Решена Требуется помощь с удалением дряней от mail.ru

Статус
В этой теме нельзя размещать новые ответы.

Wu-Tang

Эксперт клуба THG
Сообщения
213
Реакции
54
приветствую
прогнал только adwcleaner, несколько дряней от mail.ru удалить не смогла.
вот полные логи:
 

Вложения

  • CollectionLog-2018.01.20-21.46.zip
    61.1 KB · Просмотры: 3
Ну дрянь от маил.ру должна удаляться через обычную деинсталляцию.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [URL] = http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BC5E1894A-4223-4EA0-91FE-9F0F940E65C9%7D&gp=811041 - Поиск@Mail.Ru
O8 - Context menu item: HKU\S-1-5-19\..\Internet Explorer\MenuExt: Add to Google Photos Screensa&ver - C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-20\..\Internet Explorer\MenuExt: Add to Google Photos Screensa&ver - C:\Windows\system32\GPhotos.scr (file missing)

DNS от провайдера?
O17 - DHCP DNS 1: 78.37.77.77
O17 - DHCP DNS 2: 212.48.197.77

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 
пофиксил.
DNS от провайдера?
O17 - DHCP DNS 1: 78.37.77.77
O17 - DHCP DNS 2: 212.48.197.77
скорее всего нет.
лог прикрепляю.
 

Вложения

  • scan.txt
    91.3 KB · Просмотры: 4
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O17 - DHCP DNS 1: 78.37.77.77
O17 - DHCP DNS 2: 212.48.197.77

Все, что нашел MBAM можно удалить.
 
>прогнал только adwcleaner, несколько дряней от mail.ru удалить не смогла.
А лог можно увидеть?
 
И просьба до того как удалишь в MBAM, собери логи этой версией Автологера.

+ выполните такой скрипт в AVZ
Код:
begin
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Windows\system32\tasks\only-newsorggrow', '');
 CreateQurantineArchive(GetAVZDirectory + 'only-newsorggrow.zip');
 RebootWindows(false);
end.

Файл only-newsorggrow.zip из папки AVZ отправь на этот почтовый ящик: quarantine <at> safezone.cc (замени <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
 
блин, я поторопился и сделал лог в autologger после удаления в mbam.
 

Вложения

  • AdwCleaner[C0].txt
    3.3 KB · Просмотры: 3
еще анекдот-папки windows, program files и тд в корне С скрытые, впервые такое встречаю )))
все логи adw
что еще делать?
 

Вложения

  • AdwCleaner.rar
    6.5 KB · Просмотры: 3
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

еще анекдот-папки windows, program files и тд в корне С скрытые, впервые такое встречаю )))
???
 
ну папки в корне диска С были скрыты, которые должны быть открыты.
 

Вложения

  • Desktop.rar
    24.1 KB · Просмотры: 4
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
...
 

Вложения

  • Fixlog.txt
    1.7 KB · Просмотры: 1
Что с проблемами?
 
спецом не тестировал еще, они вылезали спустя, а что с логами все чисто уже?
adw сейчас нашел еще -
***** [ Files ] *****

PUP.Optional.Legacy, C:\Users\J\AppData\Roaming\Mozilla\Firefox\Profiles\k92la37f.default\invalidprefs.js
 
Последнее редактирование:
спецом не тестировал еще, они вылезали спустя, а что с логами все чисто уже?
Вроде не к чему придраться.
adw сейчас нашел еще -
У тебя случаем синхронизация не включена в FF

Вогнали в сомненья
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 
не включена.
 

Вложения

  • PRAM_2018-01-22_15-14-01.7z
    580.9 KB · Просмотры: 6
надо спросить, но если сомнительное, я могу удалить.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу