• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена При скачивании программы, подхватил вирус.

Статус
В этой теме нельзя размещать новые ответы.

lilchurll

Пользователь
Сообщения
10
Реакции
2
Баллы
43
При скачивании программы, подхватил какой-то вирус, который самостоятельно удаляет расширения в браузере, устанавливает свои расширения и меняет поисковую систему на свою.
(Прикладываю необходимый архив с логами.)
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,049
Реакции
6,389
Баллы
993
Здравствуйте.
Программа Raptr вам знакома - сами установили? Пользуетесь?

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "psv_Alphaphase" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "psv_Dong-Sing" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "psv_Volfresh" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   TerminateProcessByName('c:\users\tomatov\appdata\roaming\nssm.exe');
   StopService('gkernel');
   QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
   QuarantineFileF('c:\users\tomatov\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
   QuarantineFile('c:\users\tomatov\appdata\roaming\nssm.exe', '');
   QuarantineFile('C:\ProgramData\ocep\ocep.exe', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Temp\gkernel.sys', '');
   QuarantineFile('C:\ProgramData\ocep\DonSanstrong.dll', '');
   QuarantineFile('C:\ProgramData\ocep\Softdinla.dll', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
   QuarantineFile('C:\ProgramData\ocep\QuoSilla.reg', '');
   QuarantineFile('C:\ProgramData\ocep\Newit.reg', '');
   QuarantineFile('C:\ProgramData\ocep\Trisdonlex.reg', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Hostinstaller\3806941765_monster.exe', '');
   DeleteFile('c:\users\tomatov\appdata\roaming\nssm.exe', '32');
   DeleteFile('C:\ProgramData\ocep\ocep.exe', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Temp\gkernel.sys', '32');
   DeleteFile('C:\ProgramData\ocep\DonSanstrong.dll', '32');
   DeleteFile('C:\ProgramData\ocep\Softdinla.dll', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
   DeleteFile('C:\ProgramData\ocep\QuoSilla.reg', '32');
   DeleteFile('C:\ProgramData\ocep\Newit.reg', '32');
   DeleteFile('C:\ProgramData\ocep\Trisdonlex.reg', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Hostinstaller\3806941765_monster.exe', '32');
   DeleteService('clr_optimization_v1.02');
   DeleteService('ocep');
   DeleteService('gkernel');
   DeleteFileMask('c:\programdata\ocep', '*', true);
   DeleteFileMask('c:\users\tomatov\appdata\local\hostinstaller', '*', true);
   DeleteDirectory('c:\programdata\ocep');
   DeleteDirectory('c:\users\tomatov\appdata\local\hostinstaller');
  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O20 - AppInit_DLLs: C:\ProgramData\ocep\Softdinla.dll
O20-32 - AppInit_DLLs: C:\ProgramData\ocep\DonSanstrong.dll
O22 - ScheduledTask: (Ready) psv_Alphaphase - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\QuoSilla.reg" & del "C:\ProgramData\ocep\QuoSilla.reg" & SCHTASKS /Delete /TN "psv_Alphaphase" /F
O22 - ScheduledTask: (Ready) psv_Dong-Sing - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\Newit.reg" & del "C:\ProgramData\ocep\Newit.reg" & SCHTASKS /Delete /TN "psv_Dong-Sing" /F
O22 - ScheduledTask: (Ready) psv_Volfresh - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\Trisdonlex.reg" & del "C:\ProgramData\ocep\Trisdonlex.reg" & SCHTASKS /Delete /TN "psv_Volfresh" /F
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

lilchurll

Пользователь
Сообщения
10
Реакции
2
Баллы
43
Программа Raptr это - стандартная программа для видео карт AMD Radeon. Она установилась автоматически, при обновлении драйверов.
(Отчет об работе программы ClearLNK) : Пришлось докачивать необходимое, чтобы сделать это.
Файл quarantine.zip отправил по форме.
В программе HiJackThis отсутствовали некоторые строки как и было написано.
Провёл повторную диагностику.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,049
Реакции
6,389
Баллы
993
Ну а где лог повторной диагностики?
 

Кирилл

Команда форума
Администратор
Сообщения
14,049
Реакции
6,389
Баллы
993
Вот, судя по времени это он.
Он,но почему то не полный.

Выполните скрипт avz:

Код:
var PathAutoLogger, CMDLine : string;

begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
    if FolderIsEmpty(PathAutoLogger+'CrashDumps')
        then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
        else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
        else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.
архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников RGhost — файлообменник , Zippyshare.com - Free File Hosting , My-Files.RU лучший бесплатный файлообменник и файловый сервис , Ge.tt | Gett sharing и дайте на него ссылку в Вашей теме.

Попробуйте еще раз собрать свежий лог avz
 

lilchurll

Пользователь
Сообщения
10
Реакции
2
Баллы
43
Вот, залил на RGhost - Report.7z — RGhost — файлообменник
При запуске этого скрипта, выдает сообщение "Скрипт запущен без ошибок" и всё. Далее ничего не происходит.
(Прикладываю свежий лог программой AutoLogger.)
Нужно же было снова делать лог AutoLogger'ом?
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,049
Реакции
6,389
Баллы
993
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Program Files\nplus\nplus.exe');
 TerminateProcessByName('c:\programdata\ocep\ocep.exe');
 StopService('nplus');
 QuarantineFileF('c:\program files\nplus', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\nplus\nplus.exe', '');
 QuarantineFile('c:\programdata\ocep\ocep.exe', '');
 QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\nplus\nplus.exe', '32');
 DeleteFile('c:\programdata\ocep\ocep.exe', '32');
 DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
 DeleteFileMask('c:\program files\nplus', '*', true);
 DeleteFileMask('c:\programdata\ocep', '*', true);
 DeleteDirectory('c:\program files\nplus');
 DeleteDirectory('c:\programdata\ocep');
 DeleteService('nplus');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Смените пароли от аккаунтов соцсетей.
 

lilchurll

Пользователь
Сообщения
10
Реакции
2
Баллы
43
Первый скрипт выполнил и отправил quarantine.zip по форме.
Провел повторную диагностику и прикладываю лог :
Прикладываю файл из AdwCleaner. (S1 Я не нашел, но нашел S0) :
Пароли собираюсь сменить прямо сейчас.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,049
Реакции
6,389
Баллы
993
Загрузитесь в безопасном режиме и выполните скрипт avz:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('C:\ProgramData\ocep\ocep.exe', '');
QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
DeleteFile('C:\ProgramData\ocep\ocep.exe', '32');
DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
DeleteFileMask('c:\programdata\ocep', '*', true);
DeleteDirectory('c:\programdata\ocep');
DeleteService('ocep');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Сделайте свежий лог adwcleaner


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

lilchurll

Пользователь
Сообщения
10
Реакции
2
Баллы
43
Прикладываю лог удаления в AdwCleaner : (Не пойму какой из них, поэтому прикладываю оба.)
[C3] - Свежий лог AdwCleaner
+ Лог из AutoLogger'а
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,049
Реакции
6,389
Баллы
993
Загрузитесь в безопасном режиме и выполните скрипт avz:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "AFCF1149F-4B0F-4920-B8E9-8F580AEECD33" /F', 0, 15000, true);
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   TerminateProcessByName('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe');
   QuarantineFile('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
   QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Temp\nsa77C0.tmp\System.dll', '');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Temp\nsa77C0.tmp\System.dll');
   DeleteFile('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
   DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe', '32');
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKLM\..\Policies\Explorer\Run: [ACDB898745F5196B4F4F51D44B2E8E42SB] "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O4-32 - HKLM\..\Policies\Explorer\Run: [ACDB898745F5196B4F4F51D44B2E8E42SB] "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42 - \Microsoft - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --setresetup
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42 - \Microsoft\Windows - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --setresetup
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42SB - \Microsoft - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42SB - \Microsoft\Windows - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) AFCF1149F-4B0F-4920-B8E9-8F580AEECD33 - \Microsoft\Windows - "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe" --getupdate-ppapi-plugin
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,049
Реакции
6,389
Баллы
993
Отлично.
Еще раз скачайте свежую версию adwcleaner и сделайте новый лог.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Как общее самочувствие "пациента"?
 

lilchurll

Пользователь
Сообщения
10
Реакции
2
Баллы
43
Скачал новую версию AdwCleaner'a и прикладываю лог.
+ Те три файла.
Не понял на счет "пациента", но Я заболел и если ты интересовался моим здоровьем, спасибо.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,049
Реакции
6,389
Баллы
993
Расширение браузеров Mego Shop - это ваше?

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-08-18 00:04 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Все пользователи\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
2016-08-18 00:04 - 2016-08-18 00:04 - 00000000 ____D C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Tomatov\AppData\LocalLow\IObit
2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\ProgramData\IObit
2016-08-18 00:01 - 2016-08-18 00:01 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-08-18 00:01 - 2016-08-18 00:01 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
C:\ProgramData\VideoPluginDone.dat
C:\Users\Все пользователи\VideoPluginDone.dat
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.

Не понял на счет "пациента", но Я заболел и если ты интересовался моим здоровьем, спасибо.
Я и смотрю по логам - вроде как и хозяин компа приболел))0
Выздоравливай.

Какие то проблемы с компом еще остаются?
+
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
 

lilchurll

Пользователь
Сообщения
10
Реакции
2
Баллы
43
Как раз этот MegoShop и устанавливается сам. Постоянно, после перезагрузки компьютера, это расширение ставится само.
Вот Fixlog который создался :
Файл из программы :
Из утилиты ClearLNK :
Проблема есть с этими расширениями, они сами добавляются в браузеры и удаляют блокераторы рекламы.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,049
Реакции
6,389
Баллы
993
Как раз этот MegoShop и устанавливается сам.
Тогда пардон,сейчас добьем

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
CHR Extension: (Mego Shop) - C:\Users\Tomatov\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-08-22]
OPR Extension: (Mego Shop) - C:\Users\Tomatov\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-08-22]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Обновите:

----
WinRAR 5.31 (64-bit) v.5.31.0 Внимание! Скачать обновления
VLC media player v.2.2.4

-------------------------------- [ Java ] ---------------------------------
Java 8 Update 101 (64-bit) v.8.0.1010.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u102-windows-x64.exe)^

Adobe Flash Player 22 NPAPI v.22.0.0.192 Внимание! Скачать обновления



Вы так и не ответили - какие то проблемы еще наблюдаются?
 

lilchurll

Пользователь
Сообщения
10
Реакции
2
Баллы
43
Вот фикс лог, сейчас начну обновлять программы.
Я же говорю, при перезагрузке компьютера, в браузеры добавляются какие-то расширения, которые автоматически удаляют блокировщики рекламы.
Вот фикс лог, сейчас начну обновлять программы.
Я же говорю, при перезагрузке компьютера, в браузеры добавляются какие-то расширения, которые автоматически удаляют блокировщики рекламы.
Обманул. Перезагрузил компьютер и посмотрел, ни одно расширение не удалилось. Всё хорошо.
Есть какие-то заключительные инструкции?
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,049
Реакции
6,389
Баллы
993
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу