Решена Переадресация на маил.ру

Статус
В этой теме нельзя размещать новые ответы.

Artem

Активный пользователь
Сообщения
13
Реакции
0
Баллы
81
Переадресация на маил.ру
 

Вложения

  • CollectionLog-2017.04.21-23.57.zip
    94 KB · Просмотры: 6

Кирилл

Команда форума
Администратор
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Здравствуйте,программа mySize вам знакома? Сами установили?
Удалите через установку и удаление программ:
NewTab

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('schtasks.exe', '/delete /TN "PerfChecker" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "fcf4b6d373a204488c8cbc817dc4f739" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "RegisterObject" /F', 0, 15000, true);
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   QuarantineFile('C:\ProgramData\RegisterObject\RegisterObject.exe', '');
   QuarantineFile('C:\Windows\fcf4b6d373a204488c8cbc817dc4f739.ps1', '');
   QuarantineFile('C:\Users\Aquarius\AppData\Local\Video4you\perfchecker.exe', '');
   QuarantineFileF('C:\ProgramData\RegisterObject', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
   QuarantineFileF('C:\Users\Aquarius\AppData\Local\Video4you', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
   QuarantineFileF('C:\Program Files\my web shield', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
   QuarantineFile('C:\Program Files\my web shield\mweshield.exe', '');
   DeleteFile('C:\Windows\system32\Tasks\fcf4b6d373a204488c8cbc817dc4f739', '64');
   DeleteFile('C:\Users\Aquarius\AppData\Local\Video4you\perfchecker.exe', '32');
   DeleteFile('C:\Windows\fcf4b6d373a204488c8cbc817dc4f739.ps1', '32');
   DeleteFile('C:\ProgramData\RegisterObject\RegisterObject.exe', '32');
   DeleteFile('C:\Program Files\my web shield\mweshield.exe', '32');
   DeleteFileMask('C:\ProgramData\RegisterObject', '*', true);
   DeleteFileMask('C:\Users\Aquarius\AppData\Local\Video4you', '*', true);
   DeleteFileMask('C:\Program Files\my web shield', '*', true);
   DeleteDirectory('C:\ProgramData\RegisterObject');
   DeleteDirectory('C:\Users\Aquarius\AppData\Local\Video4you');
   DeleteDirectory('C:\Program Files\my web shield');
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
 BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BFF96F086-1FF3-4D13-8CC8-3C5BD5DED8B2%7D&gp=820331
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BFF96F086-1FF3-4D13-8CC8-3C5BD5DED8B2%7D&gp=820331
R4 - HKU\S-1-5-21-3665540584-2248650614-3269665633-1001\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (no name) - (no URL)
O2-32 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Aquarius\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll
O4 - MSConfig\startupreg: [csrssf] (no file)  (HKLM) (2016/05/20)
O9 - Extra button: TSearch - HKLM\..\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659} - (no file)
O9-32 - Extra button: TSearch - HKLM\..\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659} - (no file)

DNS ваш? Сами прописали?
Код:
89.108.106.89

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
>>>  "C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk"       (содержит только знаки NUL)
>>>  "C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru (2).lnk"   (содержит только знаки NUL)
>>> [HTTP][RO] "C:\Users\Гость\Desktop\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> hxxp://fs9mail.ru/?id=5&subid=345]
>>> [HTTP][RO] "C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.LNK"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> hxxp://fs9mail.ru/?id=5&subid=345]
>>> [HTTP][RO] "C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> hxxp://fs9mail.ru/?id=5&subid=345]
>>> [HTTP] "C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk"  -> ["C:\Windows\System32\rundll32.exe"  =>> url,FileProtocolHandler "hxxp://vvv.mail.ru/cnt/20775012?gp=811020"]



  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:

Artem

Активный пользователь
Сообщения
13
Реакции
0
Баллы
81
К моменту вашего ответа в браузере появились ещё очень много новых ненужных программ и расширений. Следует ли заново отправить логи? или продолжать действовать по вашему совету?
2 отчёта
В DNS ничего не прописывал
Kиpилл, Всё правильно?
 

Вложения

  • ClearLNK-22.04.2017_14-21.log
    4.8 KB · Просмотры: 2
  • AdwCleaner[S3].txt
    12.2 KB · Просмотры: 3

Кирилл

Команда форума
Администратор
Сообщения
14,229
Реакции
6,253
Баллы
1,093
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Подготовьте свежий лог Adwcleaner
 

Artem

Активный пользователь
Сообщения
13
Реакции
0
Баллы
81
Вот -
 

Вложения

  • AdwCleaner[C4].txt
    4.4 KB · Просмотры: 2

Artem

Активный пользователь
Сообщения
13
Реакции
0
Баллы
81
Пожалуйста:
 

Вложения

  • AdwCleaner[S4].txt
    4.6 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Сообщения
14,229
Реакции
6,253
Баллы
1,093
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Снова дайте свежий лог Adwcleaner

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Artem

Активный пользователь
Сообщения
13
Реакции
0
Баллы
81

Вложения

  • AdwCleaner[C5].txt
    4.7 KB · Просмотры: 2
  • AdwCleaner[S5].txt
    4.9 KB · Просмотры: 2
  • Shortcut.txt
    97.9 KB · Просмотры: 1
  • FRST.txt
    76.3 KB · Просмотры: 1
  • Addition.txt
    58.3 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Расширения хрома ваши?
Agar.io Mods
Get Styles

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
NewTab (HKLM-x32\...\{2AEF02C3}_NewTab) (Version:  - )
Task: {3E24432C-7783-4BA9-BD84-220ECEB64B90} - System32\Tasks\urlopener => Chrome.exe "hxxp://traff2.ru"
Task: {E42A43EA-11A9-4D63-AB31-79080C595C4D} - System32\Tasks\Phoenix Browser Updater => C:\Users\Aquarius\AppData\Local\Phoenix Browser Updater\Phoenix Browser Updater.exe [2016-12-23] () <==== ATTENTION
Task: C:\Windows\Tasks\bku9905474731973219.job => 
Task: C:\Windows\Tasks\UrlControl.job => C:\Users\Aquarius\AppData\Roaming\UrlControl_\url_opener.exe
ShortcutWithArgument: C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru (2).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mail.ru
ShellExecuteHooks: No Name - {EBD29068-234A-11E7-BCF3-64006A5CFC23} - C:\Users\Aquarius\AppData\Roaming\Giperlyphauent\Ikerpyquterther.dll [146944 2017-04-22] ()
FF Keyword.URL: Mozilla\Firefox\Profiles\2ea0wpge.aqua -> hxxp://go.mail.ru/distib/ep/?product_id=%7BD9BD4BE4-97FA-4571-B7A4-801F290F85EC%7D&gp=812258
CHR StartupUrls: ChromeDefaultData -> "about:blank","hxxp://www.hohosearch.com/?mode=nnnb&ptid=amz&uid=AB00988960161FCB30F974F1531EE36D&v=20160425&ts=AHEqAHQrA3UlAU..","hxxp://mail.ru/cnt/10445?gp=821647","hxxp://www.nuesearch.com/?type=hp&ts=1467640232&z=040e0b858f39b12bba522bfgaz9q7m4qdc0q2q8z9b&from=wpm0616&uid=HitachiXHTS547550A9E384_J2160051H8JD1DH8JD1DX","hxxp://mail.ru/cnt/10445?gp=820327","hxxp://www.nuesearch.com/?type=hp&ts=1470218861&z=185026e76f6c44849824288g3z4mfefo2gbw8o4bfm&from=wpm0802&uid=HitachiXHTS547550A9E384_J2160051H8JD1DH8JD1DX","hxxp://mail.ru/cnt/10445?gp=812204","hxxp://mail.ru/cnt/10445?gp=820321","hxxp://www.initialsite123.com/?z=9591f125de468a162acf081g2zftco2b7z4qew5met&from=fss&uid=HitachiXHTS547550A9E384_J2160051H8JD1DH8JD1DX&type=hp","hxxp://mail.ru/cnt/10445?gp=812253"
C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dmpojjilddefgnhiicjcmhbkjgbbclob
C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Local Extension Settings\dmpojjilddefgnhiicjcmhbkjgbbclob
C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Local Storage\chrome-extension_dmpojjilddefgnhiicjcmhbkjgbbclob_0.localstorage
C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Local Storage\chrome-extension_dmpojjilddefgnhiicjcmhbkjgbbclob_0.localstorage-journal
CHR Profile: C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-22] <==== ATTENTION
CHR Extension: (Chameleon) - C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dmpojjilddefgnhiicjcmhbkjgbbclob [2017-04-22]
CHR Extension: (Intel truetest mini) - C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\phbgijefmoangblimiifmafocmlfaobk [2017-04-22]
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
OPR Extension: (Fast search) - C:\Users\Aquarius\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-04-21]
2017-04-22 11:42 - 2017-04-22 13:59 - 00000000 ____D C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk
2017-04-22 11:42 - 2017-04-22 11:42 - 00003648 _____ C:\Windows\System32\Tasks\phbgijefmoangblimiifmafocmlfaobk
2017-04-22 11:35 - 2017-04-22 11:37 - 00000000 ____D C:\Users\Aquarius\AppData\Local\Kinophfoberdom
2017-04-22 11:35 - 2017-04-22 11:36 - 00000000 ____D C:\Users\Aquarius\AppData\Roaming\Giperlyphauent
2017-04-21 23:34 - 2017-04-21 23:34 - 00004102 _____ C:\Windows\System32\Tasks\urlopener
2017-04-21 23:34 - 2017-04-21 23:34 - 00000360 _____ C:\Windows\Tasks\bku9905474731973219.job
2017-04-20 23:35 - 2017-04-22 14:27 - 00000000 ____D C:\Program Files (x86)\Twilight Tech
2017-04-20 23:35 - 2017-04-20 23:35 - 00003624 _____ C:\Windows\System32\Tasks\Phoenix Browser Updater
2017-04-20 23:35 - 2017-04-20 23:35 - 00000000 ____D C:\Users\Aquarius\AppData\Local\Phoenix Browser Updater
ShortcutWithArgument: C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru (2).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mail.ru
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Сообщите,как проблема.
+ замените DNS на альтернативный:
Обзор альтернативных DNS серверов
 

Artem

Активный пользователь
Сообщения
13
Реакции
0
Баллы
81
Проблема решена, но многие программы начали запускаться от имени администратора "Контроль учётных записей пользователей" в том числе и хром
Kиpилл, Как сделать тему решённой?
 

Кирилл

Команда форума
Администратор
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Сделайте контрольные логи autologger, как первый раз.
 
Последнее редактирование:

Artem

Активный пользователь
Сообщения
13
Реакции
0
Баллы
81
Свежие логи
 

Вложения

  • CollectionLog-2017.04.23-12.59.zip
    93.2 KB · Просмотры: 1

Artem

Активный пользователь
Сообщения
13
Реакции
0
Баллы
81
Kиpилл, Извиняюсь за предоставленный неудобства, но открыл снова заражённый вирусом файл и появилась переадресация. Мне создать новую тему или скинуть новые логи здесь?
Kиpилл, Вирус от другого файла не от предыдущего.
Kиpилл,
 

Вложения

  • CollectionLog-2017.04.23-20.55.zip
    92.3 KB · Просмотры: 2

Кирилл

Команда форума
Администратор
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Удалите через установку и удаление программ:
initialsite123 - Uninstall
NewTab
phbgijefmoangblimiifmafocmlfaobk

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('c:\program files\xerox phaser 3132 series', '*', true, '', 0 , 0);
QuarantineFile('C:\Program Files\Xerox Phaser 3132 Series\Xerox Phaser 3132 Series.dll', '');
QuarantineFile('C:\Program Files (x86)\Nipersphotus\xarazugh.exe', '');
QuarantineFile('C:\Users\Aquarius\AppData\Local\Video4you\perfchecker.exe', '');
QuarantineFile('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\ml.py', '');
QuarantineFile('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\python\pythonw.exe', '');
QuarantineFileF('C:\Program Files (x86)\Nipersphotus', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Aquarius\AppData\Local\Video4you', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Windows\system32\Tasks\Xerox Phaser 3132 Series', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFile('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\python\pythonw.exe', '32');
DeleteFile('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\ml.py', '32');
DeleteFile('C:\Users\Aquarius\AppData\Local\Video4you\perfchecker.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Wininet\PerfChecker', '64');
DeleteFile('C:\Program Files (x86)\Nipersphotus\xarazugh.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\Plewileckipu Host', '64');
DeleteFile('C:\Program Files\Xerox Phaser 3132 Series\Xerox Phaser 3132 Series.dll', '32');
DeleteFile('C:\Windows\system32\Tasks\Xerox Phaser 3132 Series', '64');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Xerox Phaser 3132 Series" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "PerfChecker" /F', 0, 15000, true);
DeleteFileMask('c:\program files\xerox phaser 3132 series', '*', true);
DeleteFileMask('C:\Program Files (x86)\Nipersphotus', '*', true);
DeleteFileMask('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk', '*', true);
DeleteFileMask('C:\Users\Aquarius\AppData\Local\Video4you', '*', true);
DeleteFileMask('C:\Windows\system32\Tasks\Xerox Phaser 3132 Series', '*', true);
DeleteDirectory('c:\program files\xerox phaser 3132 series');
DeleteDirectory('C:\Program Files (x86)\Nipersphotus');
DeleteDirectory('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk');
DeleteDirectory('C:\Users\Aquarius\AppData\Local\Video4you');
DeleteDirectory('C:\Windows\system32\Tasks\Xerox Phaser 3132 Series');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'phbgijefmoangblimiifmafocmlfaobk');
ClearHostsFile;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Artem

Активный пользователь
Сообщения
13
Реакции
0
Баллы
81
Kиpилл, После выполнения скрипта повторно запустил снова AutoLogger
 

Вложения

  • AdwCleaner[S7].txt
    7.4 KB · Просмотры: 2

Кирилл

Команда форума
Администратор
Сообщения
14,229
Реакции
6,253
Баллы
1,093
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Сделайте свежий лог Adwcleaner.
Повторный лог Autologger где?
 

Artem

Активный пользователь
Сообщения
13
Реакции
0
Баллы
81
Вот повторный лог:
и AdwCleaner
Kиpилл, [fa=fa-long-arrow-down][/fa]
 

Вложения

  • AdwCleaner[S8].txt
    7.5 KB · Просмотры: 1
  • AdwCleaner[C6].txt
    7.6 KB · Просмотры: 1
  • CollectionLog-2017.04.24-09.34.zip
    91.7 KB · Просмотры: 1
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Удалите ярлык:

C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk

Пофиксите в HijackThis следующие строчки:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=820321
O9-32 - Extra button: TSearch - HKLM\..\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659} - (no file)

Некоторых строк может не быть.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Artem

Активный пользователь
Сообщения
13
Реакции
0
Баллы
81

Вложения

  • Addition.txt
    57.2 KB · Просмотры: 1
  • FRST.txt
    74.4 KB · Просмотры: 1
  • Shortcut.txt
    98.3 KB · Просмотры: 0
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу