Решена PUP. Desktop Weather Channel

Anti_90

Новый пользователь
Сообщения
7
Реакции
0
Вчера обнаружил PUP. Desktop Weather Channel на своем ноутбуке программой SpyHunter4. Обезвредил угрозу. После растрата системы и серфинга в интернете повторно запустил сканирование SpyHunter4, опять нашел эту же угрозу, удалил, сбросил настройки Google Chrome. Опять просканировал, вновь нашел PUP. Desktop Weather Channel. Также проверял сканерами Malwarebytes, HitmanPro, Zemana AntiLogger, avz и антивирусом Emsisoft Internet Security - угроз не было обнаружено. Кто нибудь сталкивался с данной заразой как её ликвидировать? Спасибо
Безымянный.jpg
 
забыл
 

Вложения

  • avz_log.txt
    22.9 KB · Просмотры: 2
Anti_90, опять не то.
Внимательнее.
 
вот, я надеюсь что сейчас все верно
 

Вложения

  • CollectionLog-2017.01.08-20.05.rar
    83.9 KB · Просмотры: 6
Удалите через установку и удаление программ:
swMSM

Вчера обнаружил PUP. Desktop Weather Channel на своем ноутбуке программой SpyHunter4.
Удалите эту программу и больше никогда ее не используйте.
Почему?
https://safezone.cc/threads/pochemu-ne-sleduet-ispolzovat-programmu-spyhunter.28842/#post-240688

+
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Удалил программу с помощью Revo Uninstaller Pro. Скачал две программы, проверил, вот логи
 

Вложения

  • AdwCleaner[S0].txt
    1.6 KB · Просмотры: 3
  • Addition.txt
    37 KB · Просмотры: 1
  • FRST.txt
    60.6 KB · Просмотры: 5
  • Shortcut.txt
    115.3 KB · Просмотры: 0
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
swMSM (x32 Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\008i.com -> 008i.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\008k.com -> 008k.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\00hq.com -> 00hq.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\0190-dialers.com -> 0190-dialers.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\01i.info -> 01i.info
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\02pmnzy5eo29bfk4.com -> 02pmnzy5eo29bfk4.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\05p.com -> 05p.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\07ic5do2myz3vzpk.com -> 07ic5do2myz3vzpk.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\08nigbmwk43i01y6.com -> 08nigbmwk43i01y6.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\093qpeuqpmz6ebfa.com -> 093qpeuqpmz6ebfa.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\0calories.net -> 0calories.net
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\0cj.net -> 0cj.net
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\0scan.com -> 0scan.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\1-britney-spears-nude.com -> 1-britney-spears-nude.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\1-domains-registrations.com -> 1-domains-registrations.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\1-se.com -> 1-se.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\1001movie.com -> 1001movie.com
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\1001night.biz -> 1001night.biz
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\100gal.net -> 100gal.net
IE restricted site: HKU\S-1-5-21-2230126371-2700278391-4040055422-1000\...\100sexlinks.com -> 100sexlinks.com
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-01-08 21:55 - 2016-12-03 13:36 - 00000000 ____D C:\Program Files\Emsisoft Internet Security
2017-01-08 21:49 - 2016-12-03 00:01 - 00000000 ____D C:\Users\user\AppData\Roaming\AIMP
2017-01-08 19:05 - 2009-07-14 10:45 - 00026576 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2017-01-08 19:05 - 2009-07-14 10:45 - 00026576 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
Hosts:
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Проверьте наличие проблемы.
Если не прошло,отключайте расширения хрома - пока не найдете виновника.
https://safezone.cc/threads/kak-udalit-nezhelatelnye-rasshirenija-vkladki.24812/


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
А Спайхантер нашел у вас в качестве зловреда это расширение хрома - Chrome Media Router, не доверяете просто удалите его
 
Эммм, друзья я запутался. Я удалил SpyHunter4, только он находил у меня PUP. Desktop Weather Channel, а расширения Chrome Media Router у меня нет и никогда не было, или я чего-то не так понял?
 
Запакуйте эту папку в архив с паролем virus:

C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm

Отправьте архив на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Ничего подозрительного в архиве нет. У вас запросили лог SecurityCheck где он?
 
Вот лог SecurityCheck
 

Вложения

  • SecurityCheck.txt
    11.1 KB · Просмотры: 1
Исправляйте, обновляйте:

Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Java 8 Update 40 (64-bit) v.8.0.400 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^

И читайте: https://safezone.cc/threads/rekomendacii-posle-udalenija-vredonosnogo-po.16715/
 
+
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Файл - Деинсталлировать.
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Удачи.
 
Назад
Сверху Снизу