Решена Самопроизвольно запускается Хром с рекламой, реклама в уже запущенном Хроме; после чего зависает Word; компьютер медленно работает

Статус
В этой теме нельзя размещать новые ответы.

Дмитрий Кошелев

Новый пользователь
Сообщения
9
Симпатии
1
Баллы
3
#1
Здравствуйте, добрые люди! Успехов вам в вашем деле!!!
Пожалуйста, помогите проверить компьютер на угрозы. Суть проблем изложена в заголовке моего обращения.
Буду признателен также за рекомендации по удалению ненужных программ, бесполезно занимающих место на дисках моего компьютера. Всё чаще приходится освобождать его. Пользуюсь для этого CCleanerом. Но подозреваю, что помимо временных файлов на дисках имеется ПО установленное "до кучи" с другими приложениями и не используемое мной.
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,616
Симпатии
4,965
Баллы
663
#2
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\9351fb06-7bac-44b0-8536-b458559e26e4', '*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\admin\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\9351FB06-7BAC-44B0-8536-B458559E26E4\C033F8F6-5C83-4E9F-B9A4-8756CAD564E4.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\extsetupSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A9351FB06-7BAC-44B0-8536-B458559E26E4" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\extsetupSB" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\9351FB06-7BAC-44B0-8536-B458559E26E4\C033F8F6-5C83-4E9F-B9A4-8756CAD564E4.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\users\admin\appdata\local\microsoft\extensions', '*', true);
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9351FB06-7BAC-44B0-8536-B458559E26E4');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','extsetupSB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9351FB06-7BAC-44B0-8536-B458559E26E4');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','extsetupSB');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики скачайте свежий AutoLogger и запустите его снова. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner.
 

Дмитрий Кошелев

Новый пользователь
Сообщения
9
Симпатии
1
Баллы
3
#3
AdwCleaner сначала запустил не от имени администратора. Отчет приложен по второму запуску "от имени администратора".
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,443
Симпатии
12,570
Баллы
2,203
#4
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
И да, активируйте следующие пункты в настройках ADW
  • Сброс политик IE
  • Сброс политик Chrome

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Дмитрий Кошелев

Новый пользователь
Сообщения
9
Симпатии
1
Баллы
3
#5
С праздником Великой Победы!
Война пусть будет только с вирусами!
Здоровья и удовлетворенности всем, что происходит в Вашей жизни!
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,443
Симпатии
12,570
Баллы
2,203
#6
Политики сами настраивали?
HKU\S-1-5-21-2399178835-2304580121-637607134-1001\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-2399178835-2304580121-637607134-1001\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
Start::
CreateRestorePoint:
VirusTotal: C:\Users\admin\AppData\Local\Schedule\Schedule.exe
() C:\Users\admin\AppData\Local\Schedule\Schedule.exe
C:\Users\admin\AppData\Local\Schedule\Schedule.exe
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Schedule.lnk [2018-05-09]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2399178835-2304580121-637607134-1001 -> {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL =
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2399178835-2304580121-637607134-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:8C35AEA7 [111]
AlternateDataStreams: C:\ProgramData\TEMP:8CE646EE [138]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8C35AEA7 [111]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8CE646EE [138]
EmptyTemp:
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

Дмитрий Кошелев

Новый пользователь
Сообщения
9
Симпатии
1
Баллы
3
#7
Настраивал ли политики не помню.
Для сведения, на всякий случай: при запуске компьютера до исполнения ваших указаний Хром запустился сам, с рекламой.
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,616
Симпатии
4,965
Баллы
663
#8
Настраивал ли политики не помню.
Комп домашний? Если домашний, тогда
Выполните скрипт в Farbar Recovery Scan Tool. Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-2399178835-2304580121-637607134-1003\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-2399178835-2304580121-637607134-1002\User: Restriction <==== ATTENTION
EmptyTemp:
Reboot:
end
+
Почистите браузеры с помощью AVZ:
Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке
+
Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.
 

Дмитрий Кошелев

Новый пользователь
Сообщения
9
Симпатии
1
Баллы
3
#9
Всё сделал.
У многих расширений Хрома имеются комментарии "Расширение возможно повреждено..." В таком состоянии оно не активно? Или исподтишка может работать?
Может лучше "восстановить стандартные настройки" и воспользоваться стандартным средством борьбы с вредоносным ПО?
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,443
Симпатии
12,570
Баллы
2,203
#10
У многих расширений Хрома имеются комментарии "Расширение возможно повреждено..." В таком состоянии оно не активно?
Это означает, что хром не нашел ожидаемого содержимого, жмите восстановить. Кстати, что с проблемами сейчас?
 

Дмитрий Кошелев

Новый пользователь
Сообщения
9
Симпатии
1
Баллы
3
#11
Проблемы за 6 часов работы компьютера не появлялись. По впечатлению компьютер стал работать резвее. Хотя Хром "запускается" секунд 5-7. Это нормально?
На нажатие "восстановить" откликнулись только два расширения (в приложении). Но в окошках с подробными описаниями этих расширений, на мой непрофессиональный взгляд, названия этих расширений отличаются от названий в "Снимок экрана.jpg", а их "полномочия" настораживают. Стоит ли их вообще восстанавливать? Если удалю их совсем, это может привести к нестабильности работы Хрома?
Сообщения объединены:

Хром "запускается" секунд 5-7 - так и раньше было.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,443
Симпатии
12,570
Баллы
2,203
#13
Раз проблем нет, тогда финальные рекомендации
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Дмитрий Кошелев

Новый пользователь
Сообщения
9
Симпатии
1
Баллы
3
#15
Раз проблем нет, тогда финальные рекомендации
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Здравствуйте!
В AVZ пункт "Обновление баз" не "работает". Шлю лог SC.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,443
Симпатии
12,570
Баллы
2,203
#16
В AVZ пункт "Обновление баз" не "работает". Шлю лог SC.
Сейчас в автологере полиморфная версия AVZ работает. Такая проблема имеет место.

Деинсталируйте

По возможности исправьте
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 4.20 (32-разрядная) v.4.20.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 (64-bit) v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^
Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.66.0.3359.139 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.3f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Update for Html5 geolocation provider v.3.6.2.901 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Дмитрий Кошелев

Новый пользователь
Сообщения
9
Симпатии
1
Баллы
3
#17
Сейчас в автологере полиморфная версия AVZ работает. Такая проблема имеет место.

Деинсталируйте

По возможности исправьте
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 4.20 (32-разрядная) v.4.20.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 (64-bit) v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^
Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.66.0.3359.139 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.3f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Update for Html5 geolocation provider v.3.6.2.901 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Не смог найти как деинсталлировать AVZ, а также вообще не нашёл Update for Html5 geolocation provider v.3.6.2.901.
все остальные Ваши рекомендации выполнил.

Кстати Schedule consumer dialogue регулярно удаляю, поскольку нет сведений об издателе. Но он упрямо появляется в списке приложений.
 

akok

Команда форума
Администратор
Сообщения
15,443
Симпатии
12,570
Баллы
2,203
#18
Не смог найти как деинсталлировать AVZ
Просто удалите папку с автологером.

также вообще не нашёл Update for Html5 geolocation provider v.3.6.2.901.
Судя по логам должен быть в меню "Приложения и возможности"
Update for Html5 geolocation provider (HKLM-x32\...\{BFE6D377-F558-4E95-A062-673941B9BA5A}) (Version: 3.6.2.901 - AlterGeo)
 

Дмитрий Кошелев

Новый пользователь
Сообщения
9
Симпатии
1
Баллы
3
#19
Просто удалите папку с автологером.


Судя по логам должен быть в меню "Приложения и возможности"
Update for Html5 geolocation provider (HKLM-x32\...\{BFE6D377-F558-4E95-A062-673941B9BA5A}) (Version: 3.6.2.901 - AlterGeo)
Да. Но его там нет - шлю перечень программ, отображаемых в меню "Приложения и возможности".
Скажите, пожалуйста, могу ли в дальнейшем самостоятельно пользоваться программами adwcleaner и FRST64?
 
/div>

Вложения

akok

Команда форума
Администратор
Сообщения
15,443
Симпатии
12,570
Баллы
2,203
#20
Скажите, пожалуйста, могу ли в дальнейшем самостоятельно пользоваться программами adwcleaner и FRST64?
FRST64 - нет, утилита требует специфичных знаний.
adwcleaner - можете пользоваться, это утилита для удаления нежелательного ПО adware, не требует особых знаний системы.

Да. Но его там нет - шлю перечень программ, отображаемых в меню "Приложения и возможности".
Тогда сделайте свежий лог adwcleaner, перепроверим.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу