Закрыто Проблема с ноутом из-за активатора kms

Статус
В этой теме нельзя размещать новые ответы.
P

Polina

Новый пользователь
Сообщения
15
Реакции
0
Баллы
1
Здравствуйте!

После запуска активатора и отключения экранов Avast ноутбук заражён. Сами установились ярлыки на онлайн игрушки на рабочий стол, комп постоянно пытается заходить на какие-то сайты (если открытка вкладка с регулярной догрузкой- видео, например - то антивирус кричит каждую минуту, что остановил вирус, но при полной проверке ничего не находит). При поиске через гугл открывается страница с результатами мейл.ру, сам гугл срабатывает только при наборе запроса в адресной строке хрома.

Помогите вылечить, пожалуйста!
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
youtubedownloader - сами устанавливали?

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\NOOfCcUskYMcdeyIflR\uHGKjty.dll','');
QuarantineFile('C:\Program Files (x86)\pObWEjsjndqU2\WkeMayBaWSlTt.dll','');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\UralSOFT.url','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','chrome','x32');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\UralSOFT.url','64');
DeleteFile('C:\Program Files (x86)\pObWEjsjndqU2\WkeMayBaWSlTt.dll','64');
DeleteFile('C:\Program Files (x86)\NOOfCcUskYMcdeyIflR\uHGKjty.dll','64');
DeleteSchedulerTask('qZkEPNCGHOoYARSao2');
DeleteSchedulerTask('{7DCD1AF2-0649-F8D2-6567-665F06B87C69}');
DeleteSchedulerTask('{3ADC971B-244A-F0D6-E8A0-FBDA4694E041}');
DeleteSchedulerTask('GItHvXoKUgtwAW');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
P

Polina

Новый пользователь
Сообщения
15
Реакции
0
Баллы
1
Благодарю вас за помощь!
Не помню. Возможно, ставила я, но не использовала.

Имя карантина: 2018.10.19_quarantine_f19e9decc4569fee71da11043578deb5.7z

Простите, это не поняла: "Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Нужно снова запустить скрипт в AVZ?
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
"Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Нужно снова запустить скрипт в AVZ?
Пока подождите. Сначала это

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
Не помню. Возможно, ставила я, но не использовала.
Тогда удалите.

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
P

Polina

Новый пользователь
Сообщения
15
Реакции
0
Баллы
1
Файлов в папке с логами AdwCleaner оказалось больше, на всякий случай я их отправляю. Кажется, я случайно запустила утилиту ещё раз после перезагрузки.
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\SysWOW64\iqiUEOYNOeuaK.exe;C:\Windows\SysWOW64\hJUYUIEdc.exe;C:\Program Files (x86)\aUZeUABiua.exe
    (Python Software Foundation) C:\Users\Андрей\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe
    (Python Software Foundation) C:\Users\Андрей\AppData\Roaming\YoutubeDownloader\python\pythonw.exe
    C:\Users\Андрей\AppData\Roaming\YoutubeDownloader_upd
    C:\Users\Андрей\AppData\Roaming\YoutubeDownloader
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\Run: [YoutubeDownloader_upd] => C:\Users\Андрей\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe [95904 2018-05-02] (Python Software Foundation) <==== ATTENTION
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\Run: [YoutubeDownloader] => C:\Users\Андрей\AppData\Roaming\YoutubeDownloader\python\pythonw.exe [95904 2018-05-02] (Python Software Foundation) <==== ATTENTION
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\MountPoints2: {da81e454-7346-11e7-828b-240a646445f2} - "D:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\MountPoints2: {da81e496-7346-11e7-828b-240a646445f2} - "D:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\MountPoints2: {da81e4ec-7346-11e7-828b-240a646445f2} - "D:\Install MegaFon Internet.exe" 
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    URLSearchHook: [S-1-5-21-1034902442-4129425868-2602738151-1001] ATTENTION => Default URLSearchHook is missing
    DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=27365d7106cce0fd26f26e8a071cdb2c&text= <==== ATTENTION
    Toolbar: HKU\S-1-5-21-1034902442-4129425868-2602738151-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbnpbnmjmgabkfemdehelbgdppngihhg [2018-10-10] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== ATTENTION
    OPR Extension: (Adblocker for Youtube™) - C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\dlcmabphabemcibpinmdkmojaofogdee [2018-10-10]
    S3 cpuz143; \??\C:\Users\A4F7~1\AppData\Local\Temp\cpuz143\cpuz143_x64.sys [X] <==== ATTENTION
    2018-10-10 18:47 - 2018-10-10 19:03 - 000000000 ____D C:\Users\Все пользователи\CvclQZOtucyvVSVB
    2018-10-10 18:47 - 2018-10-10 19:03 - 000000000 ____D C:\ProgramData\CvclQZOtucyvVSVB
    2018-10-10 18:46 - 2018-10-18 22:25 - 000003806 _____ C:\Windows\System32\Tasks\YoutubeDownloader_upd
    2018-10-10 18:46 - 2018-10-18 22:25 - 000003344 _____ C:\Windows\System32\Tasks\YoutubeDownloader
    2018-10-10 18:46 - 2018-10-12 23:59 - 000000000 ____D C:\Users\Андрей\AppData\Roaming\YoutubeDownloader
    2018-10-10 18:46 - 2018-10-11 16:24 - 000000000 ____D C:\Users\Андрей\AppData\Roaming\YoutubeDownloader_upd
    2018-10-10 18:46 - 2018-10-10 19:03 - 000000000 ____D C:\Users\Все пользователи\btscService
    2018-10-10 18:46 - 2018-10-10 19:03 - 000000000 ____D C:\ProgramData\btscService
    2018-10-19 17:06 - 2015-07-23 12:40 - 000000000 ____D C:\ProgramData\IObit
    ContextMenuHandlers1: [SHAREit.FileContextMenuExt] -> {430BD134-576D-4E75-87CD-0F5C6221A82B} =>  -> No File
    ContextMenuHandlers4: [SHAREit.FileContextMenuExt] -> {430BD134-576D-4E75-87CD-0F5C6221A82B} =>  -> No File
    Task: {90A3626D-4806-4830-9B30-A9692A78F24A} - System32\Tasks\YoutubeDownloader_upd => C:\Users\Андрей\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe [2018-05-02] (Python Software Foundation) <==== ATTENTION
    Task: {C981E29C-95AD-40C7-BC17-0A6C4761FD92} - System32\Tasks\YoutubeDownloader => C:\Users\Андрей\AppData\Roaming\YoutubeDownloader\python\pythonw.exe [2018-05-02] (Python Software Foundation) <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
    AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\StartupApproved\Run: => "YoutubeDownloader"
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\StartupApproved\Run: => "YoutubeDownloader_upd"
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
P

Polina

Новый пользователь
Сообщения
15
Реакции
0
Баллы
1
Готово.
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
Какие из проблем остались?
 
P

Polina

Новый пользователь
Сообщения
15
Реакции
0
Баллы
1
Открываю случайным образом выбранный сайт - Авира снова выбрасывает окошко о том, что угроза обезврежена.
 
akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
В конкретном браузере так или во всех?
 
P

Polina

Новый пользователь
Сообщения
15
Реакции
0
Баллы
1
В Chrome, я им обычно пользуюсь. Сейчас попробовала пару сайтов открыть в FF - антивирус не ругался.
 
akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
Отключите расширения chrome в том числе и служебные. Если проблема пропадет, включайте поочередно, пока не поймете какой расширение дает реакцию антивируса.
Название проблемного расширения сообщите.
 
P

Polina

Новый пользователь
Сообщения
15
Реакции
0
Баллы
1
Application Launcher for Drive (by Google)
Google Документы офлайн
Joxi Сделай скриншот экрана
Советник Яндекс.Маркета
MEGA Secure Cloud Storage
Avast SafePrice | Сравнения, предложения, к...

- при их включении антивирус что-то ловит, когда я открываю какие-либо сайты.

Я несколько раз редактирую этот ответ, т.к. проблема ненадолго пропадает, но через минуту-другую снова появляется. Отключаю следующее приложение - проблемы нет, через несколько минут пробую открыть сайт - опять Аваст звенит.
 
Последнее редактирование:
akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
Если отключить все? Да и дополнений намного больше
CHR Extension: (Презентации) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-10-14]
CHR Extension: (Документы) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2017-10-14]
CHR Extension: (Диск Google) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2018-10-18]
CHR Extension: (MEGA) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\bigefpfhnfcobdlfbedofhhaibnlghod [2018-10-18]
CHR Extension: (YouTube) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-05-04]
CHR Extension: (Блокировщик…) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2018-09-17]
CHR Extension: (Блокировка рекламы для Youtube™) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmedhionkhpnakcndndgjdbohmhepckk [2018-09-17]
CHR Extension: (Google Search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-08-13]
CHR Extension: (Avast SafePrice | Сравнения, предложения, купоны) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2018-10-10]
CHR Extension: (Советник Яндекс.Маркета) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdjdjkkjoiomafnihnobkinnfjnnlhdg [2018-10-19]
CHR Extension: (Таблицы) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-10-14]
CHR Extension: (Google Документы офлайн) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2018-08-16]
CHR Extension: (Блокировщик…) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2018-10-13]
CHR Extension: (Avast Online Security) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2018-10-10]
CHR Extension: (Joxi Сделай скриншот экрана) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\jhcdlkgjiehgpnpolkbnmpffjodigbkb [2018-02-12]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbnpbnmjmgabkfemdehelbgdppngihhg [2018-10-10] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== ATTENTION
CHR Extension: (Application Launcher for Drive (by Google)) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh [2018-06-06]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2018-04-09]
CHR Extension: (Gmail) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-08-13]
CHR Extension: (Chrome Media Router) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-10-10]


Оставьте один антивирус +++ скриншот покажите
 
P

Polina

Новый пользователь
Сообщения
15
Реакции
0
Баллы
1
Простите, Авиры нет, это я ошиблась в названии.

На скриншоте не видно низа страницы, там приложения chrome - документы, презентации, таблицы.

Сейчас, когда я оставила включенным только расширение
Avast Online Security 18.3.56, вроде бы больше не звенит антивирус на открытиях сайтов.
скрн.jpg
 
akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
Avast SafePrice - можно удалить спокойно.

Avast Online Security 18.3.56, вроде бы больше не звенит антивирус на открытиях сайтов.
Включайте по одному. Какой откроет соединение.
 
P

Polina

Новый пользователь
Сообщения
15
Реакции
0
Баллы
1
Включила
Application Launcher for Drive (by Google) 3.2

- не сразу, но зазвенел Аваст на открываемую страницу.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу