• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
Статус
В этой теме нельзя размещать новые ответы.

fseto

Активный пользователь
Сообщения
1,436
Симпатии
315
#1
При работе в браузере, через какое-то время, автоматом открывается новая вкладка"Вулкан"
 

Вложения

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#2
fseto, через панель управления удалите следующее ПО:
Код:
Calculator
Video and Audio Plugin UBar
Приложение Unity Web Player вам знакомо?

Посмотрите что в этой папке C:\ProgramData\USOShared?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Armen\AppData\Roaming\daemon2.exe', '');
QuarantineFile('C:\Users\Armen\appdata\local\systemdir\nethost.exe', '');
QuarantineFile('c:\program files\windowsapps\microsoft.messaging_2.13.20000.0_x86__8wekyb3d8bbwe\skypehost.exe', '');
QuarantineFile('C:\Users\Armen\AppData\Roaming\WindowsUpdater', '');
QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E\D7134B0C-7F1C-4E91-AACD-76FB2F813BEF.exe', '');
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
QuarantineFile('C:\WINDOWS\system32\Updater.exe', '');
QuarantineFileF('C:\Program Files (x86)\Unigine\Valley Benchmark 1.0', 'browser_x86.exe', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Users\Armen\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\KRB Updater Utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\Kinoroom Browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\nethost task', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM\ATWURM_OL', '64');
DeleteFile('C:\Users\Armen\appdata\local\systemdir\nethost.exe', '32');
DeleteFile('C:\Users\Armen\appdata\roaming\daemon2.exe', '32');
DeleteFile('C:\Users\Armen\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Kinoroom Browser.lnk', '32');
DeleteFileMask('C:\Users\Armen\appdata\local\systemdir', '*', true);
DeleteFileMask('C:\ProgramData\KRB Updater Utility', '*', true);
DeleteFileMask('C:\Program Files (x86)\Kinoroom Browser', '*', true);
DeleteDirectory('C:\Users\Armen\appdata\local\systemdir');
DeleteDirectory('C:\ProgramData\KRB Updater Utility');
DeleteDirectory('C:\Program Files (x86)\Kinoroom Browser');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Daemon');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kinoroom Browser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Последнее редактирование:

fseto

Активный пользователь
Сообщения
1,436
Симпатии
315
#3
Привет)
Удалил.

Приложение Unity Web Player вам знакомо?
Знакомо, но тоже удалил.

Посмотрите что в этой папке C:\ProgramData\USOShared?
Не понятно. Посмотрите в прикрепленном файле Заметка1

Остальное сделал.
 

Вложения

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#4
Привет)
Не понятно. Посмотрите в прикрепленном файле Заметка1
там все файлы формата etl? В таком формате хранит свои журналы Windows. По всей видимости это какая то их часть, возможно логи обновлений.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Folder Found : C:\Users\Armen\AppData\Local\Yandex
    Folder Found : C:\Users\Armen\AppData\LocalLow\Yandex
    Folder Found : C:\Users\Armen\AppData\Roaming\Yandex
    Folder Found : C:\Users\Armen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
    Так же снимите галочки и с этих строк, но если продуктами mail и Амиго не пользуетесь можете не снимать
    Код:
    Folder Found : C:\Program Files (x86)\Mail.Ru
    Folder Found : C:\ProgramData\Mail.Ru
    Folder Found : C:\Users\Armen\AppData\Local\Amigo
    Folder Found : C:\Users\Armen\AppData\Local\Mail.Ru
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Не сделали повторные логи по правилам!!
 

fseto

Активный пользователь
Сообщения
1,436
Симпатии
315
#5

Вложения

Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#6
fseto, расширение в Google CHrome nlipoenfbbikpbjkfpfillcgkoblgpmj 1 Goodsmart 104.5.2.127 ваше?
Игру WURM устанавливали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM\ATWURM', '');
QuarantineFileF('C:\Users\Armen\appdata\local\microsoft\extensions', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E\D7134B0C-7F1C-4E91-AACD-76FB2F813BEF.exe', '32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\extsetup', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\SafeBrowser', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A56A77F13-AFED-4806-9F84-89E6D834720E', '64');
DeleteFile('C:\Users\Armen\AppData\Roaming\WindowsUpdater', '32');
DeleteFile('C:\Users\Armen\appdata\local\microsoft\extensions\extsetup.exe', '32');
DeleteFileMask('C:\Users\Armen\appdata\local\microsoft\extensions', '*', true);
DeleteFileMask('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E', '*', true);
DeleteDirectory('C:\Users\Armen\appdata\local\microsoft\extensions');
DeleteDirectory('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '56A77F13-AFED-4806-9F84-89E6D834720E');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

fseto

Активный пользователь
Сообщения
1,436
Симпатии
315
#7
расширение в Google CHrome nlipoenfbbikpbjkfpfillcgkoblgpmj 1 Goodsmart 104.5.2.127 ваше?
не надо никаких расширений.

точно сказать не могу, но в Программы и компоненты не вижу, так что, можно удалить. Возможно оставшиеся файлы.
 

Вложения

fseto

Активный пользователь
Сообщения
1,436
Симпатии
315
#9
нет.

авз не может закарантинить, пробую по инструкции, получается папка пустая. АВЗ выдает :
Ошибка карантина файла, попытка прямого чтения (updater.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (updater.exe)
Карантин с использованием прямого чтения - ошибка
Заархивировал в ручную в вин рар и отправил на quarantine <at> safezone.cc, но если не ошибаюсь у них фильтр, который принимает только архив сделанный самим АВЗ.
 

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#10
fseto, на архив пароль поставили?
письмо не дошло, заархивируйте, выложите на какой нибудь файлообменник и дайте ссылку мне в личку.
 

fseto

Активный пользователь
Сообщения
1,436
Симпатии
315
#11
на архив пароль поставили?
разумеется. (virus)
дайте ссылку мне в личку.
если это принципиально, то нужно чтоб вы были онлайн. Последние несколько дней форум не работает должным образом. искал вас у др. пользователей в подписчиках, но увы.
 

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#12
нужен файл, можете его самостоятельно проверить на вирустотал и дать ссылку прямо здесь, а так я всегда онлайн, потому что на работе всегда остается страница с открытой вкладкой.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,569
#13

fseto

Активный пользователь
Сообщения
1,436
Симпатии
315
#14
смените расширение файла на .ex_ и так попробуйте послать.
заархивировал в вин-рар и изменил расширение, отправил на
Оказывается файл нулевого расширения.
 

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#16
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
Task: {30905458-F43B-4DD0-A0B9-21762D470F9C} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {33398E93-D224-41DB-9751-FA7B94AFF2AE} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
Task: {4527ABE6-D760-4950-90DC-036A2CF3ADBB} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {545B4B53-F090-42A3-8546-6B73A4B6B982} - \Microsoft\SafeBrowser -> No File <==== ATTENTION
Task: {89DD811B-813F-45E8-8A32-D23E93EE8065} - \Microsoft\Windows\A56A77F13-AFED-4806-9F84-89E6D834720E -> No File <==== ATTENTION
Task: {8E7ADBE4-A281-4CB9-A3BA-17DA8D0D63F9} - System32\Tasks\Microsoft\Windows\extsetup => C:\Users\Armen\AppData\Local\Microsoft\Extensions\extsetup.exe
Task: {B8A42074-F1BF-4B95-8C70-5F3926B46685} - \Microsoft\Windows\WURM\ATWURM_OL -> No File <==== ATTENTION
Task: {BFAC2C16-EBBD-40CC-AD11-E19DC8B64AA7} - System32\Tasks\Microsoft\Windows\WURM\ATWURM => cmd
Task: {C89F6539-4787-4E09-842B-61748B6150C9} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Task: {F328EC24-3746-4612-BE5B-F4F11BF837CC} - System32\Tasks\Microsoft\Windows\SafeBrowser => C:\Users\Armen\AppData\Local\Microsoft\Extensions\extsetup.exe
Task: {FA542658-A82E-4889-B31E-2E62E6C341FA} - \Microsoft\extsetup -> No File <==== ATTENTION
FirewallRules: [{A110C010-8EE6-4525-B114-43691248F7C9}] => (Allow) C:\Users\Armen\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{C0300D8A-1269-47D6-A6AB-6AFCF1C468E9}] => (Allow) C:\Program Files\UBar\ubar.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-01-26 20:16 - 2016-01-26 20:16 - 00000000 ____D C:\Users\Armen\AppData\Local\Kometa
2016-01-26 20:16 - 2016-01-26 20:16 - 00000000 ____D C:\Users\Armen\AppData\Local\Amigo
2016-01-24 20:39 - 2016-01-25 00:27 - 00000000 ____D C:\Users\Armen\AppData\Roaming\Calculator
2016-01-24 20:37 - 2016-01-24 20:37 - 00000000 ____D C:\Users\Armen\AppData\Local\Поиcк в Интeрнете
2016-01-24 20:34 - 2016-01-25 00:26 - 00000000 ____D C:\Users\Armen\AppData\LocalLow\Unity
2016-01-24 20:34 - 2016-01-25 00:26 - 00000000 ____D C:\Users\Armen\AppData\Local\Unity
2016-01-24 20:34 - 2016-01-24 20:34 - 00000000 ____D C:\Users\Armen\AppData\Roaming\MailProducts
2016-01-26 01:26 - 2016-01-26 01:26 - 0000000 _____ () 
SearchScopes: HKU\S-1-5-21-3267805165-2103882178-1324926663-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD7095CA8-3E17-4414-9DE5-B03760E92FF8%7D&gp=801510
C:\Users\Armen\AppData\Roaming\smw_inst
cmd: del /Q C:\Users\Armen\AppData\Roaming\WindowsUpdater
cmd: del /Q C:\Users\Armen\AppData\Local\Microsoft\Extensions
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\SafeBrowser
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetup
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM\ATWURM
CHR Extension: (SyncGround) - C:\Users\Armen\AppData\Local\Google\Chrome\User Data\Default\Extensions\jgpmhnmjbhgkhpbgelalfpplebgfjmbf [2016-01-26]
CHR Extension: (Smart Browser™) - C:\Users\Armen\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-01-25]
OPR Extension: (SyncGround) - C:\Users\Armen\AppData\Roaming\Opera Software\Opera Stable\Extensions\jgpmhnmjbhgkhpbgelalfpplebgfjmbf [2016-01-26]
OPR Extension: (Smart Browser™) - C:\Users\Armen\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-01-25]
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Сделайте еще раз повторные логи по правилам.
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#18
fseto, в Хроме все равно кривые расширения. Попробуйте воспользоваться средством очистки

Скачайте инструмент очистки Google Chrome Chrome Cleanup Tool

Запустите инструмент очистки Chrome и он проверит ваш компьютер на наличие программ, которые Google считает "подозрительными" или "как известно, вызывают проблемы с Chrome", и предложит их удалить в случае обнаружения.

После завершения удаления, Chrome Cleanup Tool запустит браузер Chrome с командой chrome://settings/resetProfileSettings, которая предложит сбросить все настройки Chrome. Нажмите "Сбросить" и Google Chrome будет сброшен на настройки по умолчанию, или просто закройте окно, чтобы сохранить настройки.
 

fseto

Активный пользователь
Сообщения
1,436
Симпатии
315
#19
вот это конечно странно, Хрома нет на компе, но расширения вижу в frst. Хотя, возможно хром был удален, а хвосты остались.
апустите инструмент очистки Chrome
Инструмент очистки:
ничего не найдено.
 

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#20
вот это конечно странно, Хрома нет на компе
На это я не обратил внимания.
но расширения вижу в frst
потому что FRST проверил папки и нашел расширения в них.
В этой папке C:\Users\Armen\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences что есть?
 
Статус
В этой теме нельзя размещать новые ответы.