Показано с 1 по 17 из 17.

Вирус заблокировал пуск в Windows 10 [not-a-virus:RiskTool.Win32.SystemTweaker.ad, not-a-virus:HEUR:Downloader.Win32.AdLoad.gen ] (заявка № 197924)

  1. #1
    Junior Member Репутация
    Регистрация
    06.03.2016
    Сообщений
    8
    Вес репутации
    3

    Вирус заблокировал пуск в Windows 10 [not-a-virus:RiskTool.Win32.SystemTweaker.ad, not-a-virus:HEUR:Downloader.Win32.AdLoad.gen ]

    Пуск и большинство кнопок панели задач не работает. Cureit нашёл несколько вирусов и удалил, больше не находит.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    327
    Уважаемый(ая) lTitanl, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,829
    Вес репутации
    780
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\users\user\appdata\roaming\privoxy\privoxy.exe');
     StopService('privoxy');
     QuarantineFile('c:\users\user\appdata\roaming\privoxy\privoxy.exe', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
     QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
     QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\plugins\FileSmash\QMSoftExt.dll', '');
     QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
     QuarantineFile('C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
     QuarantineFile('C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll', '');
     QuarantineFile('C:\Users\User\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
     QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '');
     QuarantineFile('C:\Users\User\AppData\Local\Hostinstaller\1994712120_monster.exe', '');
     QuarantineFile('C:\Users\User\AppData\Local\SystemMonitor2016\1994712120.exe', '');
     QuarantineFile('C:\Users\User\AppData\Roaming\WindowsUpdater\Updater.exe', '');
     QuarantineFile('C:\Users\User\AppData\Roaming\mystartsearch\UninstallManager.exe', '');
     DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job', '64');
     DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job', '64');
     DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job', '64');
     DeleteFile('c:\users\user\appdata\roaming\privoxy\privoxy.exe', '32');
     DeleteFile('C:\Users\User\AppData\Roaming\privoxy\mgwz.dll', '32');
     DeleteFile('C:\Program Files (x86)\620476D0-1453566791-81F5-25F8-7824AF053546\knsl8C7D.tmp', '32');
     DeleteFile('C:\Program Files (x86)\620476D0-1453566791-81F5-25F8-7824AF053546\hnseC910.tmp', '32');
     DeleteFile('C:\Program Files (x86)\620476D0-1453566791-81F5-25F8-7824AF053546\jnseAF0E.tmp', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
     DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
     DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\plugins\FileSmash\QMSoftExt.dll', '32');
     DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
     DeleteFile('C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
     DeleteFile('C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll', '32');
     DeleteFile('C:\Users\User\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
     DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32');
     DeleteFile('C:\Users\User\AppData\Local\Hostinstaller\1994712120_monster.exe', '32');
     DeleteFile('C:\Users\User\AppData\Local\SystemMonitor2016\1994712120.exe', '32');
     DeleteFile('C:\Users\User\AppData\Roaming\WindowsUpdater\Updater.exe', '32');
     DeleteFile('C:\Users\User\AppData\Roaming\mystartsearch\UninstallManager.exe', '32');
     DeleteFile('C:\WINDOWS\Tasks\ghokswaBrowserUpdateCore.job', '32');
     DeleteService('privoxy');
     DeleteService('tewopyzozbt');
     DeleteService('wucotusy');
     DeleteService('zutuzuni');
     DeleteFileMask('c:\users\user\appdata\roaming\privoxy', '*', true);
     DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
     DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
     DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
     DeleteFileMask('C:\Users\User\AppData\Local\SmartWeb', '*', true);
     DeleteFileMask('C:\Program Files (x86)\Common Files\Tencent', '*', true);
     DeleteFileMask('C:\Users\User\AppData\Local\Mail.Ru', '*', true);
     DeleteFileMask('C:\Program Files (x86)\AnyProtectEx', '*', true);
     DeleteFileMask('C:\Users\User\AppData\Local\Hostinstaller', '*', true);
     DeleteFileMask('C:\Users\User\AppData\Roaming\WindowsUpdater', '*', true);
     DeleteFileMask('C:\Users\User\AppData\Roaming\mystartsearch', '*', true);
     DeleteDirectory('c:\users\user\appdata\roaming\privoxy');
     DeleteDirectory('C:\Program Files (x86)\Zaxar');
     DeleteDirectory('C:\Program Files (x86)\Tencent');
     DeleteDirectory('C:\Program Files\SpaceSoundPro');
     DeleteDirectory('C:\Users\User\AppData\Local\SmartWeb');
     DeleteDirectory('C:\Program Files (x86)\Common Files\Tencent');
     DeleteDirectory('C:\Users\User\AppData\Local\Mail.Ru');
     DeleteDirectory('C:\Program Files (x86)\AnyProtectEx');
     DeleteDirectory('C:\Users\User\AppData\Local\Hostinstaller');
     DeleteDirectory('C:\Users\User\AppData\Roaming\WindowsUpdater');
     DeleteDirectory('C:\Users\User\AppData\Roaming\mystartsearch');
     DelBHO('{50F4150A-48B2-417A-BE4C-C83F580FB904}');
     DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
     DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
     ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{5D64E66F-6503-40FA-BD5E-612C823E4FE3}" /F', 0, 15000, true);
     DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{754DF2CE-51E8-4895-B53C-6381418B84AE}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    06.03.2016
    Сообщений
    8
    Вес репутации
    3
    Готово
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,829
    Вес репутации
    780
    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    06.03.2016
    Сообщений
    8
    Вес репутации
    3
    готово
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,829
    Вес репутации
    780
    Что с проблемами?
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    06.03.2016
    Сообщений
    8
    Вес репутации
    3
    ничего не изменилось, при нажатии на пуск появился индикатор на курсоре как-будто что-то загружается, но ничего не произошло. сейчас при обновлении форума сначала пишет что нет доступа к сайту "http://virusinfo.info/" потом переходит на страницу форума. Больше нет изменений на первый взгляд

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,829
    Вес репутации
    780
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    06.03.2016
    Сообщений
    8
    Вес репутации
    3
    готово
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,829
    Вес репутации
    780
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM-x32\...\Run: [gmsd_ru_005010018] => [X]
    HKLM-x32\...\Run: [gmsd_ru_005010216] => [X]
    HKLM-x32\...\Run: [rec_en_77] => [X]
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    FF Extension: Домашняя страница Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\tne342d1.default\Extensions\homepage@mail.ru [2016-02-28]
    FF Extension: Поиск@Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\tne342d1.default\Extensions\search@mail.ru [2016-02-28]
    CHR HKLM\...\Chrome\Extension: [fcimjkehglmijlhnpbmjbpoiamjiegod] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
    2015-12-05 12:43 - 2015-12-05 12:43 - 0000064 ____H () C:\Program Files\JVM.log
    2015-12-13 12:26 - 2015-12-13 12:26 - 0005120 _____ () C:\Users\User\AppData\Roaming\GiftBag.db
    2014-08-26 04:24 - 2016-03-07 15:15 - 0000074 _____ () C:\Users\User\AppData\Roaming\sp_data.sys
    2015-07-01 16:44 - 2015-07-01 16:44 - 0613255 _____ (CMI Limited) C:\Users\User\AppData\Local\nsjA4E6.tmp
    FirewallRules: [{234410C3-6702-451D-9511-B4AEF4F33BDB}] => (Allow) C:\Torrentex\Torrentex.exe
    FirewallRules: [{3ADA4A59-9E47-4C6D-93D5-B5E98442A290}] => (Allow) C:\Torrentex\Torrentex.exe
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Система с нуля установлена, или через обновление?
    Когда проблема возникла?
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    06.03.2016
    Сообщений
    8
    Вес репутации
    3
    Обновление с 8ки.
    Проблема возникла месяц назад. Ребёнок накачал различных игр, а с ними все проблемы. Обычно справлялся с этим удалением всего что установлено через установку удаление программ и чистку папок куда всё это ставится. А с этой проблемой справиться не смог.
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,829
    Вес репутации
    780
    Думаю, не в вирусах тут дело, видел подобное при некорректном обновлении системы.

    Есть точка восстановления от 08-02-2016 - сделайте откат системы не неё, если повезёт, и проблема с кнопкой "Пуск" исчезнет - остальное поправим.
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    06.03.2016
    Сообщений
    8
    Вес репутации
    3
    Самая ранняя точка 19.02. Придётся переливать систему по-видимому. Спасибо за помощь.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,829
    Вес репутации
    780
    Что теперь сразу 10-ку с нуля легально можете установить, в курсе, надеюсь?

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  17. #16
    Junior Member Репутация
    Регистрация
    06.03.2016
    Сообщений
    8
    Вес репутации
    3
    Да, знаю. спасибо.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\user\appdata\local\hostinstaller\19947121 20_monster.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen
      2. c:\users\user\appdata\local\systemmonitor2016\1994 712120.exe - not-a-virus:RiskTool.Win32.SystemTweaker.ad


  • Уважаемый(ая) lTitanl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. вирус заблокировал windows xp требуют деньги
      От moscalev.sergey в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.06.2014, 23:18
    2. Ответов: 29
      Последнее сообщение: 06.10.2013, 11:33
    3. Вирус заблокировал меню Пуск.
      От lysav в разделе Помогите!
      Ответов: 31
      Последнее сообщение: 31.07.2012, 19:32
    4. Ответов: 25
      Последнее сообщение: 02.09.2010, 19:08
    5. Вчера вирус заблокировал windows
      От AlexeyK в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 09.07.2009, 23:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01260 seconds with 22 queries