Решена При скачивании программы, подхватил вирус.

Статус
В этой теме нельзя размещать новые ответы.

lilchurll

Новый пользователь
Сообщения
10
Реакции
2
При скачивании программы, подхватил какой-то вирус, который самостоятельно удаляет расширения в браузере, устанавливает свои расширения и меняет поисковую систему на свою.
(Прикладываю необходимый архив с логами.)
 

Вложения

  • CollectionLog-2016.08.20-22.36.zip
    75.1 KB · Просмотры: 5
Здравствуйте.
Программа Raptr вам знакома - сами установили? Пользуетесь?

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "psv_Alphaphase" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "psv_Dong-Sing" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "psv_Volfresh" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   TerminateProcessByName('c:\users\tomatov\appdata\roaming\nssm.exe');
   StopService('gkernel');
   QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
   QuarantineFileF('c:\users\tomatov\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
   QuarantineFile('c:\users\tomatov\appdata\roaming\nssm.exe', '');
   QuarantineFile('C:\ProgramData\ocep\ocep.exe', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Temp\gkernel.sys', '');
   QuarantineFile('C:\ProgramData\ocep\DonSanstrong.dll', '');
   QuarantineFile('C:\ProgramData\ocep\Softdinla.dll', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
   QuarantineFile('C:\ProgramData\ocep\QuoSilla.reg', '');
   QuarantineFile('C:\ProgramData\ocep\Newit.reg', '');
   QuarantineFile('C:\ProgramData\ocep\Trisdonlex.reg', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Hostinstaller\3806941765_monster.exe', '');
   DeleteFile('c:\users\tomatov\appdata\roaming\nssm.exe', '32');
   DeleteFile('C:\ProgramData\ocep\ocep.exe', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Temp\gkernel.sys', '32');
   DeleteFile('C:\ProgramData\ocep\DonSanstrong.dll', '32');
   DeleteFile('C:\ProgramData\ocep\Softdinla.dll', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
   DeleteFile('C:\ProgramData\ocep\QuoSilla.reg', '32');
   DeleteFile('C:\ProgramData\ocep\Newit.reg', '32');
   DeleteFile('C:\ProgramData\ocep\Trisdonlex.reg', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Hostinstaller\3806941765_monster.exe', '32');
   DeleteService('clr_optimization_v1.02');
   DeleteService('ocep');
   DeleteService('gkernel');
   DeleteFileMask('c:\programdata\ocep', '*', true);
   DeleteFileMask('c:\users\tomatov\appdata\local\hostinstaller', '*', true);
   DeleteDirectory('c:\programdata\ocep');
   DeleteDirectory('c:\users\tomatov\appdata\local\hostinstaller');
  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O20 - AppInit_DLLs: C:\ProgramData\ocep\Softdinla.dll
O20-32 - AppInit_DLLs: C:\ProgramData\ocep\DonSanstrong.dll
O22 - ScheduledTask: (Ready) psv_Alphaphase - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\QuoSilla.reg" & del "C:\ProgramData\ocep\QuoSilla.reg" & SCHTASKS /Delete /TN "psv_Alphaphase" /F
O22 - ScheduledTask: (Ready) psv_Dong-Sing - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\Newit.reg" & del "C:\ProgramData\ocep\Newit.reg" & SCHTASKS /Delete /TN "psv_Dong-Sing" /F
O22 - ScheduledTask: (Ready) psv_Volfresh - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\Trisdonlex.reg" & del "C:\ProgramData\ocep\Trisdonlex.reg" & SCHTASKS /Delete /TN "psv_Volfresh" /F

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Программа Raptr это - стандартная программа для видео карт AMD Radeon. Она установилась автоматически, при обновлении драйверов.
(Отчет об работе программы ClearLNK) : Пришлось докачивать необходимое, чтобы сделать это.
Файл quarantine.zip отправил по форме.
В программе HiJackThis отсутствовали некоторые строки как и было написано.
Провёл повторную диагностику.
 

Вложения

  • ClearLNK-21.08.2016_16-26.log
    4.1 KB · Просмотры: 1
Ну а где лог повторной диагностики?
 
Вот, судя по времени это он.
Он,но почему то не полный.

Выполните скрипт avz:

Код:
var PathAutoLogger, CMDLine : string;

begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
    if FolderIsEmpty(PathAutoLogger+'CrashDumps')
        then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
        else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
        else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников RGhost — файлообменник , Zippyshare.com - Free File Hosting , My-Files.RU лучший бесплатный файлообменник и файловый сервис , Ge.tt | Gett sharing и дайте на него ссылку в Вашей теме.

Попробуйте еще раз собрать свежий лог avz
 
Вот, залил на RGhost - Report.7z — RGhost — файлообменник
При запуске этого скрипта, выдает сообщение "Скрипт запущен без ошибок" и всё. Далее ничего не происходит.
(Прикладываю свежий лог программой AutoLogger.)
Нужно же было снова делать лог AutoLogger'ом?
 

Вложения

  • CollectionLog-2016.08.21-21.19.zip
    72 KB · Просмотры: 4
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Program Files\nplus\nplus.exe');
 TerminateProcessByName('c:\programdata\ocep\ocep.exe');
 StopService('nplus');
 QuarantineFileF('c:\program files\nplus', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\nplus\nplus.exe', '');
 QuarantineFile('c:\programdata\ocep\ocep.exe', '');
 QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\nplus\nplus.exe', '32');
 DeleteFile('c:\programdata\ocep\ocep.exe', '32');
 DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
 DeleteFileMask('c:\program files\nplus', '*', true);
 DeleteFileMask('c:\programdata\ocep', '*', true);
 DeleteDirectory('c:\program files\nplus');
 DeleteDirectory('c:\programdata\ocep');
 DeleteService('nplus');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Смените пароли от аккаунтов соцсетей.
 
Первый скрипт выполнил и отправил quarantine.zip по форме.
Провел повторную диагностику и прикладываю лог :
Прикладываю файл из AdwCleaner. (S1 Я не нашел, но нашел S0) :
Пароли собираюсь сменить прямо сейчас.
 

Вложения

  • CollectionLog-2016.08.21-23.47.zip
    71.3 KB · Просмотры: 1
  • AdwCleaner[S0].txt
    10.5 KB · Просмотры: 4
Загрузитесь в безопасном режиме и выполните скрипт avz:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('C:\ProgramData\ocep\ocep.exe', '');
QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
DeleteFile('C:\ProgramData\ocep\ocep.exe', '32');
DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
DeleteFileMask('c:\programdata\ocep', '*', true);
DeleteDirectory('c:\programdata\ocep');
DeleteService('ocep');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Сделайте свежий лог adwcleaner


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Прикладываю лог удаления в AdwCleaner : (Не пойму какой из них, поэтому прикладываю оба.)
[C3] - Свежий лог AdwCleaner
+ Лог из AutoLogger'а
 

Вложения

  • AdwCleaner[C2].txt
    1.6 KB · Просмотры: 1
  • AdwCleaner[S1].txt
    1.9 KB · Просмотры: 1
  • AdwCleaner[C3].txt
    2 KB · Просмотры: 1
  • CollectionLog-2016.08.22-00.50.zip
    73.3 KB · Просмотры: 1
Загрузитесь в безопасном режиме и выполните скрипт avz:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "AFCF1149F-4B0F-4920-B8E9-8F580AEECD33" /F', 0, 15000, true);
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   TerminateProcessByName('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe');
   QuarantineFile('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
   QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Temp\nsa77C0.tmp\System.dll', '');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Temp\nsa77C0.tmp\System.dll');
   DeleteFile('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
   DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe', '32');
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKLM\..\Policies\Explorer\Run: [ACDB898745F5196B4F4F51D44B2E8E42SB] "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O4-32 - HKLM\..\Policies\Explorer\Run: [ACDB898745F5196B4F4F51D44B2E8E42SB] "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42 - \Microsoft - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --setresetup
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42 - \Microsoft\Windows - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --setresetup
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42SB - \Microsoft - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42SB - \Microsoft\Windows - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) AFCF1149F-4B0F-4920-B8E9-8F580AEECD33 - \Microsoft\Windows - "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe" --getupdate-ppapi-plugin

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 
Последнее редактирование:
Выполнил скрипт.
Прикладываю лог повторной диагностики.
+ Образ автозапуска.
 

Вложения

  • CollectionLog-2016.08.22-22.41.zip
    71.5 KB · Просмотры: 1
  • TOMATOV-ПК_2016-08-22_22-46-28.7z
    601.5 KB · Просмотры: 1
Отлично.
Еще раз скачайте свежую версию adwcleaner и сделайте новый лог.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Как общее самочувствие "пациента"?
 
Скачал новую версию AdwCleaner'a и прикладываю лог.
+ Те три файла.
Не понял на счет "пациента", но Я заболел и если ты интересовался моим здоровьем, спасибо.
 

Вложения

  • AdwCleaner[C4].txt
    2 KB · Просмотры: 1
  • Addition.txt
    33.9 KB · Просмотры: 1
  • FRST.txt
    33.7 KB · Просмотры: 1
  • Shortcut.txt
    70 KB · Просмотры: 0
Расширение браузеров Mego Shop - это ваше?

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-08-18 00:04 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Все пользователи\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
2016-08-18 00:04 - 2016-08-18 00:04 - 00000000 ____D C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Tomatov\AppData\LocalLow\IObit
2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\ProgramData\IObit
2016-08-18 00:01 - 2016-08-18 00:01 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-08-18 00:01 - 2016-08-18 00:01 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
C:\ProgramData\VideoPluginDone.dat
C:\Users\Все пользователи\VideoPluginDone.dat
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.

Не понял на счет "пациента", но Я заболел и если ты интересовался моим здоровьем, спасибо.
Я и смотрю по логам - вроде как и хозяин компа приболел))0
Выздоравливай.

Какие то проблемы с компом еще остаются?
+
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
 
Как раз этот MegoShop и устанавливается сам. Постоянно, после перезагрузки компьютера, это расширение ставится само.
Вот Fixlog который создался :
Файл из программы :
Из утилиты ClearLNK :
Проблема есть с этими расширениями, они сами добавляются в браузеры и удаляют блокераторы рекламы.
 

Вложения

  • Fixlog.txt
    2.9 KB · Просмотры: 1
  • SecurityCheck.txt
    8.5 KB · Просмотры: 1
  • ClearLNK-23.08.2016_00-22.log
    2.4 KB · Просмотры: 1
Как раз этот MegoShop и устанавливается сам.
Тогда пардон,сейчас добьем

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
CHR Extension: (Mego Shop) - C:\Users\Tomatov\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-08-22]
OPR Extension: (Mego Shop) - C:\Users\Tomatov\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-08-22]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Обновите:

----
WinRAR 5.31 (64-bit) v.5.31.0 Внимание! Скачать обновления
VLC media player v.2.2.4

-------------------------------- [ Java ] ---------------------------------
Java 8 Update 101 (64-bit) v.8.0.1010.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u102-windows-x64.exe)^

Adobe Flash Player 22 NPAPI v.22.0.0.192 Внимание! Скачать обновления



Вы так и не ответили - какие то проблемы еще наблюдаются?
 
Вот фикс лог, сейчас начну обновлять программы.
Я же говорю, при перезагрузке компьютера, в браузеры добавляются какие-то расширения, которые автоматически удаляют блокировщики рекламы.
Вот фикс лог, сейчас начну обновлять программы.
Я же говорю, при перезагрузке компьютера, в браузеры добавляются какие-то расширения, которые автоматически удаляют блокировщики рекламы.
Обманул. Перезагрузил компьютер и посмотрел, ни одно расширение не удалилось. Всё хорошо.
Есть какие-то заключительные инструкции?
 

Вложения

  • Fixlog.txt
    1.6 KB · Просмотры: 1
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу