - C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe -t (file missing)
O23 - Service S2: Windows Service Modules - (WSModules) - C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe (file missing)- Скачайте AdwCleaner и сохраните его на Рабочем столе.
- Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 24,989
- Реакции
- 13,675
- Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку").
- По окончанию сканирования снимите галочки со следующих строк:
Код:PUP.Optional.Zona C:\Program Files\Zona PUP.Optional.Zona C:\Users\1\AppData\Roaming\Zona PUP.Optional.Zona C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zona.lnk PUP.Optional.Zona C:\Users\1\Desktop\Zona.lnk PUP.Optional.Zona C:\Windows\ZonaUpdater.log - нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
- Прикрепите отчет к своему следующему сообщению.
- (Обратите внимание - C и S - это разные буквы).
Подробнее читайте в этом руководстве.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 16,367
- Реакции
- 3,440
1.
В системе установлены два антивируса:
Это не усиливает, а наоборот, ослабляет защиту системы.
Один из них деинсталлируйте, один оставьте.
2.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
3.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
В системе установлены два антивируса:
Не считая Защитника Windows.
Это не усиливает, а наоборот, ослабляет защиту системы.
Один из них деинсталлируйте, один оставьте.
2.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
3.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {003eacea-169b-11e3-be97-6c71d9218b4e} - "F:\AutoRun.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {09743f6c-e884-11e3-bf16-bf7039a4310d} - "F:\HTC_Sync_Manager_PC.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {236e4280-12b8-11e3-be94-6c71d9218b4e} - "F:\AutoRun.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {236e4315-12b8-11e3-be94-6c71d9218b4e} - "F:\AutoRun.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {6a308f4c-2c1a-11e3-bea0-6c71d9218b4e} - "F:\HTC_Sync_Manager_PC.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {90c46157-1879-11e3-be97-6c71d9218b4e} - "F:\AutoRun.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {aa5612c1-06b0-11e9-800d-60a44c702d91} - "F:\HiSuiteDownLoader.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {b8ee8f58-12cf-11e3-be95-6c71d9218b4e} - "F:\AutoRun.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {c07ce3b3-274a-11e3-be9f-6c71d9218b4e} - "F:\HTC_Sync_Manager_PC.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {cf5903d4-1c32-11e3-be98-001e101fb0f4} - "F:\AutoRun.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {cf590414-1c32-11e3-be98-001e101fb0f4} - "F:\AutoRun.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {e08fdfce-c972-11e8-8008-60a44c702d91} - "F:\HiSuiteDownLoader.exe" HKU\S-1-5-21-2068639322-578692409-522817522-1002\...\MountPoints2: {e9de686e-1b74-11e3-be97-6c71d9218b4e} - "H:\AutoRun.exe" ShortcutTarget: Schedule.lnk -> C:\Users\1\AppData\Local\Schedule\Schedule.exe (Нет файла) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Stаrt GееkВuddy.lnk [2015-05-17] ShortcutTarget: Stаrt GееkВuddy.lnk -> C:\Users\1\AppData\Roaming\Browsers\exe.rehcnual.bat (Нет файла) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Zaxar Games Browser.lnk [2013-10-17] <==== ВНИМАНИЕ ShortcutTarget: Zaxar Games Browser.lnk -> C:\Program Files\Zaxar\ZaxarLoader.exe (Нет файла) <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => не найдено FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK => не найдено FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => не найдено C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdpgllbnilfcbckbdchjcfgopijgllcm C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\lgdnilodcpljomelbbnpgdogdbmclbni CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] AlternateDataStreams: C:\ProgramData\Temp:D8999815 [149] FirewallRules: [{443EF453-E0D4-470E-B248-5472F0737B4F}] => (Allow) LPort=2869 FirewallRules: [{20D1C1DF-2454-4BC7-8ADF-1E5DC86E36C7}] => (Allow) LPort=1900 FirewallRules: [{3260084B-B949-4A4F-8F2A-44FE38B09474}] => (Allow) C:\Users\1\AppData\Local\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{222F718C-7E10-4374-899B-0D667FF320D4}] => (Allow) C:\Users\1\AppData\Local\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{DF16BE0E-2E78-4070-A460-C481127DA409}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.) FirewallRules: [{24082318-2A84-4543-89E5-CD7E0BF5AEB5}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.) FirewallRules: [{507EACAA-61F2-445A-9443-8652CE317515}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.) FirewallRules: [{DA5FCE44-DC8D-4540-9EA2-961E6E6493D8}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.) ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 16,367
- Реакции
- 3,440
Антивирус оставили один?
На всякий случай - Чистка системы после некорректного удаления антивируса.
На всякий случай - Чистка системы после некорректного удаления антивируса.
- Сообщения
- 16,367
- Реакции
- 3,440
Отлично!
В завершение и на будущее:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
В завершение и на будущее:
1.
- Пожалуйста, запустите adwcleaner.exe
- В меню Параметры прокрутите вниз и выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Статус