Доброго времени суток!
AVZ НЕ делает скрипт, все делал по инструкции, система 64 битная.
RQFQaAo.png
Прочитав аналогичные темы, сделал отчет программой UVS "на всякий случай"
Доброго времени суток!
AVZ НЕ делает скрипт, все делал по инструкции, система 64 битная.
RQFQaAo.png
Прочитав аналогичные темы, сделал отчет программой UVS "на всякий случай"
Уважаемый(ая) Антон Первицкий, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в uVS Как выполнить скрипт в uVS
+Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GOOGLE CHROME.LNK delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GOOGLE CHROME.LNK delref %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.1_1\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН zoo %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GОOGLE СHROMЕ.LNK delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GОOGLE СHROMЕ.LNK zoo %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GОOGLЕ СHROMЕ.LNK delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GОOGLЕ СHROMЕ.LNK zoo %SystemDrive%\USERS\ИГОРЬ\DESKTOP\GОOGLЕ СHROMЕ.LNK delall %SystemDrive%\USERS\ИГОРЬ\DESKTOP\GОOGLЕ СHROMЕ.LNK zoo %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GООGLE СHRОMЕ.LNK delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GООGLE СHRОMЕ.LNK delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\INTERNET EXPLORER.LNK delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\INTЕRNЕT EXРLORЕR.LNK zoo %SystemDrive%\PROGRAMDATA\MFQAUB\NQGSDSHVT5.BAT delall %SystemDrive%\PROGRAMDATA\MFQAUB\NQGSDSHVT5.BAT delref %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\PROFITSAVER\RFT_SB.EXE zoo %SystemDrive%\PROGRAMDATA\MWYGUVU\SOCTPO0.BAT delall %SystemDrive%\PROGRAMDATA\MWYGUVU\SOCTPO0.BAT delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\PROFITSAVER\UNINSTALL.EXE delref %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE delref %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE" delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/ delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC zoo %SystemDrive%\PROGRAMDATA\UPSERVICE\UPSERVICE.EXE delall %SystemDrive%\PROGRAMDATA\UPSERVICE\UPSERVICE.EXE delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PROFITSAVER\PROFITSAVER.LNK deltmp restart
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Здравствуйте,
Удалите Zaxar через установку программ в панели управления
HiJackThis профиксить
Выполните скрипт в uVSКод:O2 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file) O4 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent O4 - HKLM\..\Run: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe"
- Подготовьте лог AdwCleaner и приложите его в теме.Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c BREG zoo %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE delall %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE delall %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE deldir %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ zoo %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE" delall %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE" deldir %SystemDrive%\PROGRAMDATA\TIMETASKS\ zoo %SystemDrive%\PROGRAMDATA\MWYGUVU\SOCTPO0.BAT delall %SystemDrive%\PROGRAMDATA\MFQAUB\NQGSDSHVT5.BAT zoo %SystemDrive%\PROGRAMDATA\MWYGUVU\SOCTPO0.BAT delall %SystemDrive%\PROGRAMDATA\MWYGUVU\SOCTPO0.BAT zoo %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE deldir %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\WINDOWSUPDATER\ restart
- Сделайте лог Check Browsers' LNK и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
mrak74,
прикладываю логи farbar
SQ,
Zaxar на пк установлен не был (периодически самостоятельно его удаляю, т.к. он имеет свойство устанавливаться без спроса)
пофиксить удалось лишь
O2 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
а вот:
O4 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s
O4 - HKLM\..\Run: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe"
В HiJack уже не было UFRSf3I.png
Логи AdwCleaner и Check Browsers' LNK приложены
Спасибо Вам!
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
После этих операций, сделайте новый лог FRST и приложите его к теме.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
mrak74,
в ADWcleaner появилось 3 новых отчета. На всякий случай приложил все.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [gmsd_ru_005010223] => [X] HKLM-x32\...\Run: [gmsd_ru_005010235] => [X] SearchScopes: HKU\S-1-5-21-2586808802-822946635-3322879368-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B4EFFBE1D-3234-4988-9288-6B6C7864EABE%7D&gp=789106 CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.yandex.ru/?clid=1921838","hxxp://www.yoursearching.com/?type=hp&ts=1454185256&z=104eee5370361b813b2ec5egcz1w8z1g1baw2odqee&from=free&uid=PLEXTORXPX-128M5S_P02346107576" 2016-02-12 10:13 - 2016-02-12 13:30 - 00000000 __SHD C:\Users\Все пользователи\360Quarant 2016-02-12 10:13 - 2016-02-12 13:30 - 00000000 __SHD C:\ProgramData\360Quarant 2016-02-12 10:13 - 2016-02-12 13:30 - 00000000 __SHD C:\$360Section 2016-01-31 09:04 - 2016-01-31 09:04 - 00000000 ____D C:\Users\Игорь\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 2016-01-31 09:04 - 2016-01-31 09:04 - 00000000 ____D C:\Users\Public\Documents\dmp 2016-01-31 09:04 - 2016-01-31 09:04 - 00000000 ____D C:\extensions 2016-01-31 09:00 - 2016-02-13 12:19 - 00000000 ____D C:\Program Files (x86)\360 2016-01-31 09:00 - 2016-01-31 09:00 - 00000000 _____ C:\Windows\SysWOW64\Number of results 2016-01-31 08:58 - 2016-02-17 14:17 - 00000000 ____D C:\Users\Все пользователи\MwYgUvu 2016-01-31 08:58 - 2016-02-17 14:17 - 00000000 ____D C:\ProgramData\MwYgUvu 2016-01-31 08:58 - 2016-02-17 14:16 - 00000000 ____D C:\Users\Все пользователи\mfQAUB 2016-01-31 08:58 - 2016-02-17 14:16 - 00000000 ____D C:\ProgramData\mfQAUB 2016-01-31 00:32 - 2016-01-31 00:32 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys 2016-01-30 23:32 - 2016-01-30 23:32 - 00000000 ____D C:\Users\Все пользователи\nLvMrqMkl 2016-01-30 23:32 - 2016-01-30 23:32 - 00000000 ____D C:\Users\Все пользователи\mOqBEWqFl 2016-01-30 23:32 - 2016-01-30 23:32 - 00000000 ____D C:\ProgramData\nLvMrqMkl 2016-01-30 23:32 - 2016-01-30 23:32 - 00000000 ____D C:\ProgramData\mOqBEWqFl 2015-12-29 20:59 - 2015-12-29 20:59 - 00000000 ____H C:\Users\Все пользователи\DP45977C.lfl 2015-12-29 20:59 - 2015-12-29 20:59 - 00000000 ____H C:\ProgramData\DP45977C.lfl 2016-01-14 15:19 - 2016-02-17 14:19 - 00000000 ____D C:\Users\Все пользователи\UpService 2016-01-14 15:19 - 2016-02-17 14:19 - 00000000 ____D C:\ProgramData\UpService 2016-01-14 15:19 - 2016-01-14 15:19 - 00000000 ____D C:\Users\Игорь\AppData\Roaming\SPI 2016-01-14 15:19 - 2016-01-14 15:19 - 00000000 ____D C:\Users\Игорь\AppData\Roaming\Browsers EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Антон Первицкий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.