Решена Вирус PUP.Optional.Legacy Как удалить этот вирус?( Он вообще не удалется
- Автор темы Skeptia
- Дата начала
- Статус
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Добрый день. Нужны логи по правилам
https://safezone.cc/pravila/
И возможно (без логов сказать сложно) проблема описана в этой теме https://safezone.cc/threads/adwcleaner-i-suggests-go-mail-ru.31553/
https://safezone.cc/pravila/
И возможно (без логов сказать сложно) проблема описана в этой теме https://safezone.cc/threads/adwcleaner-i-suggests-go-mail-ru.31553/
Malwarebytes нашел какие то 5 штук, но так ничего не поменялось. Рекламы меньше стало вылазить. браузер мозила сам открывался
Последнее редактирование:
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Лог прикрепите.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
После выполнения скрипта компьютер перезагрузится.
Полученный архив отправьте при помощи этой формы
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\Notifier.exe','');
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Полученный архив отправьте при помощи этой формы
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task (Job): (disabled) rArHIXNWKfbeRtR.job -Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
1. Malwarebytes два часа сканировал, лог не сохранил. ЕСЛИ НАДО Я СДЕЛАЮ
2. "Полученный архив отправить" не понял какой архив? где он?
3. Пофиксил
п.с. Когда AutoLogger открывал IExplorer ( при диагностике), IExplorer открывает эту страницу Google
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Так и задумано
Давайте сделаем, будет полезно посмотреть
В папке автологера будет папка с AVZ, а в ней будет архив с карантином.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
150.201.1.2 - вашего провайдера?
CHR res: Infected resources.pak (Adware script). Reinstall Chrome. <==== ATTENTION - нужно переустановить Chrome
Судя по логам заражение было после скачивания активатора ОС
Деинсталируйте
Driver Booster
Подробнее читайте в этом руководстве.
CHR res: Infected resources.pak (Adware script). Reinstall Chrome. <==== ATTENTION - нужно переустановить Chrome
Судя по логам заражение было после скачивания активатора ОС
Деинсталируйте
Driver Booster
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: VirusTotal: C:\WINDOWS\system32\MBR2GPT.EXE;C:\WINDOWS\system32\Drivers\MzkwNGNj.sys GroupPolicy\User: Restriction ? <==== ATTENTION S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] 2018-06-08 18:43 - 2018-06-08 19:27 - 000000000 ____D C:\Program Files\N3ARJ0USO7 2018-06-08 18:42 - 2018-06-16 12:11 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\fhlrr1rpabt 2018-06-08 18:42 - 2018-06-08 19:27 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\ml2drsg1rh2 2018-06-08 18:42 - 2018-06-08 19:27 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\0nla4cf0uu4 2018-06-08 18:42 - 2018-06-08 19:27 - 000000000 ____D C:\Program Files\5MXX2JQ39C 2018-06-08 18:41 - 2018-06-16 12:11 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\oscsjdycdh5 2018-06-08 18:41 - 2018-06-16 12:11 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\ivrydcfwvzb 2018-06-08 18:41 - 2018-06-16 12:11 - 000000000 ____D C:\Program Files\ONXPKBGA87 2018-06-08 18:41 - 2018-06-08 19:27 - 000000000 ____D C:\Program Files\B56EXLR4BA 2018-06-08 11:29 - 2018-06-16 12:11 - 000000000 ____D C:\Program Files\ZjQ1N2Q3Y2NmZGI5NjE0 2018-06-08 11:28 - 2018-06-16 12:11 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\zk4h0cs0d10 2018-06-08 11:28 - 2018-06-16 12:11 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\sfdzin1vgjh 2018-06-08 11:28 - 2018-06-16 12:11 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\1kw21psla10 2018-06-08 11:28 - 2018-06-08 19:27 - 000000000 ____D C:\Program Files\NYJ7HLRGNP 2018-06-08 11:28 - 2018-06-08 19:27 - 000000000 ____D C:\Program Files\382VJP2MAR 2018-06-08 11:27 - 2018-06-16 12:11 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\twme0ylb3kv 2018-06-08 11:27 - 2018-06-16 12:11 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\htqpzjjy20m 2018-06-08 11:27 - 2018-06-08 19:27 - 000000000 ____D C:\Program Files\S56RKY37N7 2018-06-08 11:27 - 2018-06-08 19:27 - 000000000 ____D C:\Program Files\BELEBDD9WY 2018-06-08 00:21 - 2018-06-08 20:13 - 000000004 _____ C:\Users\Все пользователи\lock.dat 2018-06-08 00:21 - 2018-06-08 20:13 - 000000004 _____ C:\ProgramData\lock.dat 2018-06-08 00:21 - 2018-06-08 19:04 - 000000016 _____ C:\Users\Все пользователи\rwi.khad 2018-06-08 00:21 - 2018-06-08 19:04 - 000000016 _____ C:\ProgramData\rwi.khad 2018-06-08 00:17 - 2018-06-08 19:26 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\gljhwqlalxj 2018-06-08 00:16 - 2018-06-08 19:27 - 000000000 ____D C:\Program Files\7QLBRZJSZV 2018-06-08 00:16 - 2018-06-08 19:27 - 000000000 ____D C:\Program Files\1NYATX658N 2018-06-08 00:17 - 2018-06-08 00:17 - 000140800 _____ C:\Users\Бабушка\AppData\Local\installer.dat 2018-06-08 00:17 - 2018-06-08 00:17 - 000000000 ____D C:\Program Files\My Program 2018-06-08 00:16 - 2018-06-08 19:27 - 000000000 ____D C:\Program Files (x86)\4vtec5t5r2g 2018-06-08 00:16 - 2018-06-08 19:26 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\pcc5dgacmxn 2018-06-08 00:16 - 2018-06-08 19:25 - 000000000 ____D C:\Users\Бабушка\AppData\Roaming\t3zk5plwb1c ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File HKU\S-1-5-21-3718637573-1753120744-2247023922-1001\...\StartupApproved\Run: => "IX657KQRE2PQSXK" HKU\S-1-5-21-3718637573-1753120744-2247023922-1001\...\StartupApproved\Run: => "8QY3AFZGWL6OV83" HKU\S-1-5-21-3718637573-1753120744-2247023922-1001\...\StartupApproved\Run: => "L2HVN509PV2OUKS" HKU\S-1-5-21-3718637573-1753120744-2247023922-1001\...\StartupApproved\Run: => "RXQ6IDJ64LWFH7G" HKU\S-1-5-21-3718637573-1753120744-2247023922-1001\...\StartupApproved\Run: => "IFFG90K8SOJGM61" HKU\S-1-5-21-3718637573-1753120744-2247023922-1001\...\StartupApproved\Run: => "CV6VYMB06XGDLXB" HKU\S-1-5-21-3718637573-1753120744-2247023922-1001\...\StartupApproved\Run: => "BV91MX1NSHKQITK" EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Удалил Driver Boost, и удалил Хром гугл. Сейчас запущу Малварбайтсс
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Остался вопрос и ждем лог MBAM
На сайт не мог к вам зайти, похоже сайт Ваш был загружен
Я не знаю. Провайдер Dom.ru.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: Tcpip\..\Interfaces\{8f6f6475-415a-4903-b6a8-650d91bb2b1d}: [DhcpNameServer] 150.201.1.2 EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Что с проблемами?
Да вроде бы больше не открывается ничего, но AdwCleaner все равно выдает вирусы
Кстати удалил антивирус MacAcces, и поставил Nod32. Нод не видит эти вирусы
Последнее редактирование:
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
- Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
- Прикрепите отчет к своему следующему сообщению
Подробнее читайте в этом руководстве.
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. - Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
- Сообщения
- 16,835
- Решения
- 1
- Реакции
- 3,516
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\5.2.0\DRIVERBOOSTER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL apply exec C:\Users\Бабушка\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned deltmp restart - В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Вручную удалите папку:
Сообщите что из проблем осталось.
4 вируса удалилось о.о
- Сообщения
- 16,835
- Решения
- 1
- Реакции
- 3,516
- Статус
Похожие темы
- Закрыта
- Закрыта
Решена
вирус pup.optional.legacy
