Здравствуйте, с недавнего времени на ноутбуке сами устанавливаются программы, открываются непрошенные окна. Нахваталась куча всего. Прошу вас помочь вылечить компьютер. Все лог-файлы сделал по инструкции.
Здравствуйте, с недавнего времени на ноутбуке сами устанавливаются программы, открываются непрошенные окна. Нахваталась куча всего. Прошу вас помочь вылечить компьютер. Все лог-файлы сделал по инструкции.
Уважаемый(ая) Dm1, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
С радостью поддержал проект, ушло через paypal.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\hnsy1843.tmp'); TerminateProcessByName('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\jnsaea5b.tmp'); TerminateProcessByName('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\knskefff.tmp'); TerminateProcessByName('c:\users\user\appdata\local\42fe4f80-1447164918-141c-8111-470c3da49e2c\snsv4c79.tmp'); StopService('gilefywi'); StopService('guqilome'); StopService('higumefe'); StopService('kiqidetu'); QuarantineFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\hnsy1843.tmp', ''); QuarantineFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\jnsaea5b.tmp', ''); QuarantineFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\knskefff.tmp', ''); QuarantineFile('c:\users\user\appdata\local\42fe4f80-1447164918-141c-8111-470c3da49e2c\snsv4c79.tmp', ''); QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat', ''); QuarantineFile('C:\ProgramData\aneamnvmzau\UjD5.bat', ''); QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.resworb.bat', ''); QuarantineFile('C:\Users\User\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', ''); QuarantineFile('C:\Users\User\AppData\Roaming\91bgyKgmjqRSpMvPpjvsoAzF.exe', ''); QuarantineFile('C:\WINDOWS\svchost.exe', ''); DeleteFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\hnsy1843.tmp', '32'); DeleteFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\jnsaea5b.tmp', '32'); DeleteFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\knskefff.tmp', '32'); DeleteFile('c:\users\user\appdata\local\42fe4f80-1447164918-141c-8111-470c3da49e2c\snsv4c79.tmp', '32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys', '32'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe', '32'); DeleteFile('C:\Users\User\AppData\Roaming\91bgyKgmjqRSpMvPpjvsoAzF.exe', '32'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '32'); DeleteFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe', '32'); DeleteService('gilefywi'); DeleteService('guqilome'); DeleteService('higumefe'); DeleteService('kiqidetu'); DeleteService('QMUdisk'); DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true); DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true); DeleteFileMask('C:\Users\User\AppData\Local\SmartWeb', '*', true); DeleteFileMask('C:\Users\User\AppData\Local\Mail.Ru', '*', true); DeleteFileMask('C:\Program Files (x86)\globalUpdate', '*', true); DeleteFileMask('C:\Program Files (x86)\SwiftSearch_1.10.0.25', '*', true); DeleteDirectory('C:\Program Files (x86)\Tencent'); DeleteDirectory('C:\Program Files (x86)\Zaxar'); DeleteDirectory('C:\Users\User\AppData\Local\SmartWeb'); DeleteDirectory('C:\Users\User\AppData\Local\Mail.Ru'); DeleteDirectory('C:\Program Files (x86)\globalUpdate'); DeleteDirectory('C:\Program Files (x86)\SwiftSearch_1.10.0.25'); DelBHO('{b90183ad-1cf4-4d7b-9461-b89083957547}'); DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}'); ExecuteFile('schtasks.exe', '/delete /TN "91bgyKgmjqRSpMvPpjvsoAzF" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Core" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Pending Update" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader'); ExecuteSysClean; ExecuteRepair(23); ExecuteRepair(4); ExecuteRepair(3); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' LNK.
WBR,
Vadim
- virusinfo_syscheck.zip
- - - - -Добавлено - - - - -
выполнена
Выполните скрипт в AVZ:Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.Код:begin DeleteFile('C:\WINDOWS\svchost.exe','32'); ExecuteSysClean; end.
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования если есть почта на Mail.Ru и/или используете программы от этого портала уберите галочки на вкладках Папки (Folders), Реестр (Registry) и вкладках браузеров со всех пунктов, где упоминаются Mail.Ru.
В пункте меню "Настройки" (Settings) уберите галочку "Сброс настроек Winsoсk" и установите галочку "Сброс политик Chrome".
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
WBR,
Vadim
Готово...
Последний раз редактировалось Dm1; 24.11.2015 в 22:50.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Отчет прикрепил. Проверил интернет, скайп, все отлично работает. Лишних программ не появляется. Благодарю вас!
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: HKLM\...\Run: [SpaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM-x32\...\Run: [InstallUpdate] => 0 HKU\S-1-5-21-1044145726-693272282-3404711166-1002\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2Ynwaj2M8Hlaqve6vrGm4YMvqZVfZDkYDy3BGydq69Z_RwWg_khRNmmOGYovhuWdcW9Z_1Z4KXa-D4BYXr0jYPNopJWpgxA9lgrmT-4EXmDZJW5CcfxJDYsO_bp494SbC_WB_BgW5LBRp4I&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1044145726-693272282-3404711166-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms} SearchScopes: HKU\S-1-5-21-1044145726-693272282-3404711166-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms} SearchScopes: HKU\S-1-5-21-1044145726-693272282-3404711166-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id={EE6A16B4-926A-40B5-B290-951329C4B016}&gp=openpart2 FF NewTab: C:\ProgramData\Zitenops\ff.NT FF Homepage: C:\ProgramData\Zitenops\ff.HP FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id={AF9C57B9-CD15-4D36-A0E2-C0FECEFB9543}&gp=openpart2 FF Extension: Домашняя страница Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-11-06] FF Extension: Поиск@Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-11-06] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!14CCB3533BF8EBC788F59EF5797C20D714CC.js [2015-11-10] CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (Quick Searcher) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2015-07-07] OPR Extension: (Quick Searcher) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dbepggeogbaibhgnhhndojpepiihcmeb [2015-11-06] 2015-11-10 17:13 - 2015-11-20 22:00 - 00000000 ____D C:\ProgramData\aneamnvmzau 2015-11-10 17:13 - 2015-11-10 17:13 - 00000000 ____D C:\Users\Все пользователи\MyLzluscyVL 2015-11-10 16:52 - 2015-11-10 20:12 - 00000004 _____ C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 2015-11-10 16:46 - 2015-11-10 20:46 - 00000098 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2015-11-10 14:13 - 2015-11-06 14:24 - 00000928 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak 2015-11-06 13:31 - 2015-11-06 13:31 - 01625824 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\WINDOWS\libeay32.dll 2015-11-06 13:31 - 2015-11-06 13:31 - 00608117 _____ C:\WINDOWS\libcurl-4.dll 2015-11-06 13:31 - 2015-11-06 13:31 - 00073216 _____ C:\WINDOWS\taskmgr.exe 2015-11-06 13:31 - 2015-11-06 13:31 - 00054784 _____ (MingW-W64 Project. All rights reserved.) C:\WINDOWS\libwinpthread-1.dll 2015-11-06 13:31 - 2015-11-06 13:31 - 00000000 ___SD C:\WINDOWS\Sys 2015-11-06 13:31 - 2015-11-06 13:31 - 00000000 ___SD C:\WINDOWS\PLAG 2015-11-06 13:31 - 2015-11-06 13:31 - 00000000 ____D C:\WINDOWS\Azart 2015-11-06 13:30 - 2015-11-20 22:00 - 00000000 ____D C:\Users\User\AppData\Roaming\WindowsUpdater 2014-07-03 22:13 - 2014-07-03 22:13 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2015-04-14 19:28 - 2015-04-14 19:28 - 0001171 _____ () C:\Users\User\AppData\Roaming\91bgyKgmjqRSpMvPpjvsoAzF 2015-07-16 16:47 - 2015-07-16 16:47 - 0005005 _____ () C:\ProgramData\wmzddnmb.cix CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\globalupdate Helper" /f /reg:32 CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SwiftSearch_1.10.0.25" /f /reg:32 Task: {823CC96B-D95A-4458-87C4-B275CA0ACACB} - \Image Follow -> No File <==== ATTENTION HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\40451096.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76519234.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\E9A68D64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\E9A68D646.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\40451096.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76519234.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\E9A68D64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\E9A68D646.sys => ""="Driver" FirewallRules: [{78F8D535-849A-4C87-BCD6-5A84ABFE0CCD}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{1927D0B1-6AF4-4087-8107-0BA7B0EBE689}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Спасибо, сделал. Файл прилагается.
Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Dm1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.