Закрыто Проблема с ноутом из-за активатора kms

Статус
В этой теме нельзя размещать новые ответы.

Polina

Новый пользователь
Сообщения
15
Симпатии
0
Баллы
1
#1
Здравствуйте!

После запуска активатора и отключения экранов Avast ноутбук заражён. Сами установились ярлыки на онлайн игрушки на рабочий стол, комп постоянно пытается заходить на какие-то сайты (если открытка вкладка с регулярной догрузкой- видео, например - то антивирус кричит каждую минуту, что остановил вирус, но при полной проверке ничего не находит). При поиске через гугл открывается страница с результатами мейл.ру, сам гугл срабатывает только при наборе запроса в адресной строке хрома.

Помогите вылечить, пожалуйста!
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,784
Симпатии
12,726
Баллы
2,203
#2
youtubedownloader - сами устанавливали?

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\NOOfCcUskYMcdeyIflR\uHGKjty.dll','');
QuarantineFile('C:\Program Files (x86)\pObWEjsjndqU2\WkeMayBaWSlTt.dll','');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\UralSOFT.url','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','chrome','x32');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\UralSOFT.url','64');
DeleteFile('C:\Program Files (x86)\pObWEjsjndqU2\WkeMayBaWSlTt.dll','64');
DeleteFile('C:\Program Files (x86)\NOOfCcUskYMcdeyIflR\uHGKjty.dll','64');
DeleteSchedulerTask('qZkEPNCGHOoYARSao2');
DeleteSchedulerTask('{7DCD1AF2-0649-F8D2-6567-665F06B87C69}');
DeleteSchedulerTask('{3ADC971B-244A-F0D6-E8A0-FBDA4694E041}');
DeleteSchedulerTask('GItHvXoKUgtwAW');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Polina

Новый пользователь
Сообщения
15
Симпатии
0
Баллы
1
#3
Благодарю вас за помощь!
Не помню. Возможно, ставила я, но не использовала.

Имя карантина: 2018.10.19_quarantine_f19e9decc4569fee71da11043578deb5.7z

Простите, это не поняла: "Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Нужно снова запустить скрипт в AVZ?
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,784
Симпатии
12,726
Баллы
2,203
#4
"Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Нужно снова запустить скрипт в AVZ?
Пока подождите. Сначала это

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
15,784
Симпатии
12,726
Баллы
2,203
#6
Не помню. Возможно, ставила я, но не использовала.
Тогда удалите.

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Polina

Новый пользователь
Сообщения
15
Симпатии
0
Баллы
1
#7
Файлов в папке с логами AdwCleaner оказалось больше, на всякий случай я их отправляю. Кажется, я случайно запустила утилиту ещё раз после перезагрузки.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,784
Симпатии
12,726
Баллы
2,203
#8
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\SysWOW64\iqiUEOYNOeuaK.exe;C:\Windows\SysWOW64\hJUYUIEdc.exe;C:\Program Files (x86)\aUZeUABiua.exe
    (Python Software Foundation) C:\Users\Андрей\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe
    (Python Software Foundation) C:\Users\Андрей\AppData\Roaming\YoutubeDownloader\python\pythonw.exe
    C:\Users\Андрей\AppData\Roaming\YoutubeDownloader_upd
    C:\Users\Андрей\AppData\Roaming\YoutubeDownloader
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\Run: [YoutubeDownloader_upd] => C:\Users\Андрей\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe [95904 2018-05-02] (Python Software Foundation) <==== ATTENTION
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\Run: [YoutubeDownloader] => C:\Users\Андрей\AppData\Roaming\YoutubeDownloader\python\pythonw.exe [95904 2018-05-02] (Python Software Foundation) <==== ATTENTION
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\MountPoints2: {da81e454-7346-11e7-828b-240a646445f2} - "D:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\MountPoints2: {da81e496-7346-11e7-828b-240a646445f2} - "D:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\MountPoints2: {da81e4ec-7346-11e7-828b-240a646445f2} - "D:\Install MegaFon Internet.exe" 
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    URLSearchHook: [S-1-5-21-1034902442-4129425868-2602738151-1001] ATTENTION => Default URLSearchHook is missing
    DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=27365d7106cce0fd26f26e8a071cdb2c&text= <==== ATTENTION
    Toolbar: HKU\S-1-5-21-1034902442-4129425868-2602738151-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbnpbnmjmgabkfemdehelbgdppngihhg [2018-10-10] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== ATTENTION
    OPR Extension: (Adblocker for Youtube™) - C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\dlcmabphabemcibpinmdkmojaofogdee [2018-10-10]
    S3 cpuz143; \??\C:\Users\A4F7~1\AppData\Local\Temp\cpuz143\cpuz143_x64.sys [X] <==== ATTENTION
    2018-10-10 18:47 - 2018-10-10 19:03 - 000000000 ____D C:\Users\Все пользователи\CvclQZOtucyvVSVB
    2018-10-10 18:47 - 2018-10-10 19:03 - 000000000 ____D C:\ProgramData\CvclQZOtucyvVSVB
    2018-10-10 18:46 - 2018-10-18 22:25 - 000003806 _____ C:\Windows\System32\Tasks\YoutubeDownloader_upd
    2018-10-10 18:46 - 2018-10-18 22:25 - 000003344 _____ C:\Windows\System32\Tasks\YoutubeDownloader
    2018-10-10 18:46 - 2018-10-12 23:59 - 000000000 ____D C:\Users\Андрей\AppData\Roaming\YoutubeDownloader
    2018-10-10 18:46 - 2018-10-11 16:24 - 000000000 ____D C:\Users\Андрей\AppData\Roaming\YoutubeDownloader_upd
    2018-10-10 18:46 - 2018-10-10 19:03 - 000000000 ____D C:\Users\Все пользователи\btscService
    2018-10-10 18:46 - 2018-10-10 19:03 - 000000000 ____D C:\ProgramData\btscService
    2018-10-19 17:06 - 2015-07-23 12:40 - 000000000 ____D C:\ProgramData\IObit
    ContextMenuHandlers1: [SHAREit.FileContextMenuExt] -> {430BD134-576D-4E75-87CD-0F5C6221A82B} =>  -> No File
    ContextMenuHandlers4: [SHAREit.FileContextMenuExt] -> {430BD134-576D-4E75-87CD-0F5C6221A82B} =>  -> No File
    Task: {90A3626D-4806-4830-9B30-A9692A78F24A} - System32\Tasks\YoutubeDownloader_upd => C:\Users\Андрей\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe [2018-05-02] (Python Software Foundation) <==== ATTENTION
    Task: {C981E29C-95AD-40C7-BC17-0A6C4761FD92} - System32\Tasks\YoutubeDownloader => C:\Users\Андрей\AppData\Roaming\YoutubeDownloader\python\pythonw.exe [2018-05-02] (Python Software Foundation) <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
    AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\StartupApproved\Run: => "YoutubeDownloader"
    HKU\S-1-5-21-1034902442-4129425868-2602738151-1001\...\StartupApproved\Run: => "YoutubeDownloader_upd"
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
15,784
Симпатии
12,726
Баллы
2,203
#10
Какие из проблем остались?
 

Polina

Новый пользователь
Сообщения
15
Симпатии
0
Баллы
1
#11
Открываю случайным образом выбранный сайт - Авира снова выбрасывает окошко о том, что угроза обезврежена.
 

akok

Команда форума
Администратор
Сообщения
15,784
Симпатии
12,726
Баллы
2,203
#12
В конкретном браузере так или во всех?
 

Polina

Новый пользователь
Сообщения
15
Симпатии
0
Баллы
1
#13
В Chrome, я им обычно пользуюсь. Сейчас попробовала пару сайтов открыть в FF - антивирус не ругался.
 

akok

Команда форума
Администратор
Сообщения
15,784
Симпатии
12,726
Баллы
2,203
#14
Отключите расширения chrome в том числе и служебные. Если проблема пропадет, включайте поочередно, пока не поймете какой расширение дает реакцию антивируса.
Название проблемного расширения сообщите.
 

Polina

Новый пользователь
Сообщения
15
Симпатии
0
Баллы
1
#15
Application Launcher for Drive (by Google)
Google Документы офлайн
Joxi Сделай скриншот экрана
Советник Яндекс.Маркета
MEGA Secure Cloud Storage
Avast SafePrice | Сравнения, предложения, к...

- при их включении антивирус что-то ловит, когда я открываю какие-либо сайты.

Я несколько раз редактирую этот ответ, т.к. проблема ненадолго пропадает, но через минуту-другую снова появляется. Отключаю следующее приложение - проблемы нет, через несколько минут пробую открыть сайт - опять Аваст звенит.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,784
Симпатии
12,726
Баллы
2,203
#16
Если отключить все? Да и дополнений намного больше
CHR Extension: (Презентации) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-10-14]
CHR Extension: (Документы) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2017-10-14]
CHR Extension: (Диск Google) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2018-10-18]
CHR Extension: (MEGA) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\bigefpfhnfcobdlfbedofhhaibnlghod [2018-10-18]
CHR Extension: (YouTube) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-05-04]
CHR Extension: (Блокировщик…) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2018-09-17]
CHR Extension: (Блокировка рекламы для Youtube™) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmedhionkhpnakcndndgjdbohmhepckk [2018-09-17]
CHR Extension: (Google Search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-08-13]
CHR Extension: (Avast SafePrice | Сравнения, предложения, купоны) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2018-10-10]
CHR Extension: (Советник Яндекс.Маркета) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdjdjkkjoiomafnihnobkinnfjnnlhdg [2018-10-19]
CHR Extension: (Таблицы) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-10-14]
CHR Extension: (Google Документы офлайн) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2018-08-16]
CHR Extension: (Блокировщик…) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2018-10-13]
CHR Extension: (Avast Online Security) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2018-10-10]
CHR Extension: (Joxi Сделай скриншот экрана) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\jhcdlkgjiehgpnpolkbnmpffjodigbkb [2018-02-12]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbnpbnmjmgabkfemdehelbgdppngihhg [2018-10-10] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== ATTENTION
CHR Extension: (Application Launcher for Drive (by Google)) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh [2018-06-06]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2018-04-09]
CHR Extension: (Gmail) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-08-13]
CHR Extension: (Chrome Media Router) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-10-10]


Оставьте один антивирус +++ скриншот покажите
 

Polina

Новый пользователь
Сообщения
15
Симпатии
0
Баллы
1
#17
Простите, Авиры нет, это я ошиблась в названии.

На скриншоте не видно низа страницы, там приложения chrome - документы, презентации, таблицы.

Сейчас, когда я оставила включенным только расширение
Avast Online Security 18.3.56, вроде бы больше не звенит антивирус на открытиях сайтов.
 

akok

Команда форума
Администратор
Сообщения
15,784
Симпатии
12,726
Баллы
2,203
#18
Avast SafePrice - можно удалить спокойно.

Avast Online Security 18.3.56, вроде бы больше не звенит антивирус на открытиях сайтов.
Включайте по одному. Какой откроет соединение.
 

Polina

Новый пользователь
Сообщения
15
Симпатии
0
Баллы
1
#19
Включила
Application Launcher for Drive (by Google) 3.2

- не сразу, но зазвенел Аваст на открываемую страницу.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу