• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

В работе Возвращение kido

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
catroot слишком большой. Не дает загрузить сюда.
Затем упакуйте её в архив и пришлите через файлообменник.
То есть загрузите полученный архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Насколько понимаю вам удобен Яндекс Диск, так что загрузите тогда на него и дайте ссылку на скачивание.
 

Аркалионариум

Новый пользователь
Сообщения
28
Реакции
0
Баллы
1

готово

Смогла также удалить всё программы, что просили убрать ранее. Нужны ли логи или реестры?
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Рассширения в мозиллу от mail.ru как понимаю сами не ставили?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {3BBF760B-116F-4F70-9D47-35EE8DB50A7F} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2281944 2019-06-05] (AVAST Software s.r.o. -> AVAST Software)
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2019-07-04] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
    FF Extension: (Поиск Mail.Ru) - C:\Users\Пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2019-07-04] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
    FF Extension: (Визуальные закладки) - C:\Users\Пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2019-07-04] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/ff_pult/update.json]
    CHR HKU\S-1-5-21-3165551296-1203356962-3110699869-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3165551296-1203356962-3110699869-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    FirewallRules: [{77D26BA3-5181-4590-B93A-021D8259E12A}] => (Allow) C:\Users\Пользователь\AppData\Local\Temp\DriverPack-20190419222306\tools\aria2c.exe No File
    FirewallRules: [{8E8F4EAA-CADC-4CC9-9F31-2AF327E2D5AE}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{5DAE35BD-9628-4AD9-9591-F4A35EDDAD8B}] => (Allow) C:\Program Files (x86)\DriverPack Cloud\cloud.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Попробуйте другим браузером, Edge, Internet Explorer и сообщите.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
edge даже скачать не могу
Его и не нужно скачивать, он установлен в системе.

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Tcpip\..\Interfaces\{03d6bb15-f9ee-4331-9058-93a76cdd5ec5}: [NameServer] 185.4.65.4,116.203.6.218,185.130.104.222,185.4.64.13
    Tcpip\..\Interfaces\{0811d5c8-d0e6-415f-a807-aa754210cf72}: [NameServer] 185.4.65.4,116.203.6.218,185.130.104.222,185.4.64.13
    Tcpip\..\Interfaces\{259145f3-2a73-4393-a938-60b978a39098}: [NameServer] 185.4.65.4,116.203.6.218,185.130.104.222,185.4.64.13
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Проверьте заходит ли на сайты и сообщите.
 

Аркалионариум

Новый пользователь
Сообщения
28
Реакции
0
Баллы
1
Огромное спасибо!
Сайты заработали и директ х также загрузился.

Остался вопрос правда в том плане, что порой при нажатии на ссылку, всплывают какие-то левые окна. Это может быть связано?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
В каком браузере это происходит?
 

Аркалионариум

Новый пользователь
Сообщения
28
Реакции
0
Баллы
1
в internet explorer, yandex, crome. с разной периодичностью. Чаще всего в яндексе.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
То есть, после сброса настроек "левые окна" не появляются?
Пожалуйста, не пропадайте. У коллег ещё будут вопросы, после которых дадим финальные рекомендации.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
@Аркалионариум индийский DNS ещё на роутере остался прописан
Код:
O17 - DHCP DNS 2: 116.203.6.218
так что ещё

Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.
- Очистите кеш и куки браузеров.

+ немного мусор почистим.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    BREG
    regt 37
    ;---------command-block---------
    delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.3.314\NOTIFICATION_HELPER.EXE
    delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE
    delref %Sys32%\DRIVERS\77675539.SYS
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref %SystemRoot%\TEMP\OFFICEC2RC7439291-8464-46AF-9314-C30B43AA2C1E\V32.CAB
    delref %SystemRoot%\TEMP\OFFICEC2R11AF548B-F4F4-4344-827F-BAEFB064844B\V32.CAB
    delref %SystemRoot%\TEMP\OFFICEC2RB5D75A26-BE63-4D74-BFBC-EF5E8C70F01E\V32.CAB
    delref %SystemRoot%\TEMP\OFFICEC2RC2C6476C-1125-4C59-B55A-2D3B03489C72\V32_16.0.11727.20230.CAB
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref G:\HISUITEDOWNLOADER.EXE
    delref F:\HISUITEDOWNLOADER.EXE
    delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\TEMP\HYD9695.TMP.1488106618\HTA\3RDPARTY\FS.OCX
    zoo %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\DOWNLOAD-1.TMP
    delall %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\DOWNLOAD-1.TMP
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 17.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
    delref HTTPS://WWW.YANDEX.RU/?WIN=399&CLID=2255394-225
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 17.0.0\X64\MCOUAS.DLL
    apply
    
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
Подробнее читайте в этом руководстве.

А после этого соберите свежие логи Автологером.
 
Сверху Снизу