Windows Vista - заражение рекламным ПО. Удалить остатки
На ноутбуке обнаружилась активность. Произведена проверка антивирусом касперского и Др. Веб. Касперский почти ничего не нашел, а доктор Веб нашел много рекламного ПО. Удалил все, что нашли антивирусы. Почистил кэшы. Удалил лишнее из меню установки и удаления программ. Прошу помочь и глянуть все ли удалось вылечить.
Вот такие угрозы были обнаружены доктор Веб при сканировании:
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) sergeykorolev, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1415479625&from=cor&uid=HitachiXHTS543232L9A300_080725FB0400LEC2BH7BX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1415479625&from=cor&uid=HitachiXHTS543232L9A300_080725FB0400LEC2BH7BX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1415479625&from=cor&uid=HitachiXHTS543232L9A300_080725FB0400LEC2BH7BX&q={searchTerms}
HKU\S-1-5-21-3067170465-1276348947-3809724984-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1415479625&from=cor&uid=HitachiXHTS543232L9A300_080725FB0400LEC2BH7BX
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1415479625&from=cor&uid=HitachiXHTS543232L9A300_080725FB0400LEC2BH7BX&q={searchTerms}
Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\.DEFAULT -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found]
Task: {8EA77131-ECE6-47EA-9EF7-E011C261F16E} - \SmartDefrag3_Update No Task File <==== ATTENTION
Task: {DFABCE4B-84D2-44F0-9D3B-F4FCF2FAE987} - \SmartDefrag3_Startup No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:679ABA25
EmptyTemp:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Выполнил fix. Программа запустилась, проверила обновленную версию в интернет, обновилась. Я выполнил fix. Ноутбук перегрузился.
Но после этого пропал индиктор переключения языка. Не работают кнопки переключения языка. Странно ведет себя проводник. Подтупливает. Пропадает периодичеки подключенная флешка.
- - - - -Добавлено - - - - -
Что откатываться к точке восстановления? Не пошел же фикс... появились проблемы с переключением расскладки.
Но после этого пропал индиктор переключения языка. Не работают кнопки переключения языка. Странно ведет себя проводник. Подтупливает. Пропадает периодичеки подключенная флешка.
Вообще скрипт не мог привести к таким проблемам. В скрипте в основном идет сброс домашних страничек в IE и Chrome.
Конечно такого эффекта не планировалось, но взаимосвязь есть. После выполнения фикса появился баг, а вот сейчас откатился на восстановлени которое сделал фикс и баг пропал.
Будем, что-то с этим делать?
- - - - -Добавлено - - - - -
Я не понимаю до конца что написано в фиксе, но мне кажется там как минимум не только чистка кэшей.
Возможно в проблеме виновато обновление Definition Update for Windows Defender - KB915597. Единственное обновление которое пришло после отката. Почитал у некоторых пользователей вызывало проблемы с запуском мелких программ встроенных в операционную систему. Установил повторно, отключив антивирус касперского. Проблем нет.
Последний фикс стоит пробовать повторно? что скажите.. так ли он нужен.
Выполнил фикс. Были ошибки запуска служб (8 штук) при первой перезагрузке. Потом проявились ошибки ICS_IPV6 не удалось выделить байтов памяти. 34005 убрал отключением энергосбережения на всех интерфейсах и снятием галки с протокола IPv6. Стал общим принтер one note 2007 и выдавал ошибку. Убрал общий доступ с него.
До фикса таких ошибок не наблюдал вообще.
Хвосты почищены, но последний фикс получился отстойный. Сегодня через chrom хотел ответить в эту тему, так adblock 4 окна блочит и хром тупит сильно. Вырубил. Сейчас пишу через IE. Переустановил хром, не изменилась ситуация. Прежде с хромом и ресурсом virusinfo.info проблем не было.
Я вообще сам сюда обратился чтобы спросить: у меня все нормально? Если не видно в логах ничего значит онон так работает.