Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Windows Vista - заражение рекламным ПО. Удалить остатки (заявка № 182603)

  1. #1
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55

    Windows Vista - заражение рекламным ПО. Удалить остатки

    На ноутбуке обнаружилась активность. Произведена проверка антивирусом касперского и Др. Веб. Касперский почти ничего не нашел, а доктор Веб нашел много рекламного ПО. Удалил все, что нашли антивирусы. Почистил кэшы. Удалил лишнее из меню установки и удаления программ. Прошу помочь и глянуть все ли удалось вылечить.
    Вот такие угрозы были обнаружены доктор Веб при сканировании:
    Код:
    C:\Windows\system32\drivers\etc\hosts - cured\Device\HarddiskVolume2\Windows\System32\Drivers\SmartDefragDriver.sys - quarantined, reboot required
    \Device\HarddiskVolume2\Windows\System32\IObitSmartDefragExtension.dll - quarantined, reboot required
    \device\harddiskvolume2\windows\system32\smartdefragboottime.exe - quarantined, reboot required
    \device\harddiskvolume2\programdata\windowsmangerprotect\protectwindowsmanager.exe - quarantined, reboot required
    C:\ProgramData\IObit\ASCDownloader\Smart Defrag 2.exe - quarantined, reboot required
    C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe - file not found
    C:\Users\1\AppData\Roaming\IObit\IObit Uninstaller\Install_PintoStartMenutemp.exe - quarantined, reboot required
    C:\Users\1\AppData\Roaming\IObit\IObit Uninstaller\PPUninstallertemp.exe - quarantined, reboot required
    C:\Users\1\AppData\Roaming\IObit\IObit Uninstaller\UninstallDisplaytemp.exe - quarantined, reboot required
    C:\Users\1\AppData\Roaming\IObit\IObit Uninstaller\UninstallPromotetemp.exe - quarantined, reboot required
    C:\Users\1\AppData\Roaming\Systweak\ssd\SSDPTstub.exe - quarantined, reboot required
    C:\Windows\System32\IObitSmartDefragExtension.dll - quarantined, reboot required
    C:\Windows\System32\RegistryDefragBootTime.exe - quarantined, reboot required
    C:\Windows\System32\roboot.exe - quarantined, reboot required
    C:\Windows\System32\SmartDefragBootTime.exe - fatal error occured
    C:\Windows\System32\drivers\SmartDefragDriver.sys - quarantined, reboot required
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) sergeykorolev, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     DeleteService('ttnfd');
     DeleteService('AdvancedSystemCareService6');
     DeleteService('BecHelperService');
     DeleteFile('C:\Program Files\Mobiililaajakaista\Mobiililaajakaista\BecHelperService.exe','32');
     DeleteFile('C:\Windows\system32\drivers\ttnfd.sys','32');
     RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 6');
    ExecuteSysClean;
    ExecuteRepair(14);
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера.

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Выполнил рекомендации.
    Вот логи.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Удалил все предложенные значения.
    Вот отчет об удалении.

    - - - - -Добавлено - - - - -

    Еще потребуется выполнять инструкции?
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Вот логи.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1415479625&from=cor&uid=HitachiXHTS543232L9A300_080725FB0400LEC2BH7BX&q={searchTerms}
      HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1415479625&from=cor&uid=HitachiXHTS543232L9A300_080725FB0400LEC2BH7BX
      HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1415479625&from=cor&uid=HitachiXHTS543232L9A300_080725FB0400LEC2BH7BX&q={searchTerms}
      HKU\S-1-5-21-3067170465-1276348947-3809724984-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1415479625&from=cor&uid=HitachiXHTS543232L9A300_080725FB0400LEC2BH7BX
      SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1415479625&from=cor&uid=HitachiXHTS543232L9A300_080725FB0400LEC2BH7BX&q={searchTerms}
      Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
      Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      Toolbar: HKU\.DEFAULT -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
      FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found]
      Task: {8EA77131-ECE6-47EA-9EF7-E011C261F16E} - \SmartDefrag3_Update No Task File <==== ATTENTION
      Task: {DFABCE4B-84D2-44F0-9D3B-F4FCF2FAE987} - \SmartDefrag3_Startup No Task File <==== ATTENTION
      AlternateDataStreams: C:\ProgramData\TEMP:679ABA25
      EmptyTemp:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Выполнил fix. Программа запустилась, проверила обновленную версию в интернет, обновилась. Я выполнил fix. Ноутбук перегрузился.
    Но после этого пропал индиктор переключения языка. Не работают кнопки переключения языка. Странно ведет себя проводник. Подтупливает. Пропадает периодичеки подключенная флешка.

    - - - - -Добавлено - - - - -

    Что откатываться к точке восстановления? Не пошел же фикс... появились проблемы с переключением расскладки.

    - - - - -Добавлено - - - - -

    Больше кина не будет ?
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Перед выполнением скрипта была создана точка восстановления. Вы можете воспользоваться этой точкой восстановления.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Спасибо за ответ. Это я понял. Вопрос с самим скриптом. Он же делал, что-то нужное? После отката нужно, что-то выполнять?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Но после этого пропал индиктор переключения языка. Не работают кнопки переключения языка. Странно ведет себя проводник. Подтупливает. Пропадает периодичеки подключенная флешка.
    Вообще скрипт не мог привести к таким проблемам. В скрипте в основном идет сброс домашних страничек в IE и Chrome.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Конечно такого эффекта не планировалось, но взаимосвязь есть. После выполнения фикса появился баг, а вот сейчас откатился на восстановлени которое сделал фикс и баг пропал.
    Будем, что-то с этим делать?

    - - - - -Добавлено - - - - -

    Я не понимаю до конца что написано в фиксе, но мне кажется там как минимум не только чистка кэшей.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Последний файл fixlog.txt прикрепите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Вот

    - - - - -Добавлено - - - - -

    Возможно в проблеме виновато обновление Definition Update for Windows Defender - KB915597. Единственное обновление которое пришло после отката. Почитал у некоторых пользователей вызывало проблемы с запуском мелких программ встроенных в операционную систему. Установил повторно, отключив антивирус касперского. Проблем нет.
    Последний фикс стоит пробовать повторно? что скажите.. так ли он нужен.
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Последний фикс стоит пробовать повторно? что скажите.. так ли он нужен.
    Желателен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #18
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Выполнил фикс. Были ошибки запуска служб (8 штук) при первой перезагрузке. Потом проявились ошибки ICS_IPV6 не удалось выделить  байтов памяти. 34005 убрал отключением энергосбережения на всех интерфейсах и снятием галки с протокола IPv6. Стал общим принтер one note 2007 и выдавал ошибку. Убрал общий доступ с него.
    До фикса таких ошибок не наблюдал вообще.

    После этого более менее. Нормально работает.

    Вот лог
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Проблема решена?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. #20
    Junior Member Репутация
    Регистрация
    11.03.2009
    Сообщений
    29
    Вес репутации
    55
    Хвосты почищены, но последний фикс получился отстойный. Сегодня через chrom хотел ответить в эту тему, так adblock 4 окна блочит и хром тупит сильно. Вырубил. Сейчас пишу через IE. Переустановил хром, не изменилась ситуация. Прежде с хромом и ресурсом virusinfo.info проблем не было.
    Я вообще сам сюда обратился чтобы спросить: у меня все нормально? Если не видно в логах ничего значит онон так работает.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 4
    Последнее сообщение: 29.05.2014, 13:59
  2. Ответов: 4
    Последнее сообщение: 30.04.2014, 08:14
  3. Ответов: 4
    Последнее сообщение: 29.04.2014, 20:03
  4. как удалить остатки трояна?
    От Олег Морозов в разделе Помогите!
    Ответов: 18
    Последнее сообщение: 16.01.2013, 19:45
  5. Помогите удалить остатки...
    От Earring21 в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 18.02.2008, 16:55

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00014 seconds with 20 queries