1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Самооткрывание Amigo и "торможение" компьютера...

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Razey, 30 мар 2017.

  1. Razey

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Всем доброго времени суток!
    Есть ноутбук с Windows 8.1 и учётной записью без пароля и антивируса. Как итог: "автоматически" при загрузке системы загружается браузер Амиго (причём по нескольку вкладок), там сначала реклама, потом включается какой-то фильм; во время работы браузера запустить какое-либо приложение сложно - при нажатии на ярлыки отклика системы нет. После снятия задачи диспетчером задач какое-то время можно работать, затем все повторяется. Логи во вложении. Просьба посмотреть.

    P.S. Есть ли смысл скачать LiveCD Drweb'a или Касперского и, загрузившись с него, пролечить с удалением всей этой заразы и только потом делать логи здесь?
     

    Вложения:

  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. VexMD

    VexMD Активный пользователь

    Сообщения:
    789
    Симпатии:
    139
    смотрю логи
     
    Razey нравится это.
  4. VexMD

    VexMD Активный пользователь

    Сообщения:
    789
    Симпатии:
    139
    Здравствуйте,
    1) Деинсталируйте нежелательные программы (через "Программы и компоненты"):
    Код (Text):

    MaohaWiFi [20170327]-->C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe
    My Web Shield [20160327]-->C:\Program Files\My Web Shield\mwesuninstall.exe uninst=1
    Ojtion [20170327]-->MsiExec.exe /I{63FABE20-831D-40D0-A1F8-3373B3C5CC3A}
    ScreenUp [2015/11/30 08:45:14]-->C:\Program Files (x86)\ScreenUp\uninst.exe
    TablacusApp [2017/03/27 21:02:31]-->C:\Users\marina\AppData\Roaming\TablacusApp\uninstaller.exe
    VOF 0.0.1 [2017/03/30 08:07:53]-->C:\Users\marina\AppData\Roaming\VOF\uninstall.exe
    vofer [2017/03/30 08:07:48]-->C:\Users\marina\AppData\Roaming\vofer\uninstall.exe
    Zaxar Games Browser 4 [20170327]-->"C:\Program Files (x86)\Zaxar\unins000.exe"
    水滴精灵 [20170327]-->C:\Program Files (x86)\FlowSprit\uninst.exe
    Ace Stream Media 2.1.10.1 [2015/02/21 14:07:59]-->C:\Users\marina\AppData\Roaming\ACEStream\Uninstall.exe
     
    Если следующие программы сами не устанавливали (не используете), то тоже деинсталируйте:
    Код (Text):

    Unity Web Player [2017/03/27 21:08:46]-->C:\Users\marina\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
    Амиго [20170327]-->"C:\Users\marina\AppData\Local\Amigo\Application\54.0.2840.191\Installer\setup.exe" –uninstall
     
    2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
    Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
    Выполните скрипт в AVZ:
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\program files (x86)\maoha\maohaap\maohawifisvr.exe');
     TerminateProcessByName('c:\program files (x86)\screenup\future_helper.exe');
     TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
     TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamesteam.exe');
     TerminateProcessByName('C:\Program Files (x86)\Zaxar\zaxargamesteam.exe');
     TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
     TerminateProcessByName('C:\Program Files\65MWD8E9NB\0J345C4SI.exe');
     TerminateProcessByName('C:\Program Files\ASLYQIH7AH\CCH9DXG1F.exe');
     TerminateProcessByName('c:\programdata\logic cramble\set.exe');
     TerminateProcessByName('c:\programdata\prefssecure\nettrans.exe');
     TerminateProcessByName('c:\programdata\teamviewer_tracer.exe');
     TerminateProcessByName('c:\users\marina\appdata\local\filterstart\filterstart.exe');
     TerminateProcessByName('c:\users\marina\appdata\local\temp\00006493\msiql.exe');
     TerminateProcessByName('c:\users\marina\appdata\roaming\tablacusapp\tablacusapp.exe');
     TerminateProcessByName('c:\windows\syswow64\surfshield.exe');
     SetServiceStart('p1490638519am', 4);
     SetServiceStart('p1490638272am', 4);
     SetServiceStart('MaohaWifiNetPro', 4);
     SetServiceStart('KuaiZipDrive', 4);
     SetServiceStart('flowhlp', 4);
     SetServiceStart('mwescontroller', 4);
     SetServiceStart('ucdrv', 4);
     SetServiceStart('GoogleChromeUpService', 4);
     SetServiceStart('backlh', 4);
     SetServiceStart('surfshieldsrv', 4);
     SetServiceStart('MaohaWifiSvr', 4);
     SetServiceStart('Nettrans', 4);
     SetServiceStart('TeamViewer_Tracer', 4);

     StopService('MaohaWifiNetPro');
     StopService('KuaiZipDrive');
     StopService('flowhlp');
     StopService('backlh');
     StopService('surfshieldsrv');
     StopService('MaohaWifiSvr');
     StopService('Nettrans');
     StopService('TeamViewer_Tracer');
     QuarantineFile('C:\ProgramData\Plusdax\ZathFan.reg','');
     QuarantineFile('C:\ProgramData\Plusdax\Driping.reg','');
     QuarantineFile('C:\ProgramData\Plusdax\TresNix.reg','');
     QuarantineFile('C:\ProgramData\Plusdax\Dripfresh.reg','');
     QuarantineFile('C:\ProgramData\Utatity\Zaamdom.reg','');
     QuarantineFile('C:\ProgramData\Utatity\Ozertough.reg','');
     QuarantineFile('C:\ProgramData\Utatity\Namsoft.reg','');
     QuarantineFile('C:\ProgramData\Utatity\Dalttech.reg','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\SETUPS~1\python\pythonw.exe','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\SETUPS~1\ml.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\setupsk\python\pythonw.exe','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\setupsk\ml.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\SearchAY\ml.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\SearchAY\python\pythonw.exe','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\SearchAY\app.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\VOF\updater.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\VOF\ml.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\vofer\ml.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\updater.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\app.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\ml.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\ml.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\uninstall.exe','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\updater.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\ml.py','');
     QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
     QuarantineFile('c:\program files (x86)\zaxar\zaxargamesteam.exe','');
     QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
     QuarantineFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.dat','');
     QuarantineFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.exe','');
     QuarantineFile('C:\Program Files (x86)\Qejisyfank\xchercers.exe','');
     QuarantineFile('C:\Program Files (x86)\Qejisyfank\xckels.exe','');
     QuarantineFile('C:\Program Files (x86)\Tehelekudied\xmaution.exe','');
     QuarantineFile('C:\Program Files (x86)\MyMemory\uninstall.exe','');
     QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe','');
     QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
     QuarantineFile('C:\PROGRA~1\6A8C~1\X86\Update.exe','');
     QuarantineFile('C:\Users\marina\AppData\Local\Translator Line Manager.exe','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp\ml.py','');
     QuarantineFile('C:\Program Files (x86)\Qejisyfank\vedther.exe','');
     QuarantineFile('C:\Users\marina\AppData\Local\rightchose\regCheck.vbs','');
     QuarantineFile('C:\Users\marina\AppData\Local\DateOption\regCheck.vbs','');
     QuarantineFile('C:\Users\marina\AppData\Local\ValidateLife\regCheck.vbs','');
     QuarantineFile('C:\Users\marina\AppData\Local\LastNews\regCheck.vbs','');
     QuarantineFile('C:\Users\marina\AppData\Local\ImmediateHelp\regCheck.vbs','');
     QuarantineFile('C:\Users\marina\AppData\Local\TestMenu\regCheck.vbs','');
     QuarantineFile('C:\Users\marina\AppData\Local\FileSystemOptions\regCheck.vbs','');
     QuarantineFile('C:\Users\marina\AppData\Local\FilterOptions\regCheck.vbs','');
     QuarantineFile('C:\Users\marina\AppData\Local\Temp\bk2584.tmp\p1490638519am.sys','');
     QuarantineFile('C:\Users\marina\AppData\Local\Temp\bk606D.tmp\p1490638272am.sys','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\CDManager\ml.py','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\CDManager\updater.py','');
     QuarantineFile('c:\programdata\teamviewer_tracer.exe','');
     QuarantineFile('c:\windows\syswow64\surfshield.exe','');
     QuarantineFile('c:\programdata\logic cramble\set.exe','');
     QuarantineFile('c:\programdata\prefssecure\nettrans.exe','');
     QuarantineFile('c:\users\marina\appdata\local\temp\00006493\msiql.exe','');
     QuarantineFile('c:\program files (x86)\maoha\maohaap\maohawifisvr.exe','');
     QuarantineFile('c:\users\marina\appdata\local\filterstart\filterstart.exe','');
     QuarantineFile('C:\Program Files\ASLYQIH7AH\CCH9DXG1F.exe','');
     QuarantineFile('C:\Program Files\65MWD8E9NB\0J345C4SI.exe','');
     QuarantineFile('C:\ProgramData\TeamViewer_Tracer.exe','');
     QuarantineFile('C:\Program Files (x86)\Maoha\MaohaAP\MaoHaWiFiNet64.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys','');
     QuarantineFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','');
     QuarantineFile('C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll','');
     QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
     QuarantineFile('c:\users\marina\appdata\roaming\tablacusapp\tablacusapp.exe','');
     QuarantineFile('C:\Program Files (x86)\rfv\uc.exe','');
     QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe','');
     QuarantineFile('C:\ProgramData\WindowsMsg\Chrome.exe','');
     QuarantineFile('C:\Program Files (x86)\BeCleaner\CA8EA.exe','');
     QuarantineFile('C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
     QuarantineFile('C:\ProgramData\service.exe','');

    DeleteFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','32');
    DeleteFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys','32');
    DeleteFile('C:\Program Files (x86)\Maoha\MaohaAP\MaoHaWiFiNet64.sys','32');
    DeleteFile('C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll','32');
    DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
    DeleteFile('c:\users\marina\appdata\roaming\tablacusapp\tablacusapp.exe','32');
    DeleteFile('C:\Program Files (x86)\rfv\uc.exe','32');
    DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe','32');
    DeleteFile('C:\ProgramData\WindowsMsg\Chrome.exe','32');
    DeleteFile('C:\Program Files (x86)\BeCleaner\CA8EA.exe','32');
    DeleteFile('C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys','32');
    DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
    DeleteFile('C:\ProgramData\service.exe','32');
     DeleteFile('C:\ProgramData\TeamViewer_Tracer.exe','32');
     DeleteFile('C:\Program Files\65MWD8E9NB\0J345C4SI.exe','32');
     DeleteFile('C:\Program Files\ASLYQIH7AH\CCH9DXG1F.exe','32');
     DeleteFile('c:\users\marina\appdata\local\filterstart\filterstart.exe','32');
     DeleteFile('c:\program files (x86)\maoha\maohaap\maohawifisvr.exe','32');
     DeleteFile('c:\users\marina\appdata\local\temp\00006493\msiql.exe','32');
     DeleteFile('c:\programdata\prefssecure\nettrans.exe','32');
     DeleteFile('c:\programdata\logic cramble\set.exe','32');
     DeleteFile('c:\windows\syswow64\surfshield.exe','32');
     DeleteFile('c:\programdata\teamviewer_tracer.exe','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\CDManager\ml.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\CDManager\updater.py','32');
     DeleteFile('C:\Users\marina\AppData\Local\Temp\bk606D.tmp\p1490638272am.sys','32');
     DeleteFile('C:\Users\marina\AppData\Local\Temp\bk2584.tmp\p1490638519am.sys','32');
     DeleteFile('C:\Users\marina\AppData\Local\FilterOptions\regCheck.vbs','32');
     DeleteFile('C:\Users\marina\AppData\Local\FileSystemOptions\regCheck.vbs','32');
     DeleteFile('C:\Users\marina\AppData\Local\TestMenu\regCheck.vbs','32');
     DeleteFile('C:\Users\marina\AppData\Local\ImmediateHelp\regCheck.vbs','32');
     DeleteFile('C:\Users\marina\AppData\Local\LastNews\regCheck.vbs','32');
     DeleteFile('C:\Users\marina\AppData\Local\ValidateLife\regCheck.vbs','32');
     DeleteFile('C:\Users\marina\AppData\Local\DateOption\regCheck.vbs','32');
     DeleteFile('C:\Users\marina\AppData\Local\rightchose\regCheck.vbs','32');
     DeleteFile('C:\Program Files (x86)\Qejisyfank\vedther.exe','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp\ml.py','32');
     DeleteFile('C:\Users\marina\AppData\Local\Translator Line Manager.exe','32');
     DeleteFile('C:\PROGRA~1\6A8C~1\X86\Update.exe','32');
     DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
     DeleteFile('C:\Program Files (x86)\MIO\MIO.exe ','32');
     DeleteFile('C:\Program Files (x86)\MyMemory\uninstall.exe','32');
     DeleteFile('C:\Program Files (x86)\Tehelekudied\xmaution.exe','32');
     DeleteFile('C:\Program Files (x86)\Qejisyfank\xckels.exe','32');
     DeleteFile('C:\Program Files (x86)\Qejisyfank\xchercers.exe','32');
     DeleteFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.exe','32');
     DeleteFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.dat','32');
     DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\zaxargamesteam.exe','32');
     DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\ml.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\updater.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\uninstall.exe','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\VOF\ml.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\VOF\updater.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\vofer\ml.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\ml.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\ml.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\app.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\updater.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\SearchAY\python\pythonw.exe','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\SearchAY\ml.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\SearchAY\app.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\setupsk\python\pythonw.exe','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\setupsk\ml.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\SETUPS~1\ml.py','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\SETUPS~1\python\pythonw.exe','32');
     DeleteFile('C:\ProgramData\Utatity\Dalttech.reg','32');
     DeleteFile('C:\ProgramData\Utatity\Ozertough.reg','32');
     DeleteFile('C:\ProgramData\Utatity\Zaamdom.reg','32');
     DeleteFile('C:\ProgramData\Utatity\Namsoft.reg','32');
     DeleteFile('C:\ProgramData\Plusdax\TresNix.reg','32');
     DeleteFile('C:\ProgramData\Plusdax\Driping.reg','32');
     DeleteFile('C:\ProgramData\Plusdax\ZathFan.reg','32');
     DeleteFile('C:\ProgramData\Plusdax\Dripfresh.reg','32');
     DeleteFile('C:\WINDOWS\system32\Tasks\CDManager2','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\CDManager','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Current Manifest Manager','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\ekdkbhhhgpgbbhaljkbeihbagmgmeemp','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\ForceUpdateVOF','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Drolocult Collector','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\ForceUpdateVOF2','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\IQmanager','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\IQmanager2','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\KuaiZip_Update','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Language Line Manager','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Milimili','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\mm','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Mucacult Controls','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\osTip','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\psv_Hotstock','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\psv_Saotom','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\psv_Stringkaybam','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\psv_Tipit','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\psv_Volttouch','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\psv_Zun-Tone','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Reasodom','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY2','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\psv_Zimjob','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\psv_Kontech','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Translator Line Manager','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\VOF','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\VOF2','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\vofer','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Vofer2','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Vofer22','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Wujole Verfier','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Zerbas Host','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\{32EC4DB9-6E0A-4160-AFB6-2888B2089FA6}','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\{7621536D-8B41-4ED7-BF3F-48F8740961E8}','64');
     DeleteService('p1490638519am');
     DeleteService('p1490638272am');
     DeleteService('MaohaWifiNetPro');
     DeleteService('KuaiZipDrive');
     DeleteService('flowhlp');
     DeleteService('mwescontroller');
     DeleteService('ucdrv');
     DeleteService('GoogleChromeUpService');
     DeleteService('backlh');
     DeleteService('surfshieldsrv');
     DeleteService('MaohaWifiSvr');
     DeleteService('Nettrans');
     DeleteService('TeamViewer_Tracer');

     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6BAL8GIFHQ');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SearchAY');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ForceUpdateVOF');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IQmanager');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vofer2');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vofer');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CQW2ZW8O0K');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZFPGPMKSZZ');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CDManager');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msiql');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','osmsg');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost0');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TablacusApp2');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VOF');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\KuaizipUpdateChecker\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    ExecuteSysClean;
    ExecuteWizard('SCU',2,2,true);
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    RebootWindows(true);
    end.
     
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки архив quarantine.zip из папки C:\Users\marina\Desktop\AutoLogger\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

    3) Пофиксите в HijackThis следующие строчки:
    Код (Text):

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=811600
    R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQo
    R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command,(default) =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQoix51DsdIyU6fO&q={searchTerms}
    O1 - Hosts: Reset contents to default
     
    4) Перетащите файл C:\Users\marina\Desktop\AutoLogger\AutoLogger\CheckBrowserLnk\CheckBrowserLnk.log на утилиту ClearLNK (ClearLNK - удаление параметров запуска у ярлыков).
    [​IMG]
    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

    5) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.

    6) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
    Запустите утилиту через правую кн. мыши от имени администратора, нажмите кнопку Scan (Сканировать) и дождитесь окончания сканирования.
    Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    Прикрепите отчет к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    Последнее редактирование модератором: 30 мар 2017
    Razey нравится это.
  5. Razey

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Доброго времени суток!

    Спасибо!

    Все программы, кроме Амиго, деинсталлированы, скрипт AVZ выполнен, ссылка на quarantine на ящик выслана (т.к. файл получился около 10 Мб, решил его ссылкой на яндекс-диск разместить), перечисленное пофиксено в HJT, лог ClearLNK во вложении, лог Autologger'a тоже, лог AdwCleaner'a прикрепил тоже

    P.S. На всякий случай еще раз письмо с quarantine выслал, прикрепив его в теле письма.
     

    Вложения:

    Последнее редактирование: 30 мар 2017
  6. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.613
    Симпатии:
    1.265
    Просто из любопытства, почему
    ?
     
  7. Razey

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Т.к. это единственный браузер в системе (не portable), который работает (не работает даже IE). Только поэтому. Если рекомендуете и его "грохнуть", без вопросов - бусде... ;-)
     
  8. VexMD

    VexMD Активный пользователь

    Сообщения:
    789
    Симпатии:
    139
    1) Вам знакомы папки ?:
    Код (Text):

    C:\Update\psgo
    C:\ProgramData\RegisterObject
    C:\Users\marina\AppData\Roaming\System Tools
     
    2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
    Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
    Выполните скрипт в AVZ:
    Код (Text):

    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\users\marina\appdata\roaming\kyubey\kyubey.exe');
     SetServiceStart('Kyubey', 4);
     SetServiceStart('prgcnbqc', 4);
     SetServiceStart('flowhlp', 4);
     StopService('Kyubey');
     StopService('flowhlp');
     QuarantineFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
     QuarantineFile('C:\WINDOWS\system32\drivers\prgcnbqc.sys','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','');
     QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
     QuarantineFile('C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe','');
     QuarantineFile('C:\Update\psgo\psgo.ps1','');
     QuarantineFile('C:\ProgramData\RegisterObject\RegisterObject.exe','');

     DeleteFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','32');
     DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
     DeleteFile('C:\WINDOWS\system32\drivers\prgcnbqc.sys','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','32');
     DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
     DeleteFile('C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe','32');
     DeleteFile(' C:\Users\marina\Desktop\проги\Ace Player.lnk ','32');
     ExecuteFile('schtasks.exe', '/delete /TN "{845F7DF5-593C-4432-AC8D-8D31D08BAD0A}" /F', 0, 15000, true);
     DeleteService('Kyubey');
     DeleteService('prgcnbqc');
     DeleteService('flowhlp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WINSNARE\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE',' SYSTEM\CurrentControlSet\Services\Eventlog\Application\WINSNARE',' EventMessageFile ');
    ExecuteSysClean;
    ExecuteWizard('SCU',2,2,true);
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    RebootWindows(true);
    end.
     
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки архив quarantine.zip из папки ...\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

    3) Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора и нажмите кнопку "Scan" (Сканировать).
    После окончания сканирования:
    - если пока не хотите удалять Amigo, то снимите "галки" со всех объектов, содержащих "amigo";
    - то же самое относится к MailRU.
    Нажмите кнопку "Clean"(Очистить) и дождитесь окончания удаления.
    Когда удаление будет завершено, отчет будет сохранен в следующем расположении:
    C:\AdwCleaner\AdwCleaner[C0].txt.
    Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
    Подробнее читайте в этом руководстве.

    4) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.
     
    Razey нравится это.
  9. Razey

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Здравствуйте!

    Программы не знакомы. Можно и нужно удалять...
    Скрипт в AVZ выполнил (кстати, внимательнее, в нем не было begin на первой строке :) )

    Карантин на почту выслал.
    AdwCleaner отработал, отчет во вложении.
    Новые логи Autologger'a сделал...
     

    Вложения:

  10. VexMD

    VexMD Активный пользователь

    Сообщения:
    789
    Симпатии:
    139
    1) Деинсталируйте нежелательную программу (через "Программы и компоненты"):
    Код (Text):
    YAC(Yet Another Cleaner!) [20170216]-->C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe
    2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
    Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
    Выполните скрипт в AVZ:
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantine;
     TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafetray.exe');
     TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafesvc2.exe');
     TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafesvc.exe');
     TerminateProcessByName('C:\Program Files\BitTorrent\BitTorrent.exe');
     SetServiceStart('iSafeService', 4);
     SetServiceStart('iSafeKrnlR3', 4);
     SetServiceStart('iSafeKrnlKit', 4);
     SetServiceStart('iSafeKrnl', 4);
     SetServiceStart('flowhlp', 4);
     SetServiceStart('BitTorrent', 4);
     StopService('iSafeKrnlR3');
     StopService('iSafeKrnlKit');
     StopService('iSafeKrnl');
     StopService('iSafeService');
     StopService('flowhlp');
     StopService('BitTorrent');
     QuarantineFile('C:\Users\marina\AppData\Roaming\Sleeping Dogs\Uninstall\unins000.exe','');
     QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
     QuarantineFile('C:\Update\psgo\psgo.ps1','');
     QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
     QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
     QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys','');
     QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','');
     QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','');
     QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','');
     QuarantineFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','');
     QuarantineFile('c:\program files (x86)\elex-tech\yac\isafesvc2.exe','');
     QuarantineFile('c:\program files (x86)\elex-tech\yac\isafesvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\iSafeNetFilter.sys','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2.exe','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\Beta-Ex.exe','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\vofer.exe','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\LotCof.exe','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\CDManager.exe','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\vof.exe','');

     QuarantineFileF('C:\Program Files\BitTorrent', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Update\psgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Wujole Verfier', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\program files (x86)\elex-tech', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Hotcine', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\WINDOWS\system32\log', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\Elex-tech', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Update', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\MIO', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\MK', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\rfv', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\їмС№', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\X2L9QGYN3W', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Ofether', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\ba953ab3-660f-4a3b-ae87-bffc3ca1597e1490615304', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\65MWD8E9NB', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\Ckokipy', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Mucacult Controls', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Tehelekudied', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\ASLYQIH7AH', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Zerbas Host', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\Cocussajuge', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Qejisyfank', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\ZYCQCEAQU9', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Coepageatovry', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\AUH7GYCAV3', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\MF21417PGM', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\GY8JVSGGM5', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\EO36PG49NC', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Shoccult', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\3FGRAIQ21E', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Drolocult Collector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\Zerogh', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\S0CFGO7YBI', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\EQVM325X0B', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\85DTV5VGUU', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\WINDOWS\SYSWOW64\META-INF', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Shoccult_', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\TBA1EJEAIX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\N35MMO3NSX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\86HISFYVNT', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\62ILAD7IYX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\2M909TR46L', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\175A2X7WVX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\FKWCOV8QV4', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\FI6USOVZG8', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\VOF', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\CDManager', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\ForceUpdateVOF', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\Z8NJX587GN', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\F8DRXRV0X7', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\Rewagh', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\Profiles', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\TMJSHUWUQ0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\R2NGTFXZM6', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\Mp3tagApp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\RGOFHE31F0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files\9OM4136R5H', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\marina\AppData\Roaming\System Tools', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\System Tools 8.4.11', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

     DeleteFile('C:\Users\marina\AppData\Roaming\Sleeping Dogs\Uninstall\unins000.exe','32');
     DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32');
     DeleteFile('C:\Update\psgo\psgo.ps1','32');
     DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
     DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
     DeleteFile('c:\program files (x86)\elex-tech\yac\isafesvc.exe','32');
     DeleteFile('c:\program files (x86)\elex-tech\yac\isafesvc2.exe','32');
     DeleteFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','32');
     DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','32');
     DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','32');
     DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
     DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys','32');
     DeleteFile('C:\WINDOWS\system32\drivers\iSafeNetFilter.sys','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2.exe','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\Beta-Ex.exe','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\vofer.exe','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\LotCof.exe','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\CDManager.exe','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\vof.exe','32');

     ExecuteFile('schtasks.exe', '/delete /TN " Windows-PG " /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{03CF0014-465D-4625-9983-57E9A3AF3DB3}" /F', 0, 15000, true);

     DeleteService('iSafeService');
     DeleteService('iSafeKrnl');
     DeleteService('iSafeKrnlR3');
     DeleteService('iSafeKrnlKit');
     DeleteService('flowhlp');
     DeleteService('BitTorrent');

     DeleteFileMask('C:\Program Files\BitTorrent','*', true);
     DeleteFileMask('C:\Update\psgo','*', true);
     DeleteFileMask('C:\Program Files (x86)\Wujole Verfier','*', true);
     DeleteFileMask('c:\program files (x86)\elex-tech','*', true);
     DeleteFileMask('C:\Program Files (x86)\Hotcine','*', true);
     DeleteFileMask('C:\WINDOWS\system32\log','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\Elex-tech','*', true);
     DeleteFileMask('C:\Update','*', true);
     DeleteFileMask('C:\Program Files (x86)\MIO','*', true);
     DeleteFileMask('C:\Program Files (x86)\MK','*', true);
     DeleteFileMask('C:\Program Files (x86)\rfv','*', true);
     DeleteFileMask('C:\Program Files\їмС№','*', true);
     DeleteFileMask('C:\Program Files\X2L9QGYN3W','*', true);
     DeleteFileMask('C:\Program Files (x86)\Ofether','*', true);
     DeleteFileMask('C:\Program Files (x86)\ba953ab3-660f-4a3b-ae87-bffc3ca1597e1490615304','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\setupsk','*', true);
     DeleteFileMask('C:\Program Files\65MWD8E9NB','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\Ckokipy','*', true);
     DeleteFileMask('C:\Program Files (x86)\Mucacult Controls','*', true);
     DeleteFileMask('C:\Program Files (x86)\Tehelekudied','*', true);
     DeleteFileMask('C:\Program Files\ASLYQIH7AH','*', true);
     DeleteFileMask('C:\Program Files (x86)\Zerbas Host','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\Cocussajuge','*', true);
     DeleteFileMask('C:\Program Files (x86)\Qejisyfank','*', true);
     DeleteFileMask('C:\Program Files\ZYCQCEAQU9','*', true);
     DeleteFileMask('C:\Program Files (x86)\Coepageatovry','*', true);
     DeleteFileMask('C:\Program Files\AUH7GYCAV3','*', true);
     DeleteFileMask('C:\Program Files\MF21417PGM','*', true);
     DeleteFileMask('C:\Program Files\GY8JVSGGM5','*', true);
     DeleteFileMask('C:\Program Files\EO36PG49NC','*', true);
     DeleteFileMask('C:\Program Files (x86)\Shoccult','*', true);
     DeleteFileMask('C:\Program Files\3FGRAIQ21E','*', true);
     DeleteFileMask('C:\Program Files (x86)\Drolocult Collector','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\Zerogh','*', true);
     DeleteFileMask('C:\Program Files\S0CFGO7YBI','*', true);
     DeleteFileMask('C:\Program Files\EQVM325X0B','*', true);
     DeleteFileMask('C:\Program Files\85DTV5VGUU','*', true);
     DeleteFileMask('C:\WINDOWS\SYSWOW64\META-INF','*', true);
     DeleteFileMask('C:\Program Files (x86)\Shoccult_','*', true);
     DeleteFileMask('C:\Program Files\TBA1EJEAIX','*', true);
     DeleteFileMask('C:\Program Files\N35MMO3NSX','*', true);
     DeleteFileMask('C:\Program Files\86HISFYVNT','*', true);
     DeleteFileMask('C:\Program Files\62ILAD7IYX','*', true);
     DeleteFileMask('C:\Program Files\2M909TR46L','*', true);
     DeleteFileMask('C:\Program Files\175A2X7WVX','*', true);
     DeleteFileMask('C:\Program Files\FKWCOV8QV4','*', true);
     DeleteFileMask('C:\Program Files\FI6USOVZG8','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\VOF','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\CDManager','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\ForceUpdateVOF','*', true);
     DeleteFileMask('C:\Program Files\Z8NJX587GN','*', true);
     DeleteFileMask('C:\Program Files\F8DRXRV0X7','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\Rewagh','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\Profiles','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp','*', true);
     DeleteFileMask('C:\Program Files\TMJSHUWUQ0','*', true);
     DeleteFileMask('C:\Program Files\R2NGTFXZM6','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\Mp3tagApp','*', true);
     DeleteFileMask('C:\Program Files\RGOFHE31F0','*', true);
     DeleteFileMask('C:\Program Files\9OM4136R5H','*', true);
     DeleteFileMask('C:\Users\marina\AppData\Roaming\System Tools','*', true);
     DeleteFileMask('C:\Program Files (x86)\System Tools 8.4.11','*', true);

     DeleteDirectory('C:\Program Files\BitTorrent');
     DeleteDirectory('C:\Update\psgo');
     DeleteDirectory('C:\Program Files (x86)\Wujole Verfier');
     DeleteDirectory('c:\program files (x86)\elex-tech');
     DeleteDirectory('C:\Program Files (x86)\Hotcine');
     DeleteDirectory('C:\WINDOWS\system32\log');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\Elex-tech');
     DeleteDirectory('C:\Update');
     DeleteDirectory('C:\Program Files (x86)\MIO');
     DeleteDirectory('C:\Program Files (x86)\MK');
     DeleteDirectory('C:\Program Files (x86)\rfv');
     DeleteDirectory('C:\Program Files\їмС№');
     DeleteDirectory('C:\Program Files\X2L9QGYN3W');
     DeleteDirectory('C:\Program Files (x86)\Ofether');
     DeleteDirectory('C:\Program Files (x86)\ba953ab3-660f-4a3b-ae87-bffc3ca1597e1490615304');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\setupsk');
     DeleteDirectory('C:\Program Files\65MWD8E9NB');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\Ckokipy');
     DeleteDirectory('C:\Program Files (x86)\Mucacult Controls');
     DeleteDirectory('C:\Program Files (x86)\Tehelekudied');
     DeleteDirectory('C:\Program Files\ASLYQIH7AH');
     DeleteDirectory('C:\Program Files (x86)\Zerbas Host');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\Cocussajuge');
     DeleteDirectory('C:\Program Files (x86)\Qejisyfank');
     DeleteDirectory('C:\Program Files\ZYCQCEAQU9');
     DeleteDirectory('C:\Program Files (x86)\Coepageatovry');
     DeleteDirectory('C:\Program Files\AUH7GYCAV3');
     DeleteDirectory('C:\Program Files\MF21417PGM');
     DeleteDirectory('C:\Program Files\GY8JVSGGM5');
     DeleteDirectory('C:\Program Files\EO36PG49NC');
     DeleteDirectory('C:\Program Files (x86)\Shoccult');
     DeleteDirectory('C:\Program Files\3FGRAIQ21E');
     DeleteDirectory('C:\Program Files (x86)\Drolocult Collector');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\Zerogh');
     DeleteDirectory('C:\Program Files\S0CFGO7YBI');
     DeleteDirectory('C:\Program Files\EQVM325X0B');
     DeleteDirectory('C:\Program Files\85DTV5VGUU');
     DeleteDirectory('C:\WINDOWS\SYSWOW64\META-INF');
     DeleteDirectory('C:\Program Files (x86)\Shoccult_');
     DeleteDirectory('C:\Program Files\TBA1EJEAIX');
     DeleteDirectory('C:\Program Files\N35MMO3NSX');
     DeleteDirectory('C:\Program Files\86HISFYVNT');
     DeleteDirectory('C:\Program Files\62ILAD7IYX');
     DeleteDirectory('C:\Program Files\2M909TR46L');
     DeleteDirectory('C:\Program Files\175A2X7WVX');
     DeleteDirectory('C:\Program Files\FKWCOV8QV4');
     DeleteDirectory('C:\Program Files\FI6USOVZG8');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\VOF');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\CDManager');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\ForceUpdateVOF');
     DeleteDirectory('C:\Program Files\Z8NJX587GN');
     DeleteDirectory('C:\Program Files\F8DRXRV0X7');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\Rewagh');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\Profiles');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp');
     DeleteDirectory('C:\Program Files\TMJSHUWUQ0');
     DeleteDirectory('C:\Program Files\R2NGTFXZM6');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\Mp3tagApp');
     DeleteDirectory('C:\Program Files\RGOFHE31F0');
     DeleteDirectory('C:\Program Files\9OM4136R5H');
     DeleteDirectory('C:\Users\marina\AppData\Roaming\System Tools');
     DeleteDirectory('C:\Program Files (x86)\System Tools 8.4.11');

    ExecuteSysClean;
    ExecuteWizard('SCU',2,2,true);
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    RebootWindows(true);
    end.
     
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки архив quarantine.zip из папки C:\Users\marina\Desktop\AutoLogger\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

    3) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.
     
    Razey нравится это.
  11. Razey

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Здравствуйте!

    Спасибо!
    Программа деинсталлирована.
    Логи Autologger'ом сделаны - во вложении. Карантин на почту отправил.

    P.S. Поставил firefox и антивирус avira.
     

    Вложения:

  12. VexMD

    VexMD Активный пользователь

    Сообщения:
    789
    Симпатии:
    139
    1) Деинсталируйте нежелательные программы (через "Программы и компоненты"):
    Код (Text):

    deskapp [20170331]-->MsiExec.exe /I{6AD06984-E21B-436F-9341-11053320B994}
    WinSnare [20170401]-->MsiExec.exe /I{BB26F52E-34C5-4937-9240-471C59CC81E6}
     
    2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
    Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
    Выполните скрипт в AVZ:
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantine;
     TerminateProcessByName('c:\users\marina\appdata\roaming\kyubey\kyubey.exe');
     SetServiceStart('Kyubey', 4);
     StopService('Kyubey');
     QuarantineFile('C:\Update\psgo\psgo.ps1','');
     QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe','');
     QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','');
     QuarantineFile('C:\Users\marina\AppData\Roaming\WinSAPSvc\WinSAP.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
     QuarantineFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','');
     QuarantineFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','');
     QuarantineFile(' C:\WINDOWS\system32\drivers\iSafeNetFilter.sys ','');
     QuarantineFileF(' C:\Users\marina\AppData\Roaming\Kyubey ', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF(' C:\Users\marina\AppData\Roaming\WinSnare ', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF(' C:\Program Files (x86)\WinSnare(4.4.5)', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF(' C:\Users\marina\AppData\Roaming\WinSAPSvc ', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF(' C:\Program Files\їмС№', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     DeleteFile(' C:\WINDOWS\system32\drivers\iSafeNetFilter.sys ','32');
     DeleteFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','32');
     DeleteFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','32');
     DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\WinSAPSvc\WinSAP.dll','32');
     DeleteFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','32');
     DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
     DeleteFile('C:\Program Files (x86)\MIO\MIO.exe','32');
     DeleteFile('C:\Update\psgo\psgo.ps1','32');
     ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
     DeleteService('Kyubey');
     DeleteFileMask(' C:\Users\marina\AppData\Roaming\Kyubey ','*', true);
     DeleteFileMask(' C:\Users\marina\AppData\Roaming\WinSnare ','*', true);
     DeleteFileMask(' C:\Program Files (x86)\WinSnare(4.4.5)','*', true);
     DeleteFileMask(' C:\Users\marina\AppData\Roaming\WinSAPSvc ','*', true);
     DeleteFileMask(' C:\Program Files\їмС№','*', true);
     DeleteDirectory(' C:\Users\marina\AppData\Roaming\Kyubey ');
     DeleteDirectory(' C:\Users\marina\AppData\Roaming\WinSnare ');
     DeleteDirectory(' C:\Program Files (x86)\WinSnare(4.4.5)');
     DeleteDirectory(' C:\Users\marina\AppData\Roaming\WinSAPSvc ');
     DeleteDirectory(' C:\Program Files\їмС№');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WINSNARE\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WINSNARE','EventMessageFile');
    ExecuteSysClean;
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    RebootWindows(true);
    end.
     
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки архив quarantine.zip из папки C:\Users\marina\Desktop\AutoLogger\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

    3) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.
     
    Razey нравится это.
  13. Razey

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Здравствуйте!

    Спасибо!

    Программы перечисленные удалены, скрипт AVZ выполнен, карантин выслан, новые логи во вложении.

    P.S. Во время сборов логов Autologger'a после появления предупреждения о запуске IE и Mozilla (м.б. google chrome) не запускается ни тот, ни другой...
     

    Вложения:

  14. VexMD

    VexMD Активный пользователь

    Сообщения:
    789
    Симпатии:
    139
    1) Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора и нажмите кнопку "Scan" (Сканировать).
    После окончания сканирования, нажмите кнопку "Clean"(Очистить) и дождитесь окончания удаления.
    Когда удаление будет завершено, отчет будет сохранен в следующем расположении:
    C:\AdwCleaner\AdwCleaner[C*].txt.
    Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    2) Скачайте FRST (для вашей системы 64-Bit файл) и сохраните на Рабочем столе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Отметьте галочками Shortcut.txt, Addition.txt
    • Нажмите кнопку Scan.
    • После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Пожалуйста, прикрепите все отчеты в следующем сообщении. (Если не помещаются - упакуйте в один архив).
    • Подробнее читайте в Как подготовить лог Farbar Recovery Scan Tool
     
    Razey нравится это.
  15. Razey

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Спасибо!

    Отчет AdwCleaner'a во вложении, как и все отчеты FRST.
     

    Вложения:

  16. VexMD

    VexMD Активный пользователь

    Сообщения:
    789
    Симпатии:
    139
    1) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):

    start
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-2051226570-2315188445-2854146808-1001\...\MountPoints2: {f966bca8-728b-11e5-bf10-089e01e65d9b} - "D:\LG_PC_Programs.exe"
    HKLM\...\Providers\cvu44b6a: C:\Program Files (x86)\Wujole Verfier\local64spl.dll
    ShellExecuteHooks: No Name - {1328C5D2-0D5F-11E7-892E-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Rewagh\Gerqataincoepuse.dll -> No File
    ShellExecuteHooks: No Name - {9F59D1A2-0D5F-11E7-8B7C-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Zerogh\Phiwitain.dll -> No File
    ShellExecuteHooks: No Name - {2CED3980-0D60-11E7-89DE-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Cocussajuge\Bezdomduray.dll -> No File
    ShellExecuteHooks: No Name - {7261736E-0E31-11E7-9182-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Ckokipy\Mufagehibeck.dll -> No File
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll -> No File
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    SearchScopes: HKLM-x32 -> DefaultScope value is missing
    SearchScopes: HKU\S-1-5-21-2051226570-2315188445-2854146808-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-2051226570-2315188445-2854146808-1001 -> {E2D91B09-D0C2-4230-B52E-11DAA186D61B} URL =
    FF Plugin-x32: @videolan.org/vlc,version=2.1.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
    FF Plugin-x32: @videolan.org/vlc,version=2.1.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [oilhebpjhnjaeghedpjnmajajlcfdjgc] - hxxps://clients2.google.com/service/update2/crx
    CHR Profile: C:\Users\marina\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-03-26] <==== ATTENTION
    CHR Profile: C:\Users\marina\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-03-31] <==== ATTENTION
    CHR NewTab: Default ->  Active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html"
    CHR DefaultSearchURL: Default -> hxxp://searche-engine.ru/?ref=mgykk&q={searchTerms}&subId=cmi_chrome
    R0 flowhlp; C:\WINDOWS\System32\drivers\flowhlp.dat [155168 2017-03-27] () [File not signed]
    2017-03-31 14:50 - 2017-03-31 14:50 - 00000000 ____D C:\Users\marina\AppData\Local\Hotcine
    2017-03-30 09:52 - 2017-03-30 09:52 - 00000000 ____D C:\Users\marina\.zaxargamesteam
    2017-03-30 09:52 - 2017-03-30 09:52 - 00000000 ____D C:\Users\marina\.ZaxarGameBrowser
    2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\ValidateLife
    2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\TestMenu
    2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\rightchose
    2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\LastNews
    2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\ImmediateHelp
    2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\FilterOptions
    2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\FileSystemOptions
    2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\DateOption
    2017-03-27 16:10 - 2017-03-27 16:10 - 00155168 _____ C:\WINDOWS\system32\Drivers\flowhlp.dat
    2017-03-27 16:09 - 2017-03-27 16:09 - 00000000 ____D C:\Users\marina\AppData\Local\UCBrowser
    2017-03-27 15:18 - 2017-03-27 15:18 - 00000000 ____D C:\Users\marina\AppData\Local\CEF
    2017-03-27 15:16 - 2017-03-27 15:16 - 00000857 _____ C:\Users\marina\AppData\Roaming\Microsoft\Windows\Start Menu\їмС№.lnk
    2017-03-27 15:13 - 2017-04-01 17:57 - 00000000 ____D C:\Program Files\їмС№
    2017-03-27 15:02 - 2017-03-27 15:06 - 00000000 ____D C:\Users\marina\AppData\Local\Cherpogh
    2017-03-27 13:59 - 2017-03-27 14:10 - 00000000 ____D C:\Users\marina\AppData\Local\Derbitytqosh
    2017-03-27 01:14 - 2017-03-30 08:06 - 00001366 _____ C:\Users\Все пользователи\log.ewbt
    2017-03-27 01:14 - 2017-03-30 08:06 - 00001366 _____ C:\ProgramData\log.ewbt
    2017-03-26 23:53 - 2017-03-26 23:58 - 00000000 ____D C:\Users\marina\AppData\Local\Cheztion
    2017-03-26 21:17 - 2017-03-26 22:17 - 00000000 ____D C:\Users\marina\AppData\Local\Ckerwaward
    2017-03-26 20:19 - 2017-03-26 20:19 - 00136827 _____ () C:\Users\marina\AppData\Roaming\Sanex.bin
    2017-03-26 20:19 - 2017-03-26 20:19 - 00000040 _____ C:\Users\marina\AppData\Roaming\Vofer2.exe.sha1
    2017-03-26 20:18 - 2017-03-26 20:18 - 01895384 _____ C:\Users\marina\AppData\Roaming\Y-trax.bin
    2017-03-26 20:18 - 2017-03-26 20:18 - 01894682 _____ C:\Users\marina\AppData\Roaming\Beta-Ex.tst
    2017-03-26 20:16 - 2017-03-26 20:16 - 01894682 _____ C:\Users\marina\AppData\Roaming\LotCof.tst
    2017-03-26 20:16 - 2017-03-26 20:16 - 00278509 _____ C:\Users\marina\AppData\Roaming\Toughcom.bin
    2017-03-26 20:14 - 2017-03-26 20:14 - 00000040 _____ C:\Users\marina\AppData\Roaming\CDManager.exe.sha1
    2017-03-26 20:13 - 2017-03-27 14:20 - 00000040 _____ C:\Users\marina\AppData\Roaming\vof.exe.sha1
    2017-03-26 20:09 - 2017-03-27 00:34 - 00000000 ____D C:\Users\marina\AppData\Local\Prermerward
    2017-03-26 20:07 - 2017-03-30 22:26 - 00000000 ____D C:\Users\marina\AppData\LocalLow\Unity
    2017-03-26 20:07 - 2017-03-30 22:26 - 00000000 ____D C:\Users\marina\AppData\Local\Unity
    2017-03-26 20:01 - 2017-03-30 08:06 - 00000128 _____ C:\Users\Все пользователи\log.ewb
    2017-03-26 20:01 - 2017-03-30 08:06 - 00000128 _____ C:\ProgramData\log.ewb
    2014-06-07 18:00 - 2014-06-07 18:00 - 6103040 _____ () C:\Program Files (x86)\GUT689D.tmp
    2014-07-12 11:42 - 2014-09-18 19:28 - 0684032 ____H () C:\Users\marina\AppData\Roaming\aflbase.db
    2014-07-12 12:07 - 2017-02-28 21:41 - 2673664 ____H () C:\Users\marina\AppData\Roaming\base.db
    2017-03-26 20:18 - 2017-03-26 20:18 - 1894682 _____ () C:\Users\marina\AppData\Roaming\Beta-Ex.tst
    2017-03-26 20:14 - 2017-03-26 20:14 - 0000040 _____ () C:\Users\marina\AppData\Roaming\CDManager.exe.sha1
    2017-03-26 20:16 - 2017-03-26 20:16 - 1894682 _____ () C:\Users\marina\AppData\Roaming\LotCof.tst
    2017-02-11 20:52 - 2017-02-11 20:52 - 0000018 _____ () C:\Users\marina\AppData\Roaming\RusTV_Setting.ini
    2017-03-26 20:19 - 2017-03-26 20:19 - 0136827 _____ () C:\Users\marina\AppData\Roaming\Sanex.bin
    2017-03-26 20:16 - 2017-03-26 20:16 - 0278509 _____ () C:\Users\marina\AppData\Roaming\Toughcom.bin
    2017-03-26 20:13 - 2017-03-27 14:20 - 0000040 _____ () C:\Users\marina\AppData\Roaming\vof.exe.sha1
    2017-03-26 20:19 - 2017-03-26 20:19 - 0000040 _____ () C:\Users\marina\AppData\Roaming\Vofer2.exe.sha1
    2017-03-26 20:18 - 2017-03-26 20:18 - 1895384 _____ () C:\Users\marina\AppData\Roaming\Y-trax.bin
    2017-03-26 20:00 - 2017-03-26 20:01 - 0000335 _____ () C:\Users\marina\AppData\Local\expand.ini
    2014-02-11 12:10 - 2014-02-11 12:10 - 0007602 _____ () C:\Users\marina\AppData\Local\Resmon.ResmonCfg
    2017-03-30 22:24 - 2017-03-27 16:10 - 0516072 _____ (深圳市史宾赛科技有限公司) C:\Users\marina\AppData\Local\uninst.tmp
    2014-09-21 00:28 - 2014-09-21 00:28 - 0000000 _____ () C:\Users\marina\AppData\Local\{44519C00-FC37-4EBB-98A6-539C01AC4173}
    2013-09-21 16:54 - 2013-09-21 16:54 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
    2017-03-30 08:07 - 2017-03-30 08:08 - 0000132 _____ () C:\ProgramData\log.bin
    2017-03-26 20:01 - 2017-03-30 08:06 - 0000128 _____ () C:\ProgramData\log.ewb
    2017-03-27 01:14 - 2017-03-30 08:06 - 0001366 _____ () C:\ProgramData\log.ewbt
    2017-03-30 08:02 - 2017-03-30 08:02 - 0000000 __RSH () C:\Program Files\360
    Task: {111DB1A6-B54C-4266-95E0-DF88A8F9CD42} - \Zerbas Host -> No File <==== ATTENTION
    Task: {192ACC23-9A7F-4BF2-84FE-4A5B46334988} - \SearchAY -> No File <==== ATTENTION
    Task: {1E3ACC19-9759-401F-B44A-3FA79953EF83} - \psv_Stringkaybam -> No File <==== ATTENTION
    Task: {2A87428F-BF2D-4A49-B9F6-DA44D03EB88A} - \psv_Kontech -> No File <==== ATTENTION
    Task: {46BC9BCE-8426-4FAA-B7B2-B82C0A7CF381} - \ForceUpdateVOF -> No File <==== ATTENTION
    Task: {4CE07132-C991-4299-AE21-F422D944275B} - \IQmanager -> No File <==== ATTENTION
    Task: {5BBE47E9-AD75-479A-95FB-401949C9395D} - \ForceUpdateVOF2 -> No File <==== ATTENTION
    Task: {5FEB1281-F179-42A8-A91C-E055314755AE} - \CDManager2 -> No File <==== ATTENTION
    Task: {6DD956C4-0EB0-459B-9CC5-C61FCEAACAF4} - \psv_Zun-Tone -> No File <==== ATTENTION
    Task: {7AA1CEB0-5CFC-49FE-9FEE-9215E73142C2} - \Reasodom -> No File <==== ATTENTION
    Task: {7D3EE2DF-736E-4EA7-A3E4-D30BA7C4FEF2} - \setupsk_upd -> No File <==== ATTENTION
    Task: {8E07AADC-5388-4514-BEE9-B2BC0736D03A} - \setupsk -> No File <==== ATTENTION
    Task: {95C75AAD-A0A1-4489-9A55-74B50CF27B0C} - \vofer -> No File <==== ATTENTION
    Task: {9724766D-6A4C-4243-A9BE-520DF72B08D1} - \VOF2 -> No File <==== ATTENTION
    Task: {9856CA4F-3723-43C8-90EA-C88B06E954E1} - \Drolocult Collector -> No File <==== ATTENTION
    Task: {B713A1DA-5DED-47A1-A6FC-0E0CAB5E891C} - \IQmanager2 -> No File <==== ATTENTION
    Task: {BA995C4D-8858-40D3-9F4C-155B0761712B} - \psv_Tipit -> No File <==== ATTENTION
    Task: {BE4D96BA-3F2E-4A39-8EA0-AF817899A57A} - \{32EC4DB9-6E0A-4160-AFB6-2888B2089FA6} -> No File <==== ATTENTION
    Task: {C0675B47-7CFE-486F-BEC8-2878245B7CAB} - \psv_Saotom -> No File <==== ATTENTION
    Task: {C5AF8B74-1034-4C25-B7C4-F671AA4AA8E4} - \ekdkbhhhgpgbbhaljkbeihbagmgmeemp -> No File <==== ATTENTION
    Task: {D22E77EC-E22F-4C7C-803F-35C08658D907} - \Mucacult Controls -> No File <==== ATTENTION
    Task: {D3D91AF9-16A2-4626-846E-2660D0024AD3} - \psv_Volttouch -> No File <==== ATTENTION
    Task: {D49D1E24-B25C-4F34-9EA5-5155F0475201} - \{7621536D-8B41-4ED7-BF3F-48F8740961E8} -> No File <==== ATTENTION
    Task: {D64E2B13-CD66-4E91-AD0F-4947F7820A7E} - \Wujole Verfier -> No File <==== ATTENTION
    Task: {DA4C96DF-6C98-4D93-A585-531444449676} - \psv_Zimjob -> No File <==== ATTENTION
    Task: {EE6AC920-204F-4C54-A9CF-639CED264205} - \mm -> No File <==== ATTENTION
    Task: {F1FBBC5E-1C8A-40EC-A02A-337747806366} - \psv_Hotstock -> No File <==== ATTENTION
    Task: {FF76D292-29F4-4CDD-9BE1-BCD4216E95D8} - \Vofer22 -> No File <==== ATTENTION
    HKU\S-1-5-21-2051226570-2315188445-2854146808-1001\...\StartupApproved\Run: => "AceStream"
    FirewallRules: [UDP Query User{6A9A68DA-9C22-4149-A083-E6FCEEEC72D5}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
    FirewallRules: [TCP Query User{E45491A2-4CFF-4414-A034-DFB6A72A9B52}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
    FirewallRules: [UDP Query User{21E33DF5-8FDD-412E-ADDC-35D7DD8537CE}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
    FirewallRules: [TCP Query User{9BE2C576-6D6D-4C04-8DF3-048025783F2B}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
    FirewallRules: [{A74A2BF4-89AB-4025-A0F9-F5FAABD384CD}] => (Allow) C:\Users\marina\AppData\Local\Temp\FlowSpritSetup_slnt_5011.exe
    FirewallRules: [{47786FCE-1E3B-4A4D-9676-668DE7CCE63C}] => (Allow) C:\Users\marina\AppData\Local\Amigo\Application\amigo.exe
    FirewallRules: [{A5819F97-D9C2-48E8-A24D-A987ACA33EF6}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
    FirewallRules: [{434DE563-7E11-427A-8472-0400AEACF62D}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
    irewallRules: [{FE407CEC-D5E6-4430-B06E-BE3DC331789D}] => (Allow) C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe
    FirewallRules: [{40A51D36-BBD1-42AA-8762-D2FD5F7F827B}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd5000lpvx-22v0tt0_wd-wx81a730918709187.dat
    FirewallRules: [{EC5F9AD4-524E-4098-BC0E-EF968ED48B2B}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd5000lpvx-22v0tt0_wd-wx81a730918709187.dat
    FirewallRules: [{2532E44D-F6A2-4F2A-B74A-9F842BF8AE3D}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
    FirewallRules: [{8AE85321-413E-454B-9125-76DDDAEED96E}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
    C:\Users\marina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\757e690e5adfd328\Google Chrome.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
    C:\Users\marina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk
    C:\Users\marina\AppData\Roaming\Microsoft\Windows\Start Menu\їмС№.lnk
    EmptyTemp:
    Reboot:
    end
     
    и сохраните как fixlist.txt в папку с FRST64.exe.
    Отключите до перезагрузки антивирус, запустите FRST (через контекстное меню Проводника - "Запуск имени Администратора"), нажмите Fix и подождите.
    Программа создаст лог-файл Fixlog.txt. Прикрепите его следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.
    --- Объединённое сообщение, 1 апр 2017 ---
    2) Подготовьте и приложите повторные логи FRST, как описано в посте #13
     
    Razey нравится это.
  17. Razey

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Выполнено. Логи во вложении.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      34,3 КБ
      Просмотров:
      1
    • Logs_FRST_2.rar
      Размер файла:
      31 КБ
      Просмотров:
      1
  18. VexMD

    VexMD Активный пользователь

    Сообщения:
    789
    Симпатии:
    139
    1) Это ваша папка (содержимое известно) ? - C:\Distr

    2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):

    start
    CreateRestorePoint:
    CloseProcesses:
    R0 flowhlp; system32\drivers\flowhlp.dat [X]
    2017-04-01 19:09 - 2017-04-01 20:58 - 00000000 _____ C:\Users\Public\Documents\temp.dat
    2017-03-31 14:47 - 2017-03-31 14:47 - 00000000 _____ C:\WINDOWS\SysWOW64\4
    2017-03-31 14:47 - 2017-03-31 14:47 - 00000000 _____ C:\WINDOWS\SysWOW64\3
    2017-03-31 20:47 - 2017-03-31 20:47 - 00000000 ____H C:\WINDOWS\system32\Drivers\Msft_Kernel_avusbflt_01011.Wdf
    2017-04-01 20:58 - 2017-04-01 20:58 - 00000000 ____H C:\Users\Все пользователи\DP45977C.lfl
    2017-04-01 20:58 - 2017-04-01 20:58 - 00000000 ____H C:\ProgramData\DP45977C.lfl
    FirewallRules: [{FE407CEC-D5E6-4430-B06E-BE3DC331789D}] => (Allow) C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe
    FirewallRules: [{0A6B20B6-A71C-4BFC-A5E4-647F916E09CA}] => (Allow) C:\Program Files (x86)\Hotcine\Application\chrome.exe
    C:\Program Files (x86)\Wujole Verfier
    EmptyTemp:
    Reboot:
    end
     
    и сохраните как fixlist.txt в папку с FRST64.exe.
    Отключите до перезагрузки антивирус, запустите FRST (через контекстное меню Проводника - "Запуск имени Администратора"), нажмите Fix и подождите.
    Программа создаст лог-файл Fixlog.txt. Прикрепите его следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    3) Сообщите, какие остаются проблемы ?
     
    Последнее редактирование: 1 апр 2017
    Razey нравится это.
  19. Razey

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    Да, содержимое папки известно - сам ее создавал...

    Лог во вложении.

    Проблемы? Перед предыдущими 2 лечениями, кроме не запуска IE и Mozillla (при создании логов AVZ) больше ничего криминального визуально (и по ощущениям) не наблюдал... Думаю, вам виднее :) . У вас логи AVZ, HJT, FRST, AdwCleaner'a, ClearLNK... :)
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,8 КБ
      Просмотров:
      1
  20. VexMD

    VexMD Активный пользователь

    Сообщения:
    789
    Симпатии:
    139
    1) Понаблюдайте сегодня - завтра и пришлите контрольные логи FRST.

    2) Пока проверим уязвимости системы:
    Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
    Запустите через правую кнопку мыши - Запустить от имени администратора.
    Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck, то не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, напримерC:\SecurityCheck\SecurityCheck.txt
    Скопируйте содержимое этого файла в свое следующее сообщение (сам файл можно не выкладывать).
     
    Razey нравится это.
  21. Razey

    Razey Активный пользователь

    Сообщения:
    646
    Симпатии:
    32
    SecurityCheck by glax24 & Severnyj v.1.4.0.47 [25.03.17]
    WebSite: www.safezone.cc
    DateLog: 01.04.2017 22:19:21
    Path starting: C:\Users\marina\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: marina
    VersionXML: 4.05is-25.03.2017
    ___________________________________________________________________________

    Windows 8.1(6.3.9600) (x64) CoreSingleLanguage Lang: Russian(0419)
    Дата установки ОС: 21.02.2015 20:31:36
    Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
    Режим загрузки: Normal
    Браузер по умолчанию: 0
    Системный диск: C: ФС: [NTFS] Емкость: [450.2 Гб] Занято: [416.1 Гб] Свободно: [34.1 Гб]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 11.0.9600.18618
    Контроль учётных записей пользователя включен
    Запрос на повышение прав для администраторов отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
    Загружать автоматически обновления и устанавливать по заданному расписанию
    Дата установки обновлений: 2017-04-01 12:35:40
    Центр обновления Windows (wuauserv) - Служба остановлена
    Центр обеспечения безопасности (wscsvc) - Служба работает
    Удаленный реестр (RemoteRegistry) - Служба остановлена
    Обнаружение SSDP (SSDPSRV) - Служба работает
    Службы удаленных рабочих столов (TermService) - Служба остановлена
    Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
    ------------------------------ [ MS Office ] ------------------------------
    Microsoft Office 2010 x86 v.14.0.4763.1000
    ---------------------------- [ Antivirus_WMI ] ----------------------------
    Avira Antivirus (включен и обновлен)
    Windows Defender (выключен и обновлен)
    --------------------------- [ FirewallWindows ] ---------------------------
    Брандмауэр Windows (MpsSvc) - Служба работает
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    Avira Antivirus (включен и обновлен)
    Windows Defender (выключен и обновлен)
    ---------------------- [ AntiVirusFirewallInstall ] -----------------------
    Avira Antivirus v.15.0.25.172
    McAfee WebAdvisor v.4.0.189
    --------------------------- [ OtherUtilities ] ----------------------------
    WinRAR 5.01 (64-bit) v.5.01.0 Внимание! Скачать обновления
    TeamViewer 12 v.12.0.75813
    TeamViewer 12 (TeamViewer) - Служба работает
    --------------------------------- [ IM ] ----------------------------------
    QIP 2005 8098 v.8098
    Skype™ 7.16 v.7.16.102 Внимание! Скачать обновления
    ^Необязательное обновление.^
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
    -------------------------------- [ Java ] ---------------------------------
    Java 7 Update 51 v.7.0.510 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe).
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe Flash Player 25 NPAPI v.25.0.0.127
    Adobe Flash Player 25 PPAPI v.25.0.0.127
    ------------------------------- [ Browser ] -------------------------------
    Google Chrome v.57.0.2987.133 [+]
    Mozilla Firefox 52.0.2 (x86 ru) v.52.0.2 [+]
    ------------------ [ AntivirusFirewallProcessServices ] -------------------
    Avira Планировщик (AntiVirSchedulerService) - Служба работает
    C:\Program Files (x86)\Avira\Antivirus\sched.exe v.15.0.25.170
    Avira Real-Time Protection (AntiVirService) - Служба работает
    C:\Program Files (x86)\Avira\Antivirus\avguard.exe v.15.0.25.170
    Avira Mail Protection (AntiVirMailService) - Служба остановлена
    Avira Web Protection (AntiVirWebService) - Служба остановлена
    Avira Service Host (Avira.ServiceHost) - Служба работает
    C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe v.1.2.81.41506
    C:\Program Files (x86)\Avira\Launcher\Avira.Systray.exe v.1.2.81.41506
    C:\Program Files (x86)\Avira\Antivirus\avshadow.exe v.15.0.25.172
    C:\Program Files (x86)\Avira\Antivirus\avgnt.exe v.15.0.25.170
    McAfee SiteAdvisor Service (McAfee SiteAdvisor Service) - Служба работает
    C:\Program Files (x86)\McAfee\SiteAdvisor\mcsacore.exe v.4.0.2.189
    Служба Защитника Windows (WinDefend) - Служба остановлена
    Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена
    ---------------------------- [ UnwantedApps ] -----------------------------
    QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    ----------------------------- [ End of Log ] ------------------------------


    P.S. По поводу контрольных логов FRST - хорошо, пришлю завтра. Пока не закрывайте тему.
     
Загрузка...
Похожие темы - Самооткрывание Amigo торможение
  1. pam-pam-param
    Ответов:
    7
    Просмотров:
    756
  2. Razey
    Ответов:
    7
    Просмотров:
    956
  3. Oleg
    Ответов:
    14
    Просмотров:
    1.141
  4. Razey
    Ответов:
    23
    Просмотров:
    2.167
  5. Razey
    Ответов:
    3
    Просмотров:
    911
  6. Razey
    Ответов:
    7
    Просмотров:
    1.275

Поделиться этой страницей