Пуск и большинство кнопок панели задач не работает. Cureit нашёл несколько вирусов и удалил, больше не находит.
Пуск и большинство кнопок панели задач не работает. Cureit нашёл несколько вирусов и удалил, больше не находит.
Уважаемый(ая) lTitanl, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\user\appdata\roaming\privoxy\privoxy.exe'); StopService('privoxy'); QuarantineFile('c:\users\user\appdata\roaming\privoxy\privoxy.exe', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', ''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\plugins\FileSmash\QMSoftExt.dll', ''); QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', ''); QuarantineFile('C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll', ''); QuarantineFile('C:\Users\User\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', ''); QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', ''); QuarantineFile('C:\Users\User\AppData\Local\Hostinstaller\1994712120_monster.exe', ''); QuarantineFile('C:\Users\User\AppData\Local\SystemMonitor2016\1994712120.exe', ''); QuarantineFile('C:\Users\User\AppData\Roaming\WindowsUpdater\Updater.exe', ''); QuarantineFile('C:\Users\User\AppData\Roaming\mystartsearch\UninstallManager.exe', ''); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job', '64'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job', '64'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job', '64'); DeleteFile('c:\users\user\appdata\roaming\privoxy\privoxy.exe', '32'); DeleteFile('C:\Users\User\AppData\Roaming\privoxy\mgwz.dll', '32'); DeleteFile('C:\Program Files (x86)\620476D0-1453566791-81F5-25F8-7824AF053546\knsl8C7D.tmp', '32'); DeleteFile('C:\Program Files (x86)\620476D0-1453566791-81F5-25F8-7824AF053546\hnseC910.tmp', '32'); DeleteFile('C:\Program Files (x86)\620476D0-1453566791-81F5-25F8-7824AF053546\jnseAF0E.tmp', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\plugins\FileSmash\QMSoftExt.dll', '32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32'); DeleteFile('C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe', '32'); DeleteFile('C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll', '32'); DeleteFile('C:\Users\User\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32'); DeleteFile('C:\Users\User\AppData\Local\Hostinstaller\1994712120_monster.exe', '32'); DeleteFile('C:\Users\User\AppData\Local\SystemMonitor2016\1994712120.exe', '32'); DeleteFile('C:\Users\User\AppData\Roaming\WindowsUpdater\Updater.exe', '32'); DeleteFile('C:\Users\User\AppData\Roaming\mystartsearch\UninstallManager.exe', '32'); DeleteFile('C:\WINDOWS\Tasks\ghokswaBrowserUpdateCore.job', '32'); DeleteService('privoxy'); DeleteService('tewopyzozbt'); DeleteService('wucotusy'); DeleteService('zutuzuni'); DeleteFileMask('c:\users\user\appdata\roaming\privoxy', '*', true); DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true); DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true); DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true); DeleteFileMask('C:\Users\User\AppData\Local\SmartWeb', '*', true); DeleteFileMask('C:\Program Files (x86)\Common Files\Tencent', '*', true); DeleteFileMask('C:\Users\User\AppData\Local\Mail.Ru', '*', true); DeleteFileMask('C:\Program Files (x86)\AnyProtectEx', '*', true); DeleteFileMask('C:\Users\User\AppData\Local\Hostinstaller', '*', true); DeleteFileMask('C:\Users\User\AppData\Roaming\WindowsUpdater', '*', true); DeleteFileMask('C:\Users\User\AppData\Roaming\mystartsearch', '*', true); DeleteDirectory('c:\users\user\appdata\roaming\privoxy'); DeleteDirectory('C:\Program Files (x86)\Zaxar'); DeleteDirectory('C:\Program Files (x86)\Tencent'); DeleteDirectory('C:\Program Files\SpaceSoundPro'); DeleteDirectory('C:\Users\User\AppData\Local\SmartWeb'); DeleteDirectory('C:\Program Files (x86)\Common Files\Tencent'); DeleteDirectory('C:\Users\User\AppData\Local\Mail.Ru'); DeleteDirectory('C:\Program Files (x86)\AnyProtectEx'); DeleteDirectory('C:\Users\User\AppData\Local\Hostinstaller'); DeleteDirectory('C:\Users\User\AppData\Roaming\WindowsUpdater'); DeleteDirectory('C:\Users\User\AppData\Roaming\mystartsearch'); DelBHO('{50F4150A-48B2-417A-BE4C-C83F580FB904}'); DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}'); DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}'); ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{5D64E66F-6503-40FA-BD5E-612C823E4FE3}" /F', 0, 15000, true); DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{754DF2CE-51E8-4895-B53C-6381418B84AE}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
Готово
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
WBR,
Vadim
готово
Что с проблемами?
WBR,
Vadim
ничего не изменилось, при нажатии на пуск появился индикатор на курсоре как-будто что-то загружается, но ничего не произошло. сейчас при обновлении форума сначала пишет что нет доступа к сайту "http://virusinfo.info/" потом переходит на страницу форума. Больше нет изменений на первый взгляд
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
готово
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: HKLM-x32\...\Run: [gmsd_ru_005010018] => [X] HKLM-x32\...\Run: [gmsd_ru_005010216] => [X] HKLM-x32\...\Run: [rec_en_77] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Restriction - Chrome <======= ATTENTION FF Extension: Домашняя страница Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\tne342d1.default\Extensions\[email protected] [2016-02-28] FF Extension: Поиск@Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\tne342d1.default\Extensions\[email protected] [2016-02-28] CHR HKLM\...\Chrome\Extension: [fcimjkehglmijlhnpbmjbpoiamjiegod] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx 2015-12-05 12:43 - 2015-12-05 12:43 - 0000064 ____H () C:\Program Files\JVM.log 2015-12-13 12:26 - 2015-12-13 12:26 - 0005120 _____ () C:\Users\User\AppData\Roaming\GiftBag.db 2014-08-26 04:24 - 2016-03-07 15:15 - 0000074 _____ () C:\Users\User\AppData\Roaming\sp_data.sys 2015-07-01 16:44 - 2015-07-01 16:44 - 0613255 _____ (CMI Limited) C:\Users\User\AppData\Local\nsjA4E6.tmp FirewallRules: [{234410C3-6702-451D-9511-B4AEF4F33BDB}] => (Allow) C:\Torrentex\Torrentex.exe FirewallRules: [{3ADA4A59-9E47-4C6D-93D5-B5E98442A290}] => (Allow) C:\Torrentex\Torrentex.exe EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Система с нуля установлена, или через обновление?
Когда проблема возникла?
WBR,
Vadim
Обновление с 8ки.
Проблема возникла месяц назад. Ребёнок накачал различных игр, а с ними все проблемы. Обычно справлялся с этим удалением всего что установлено через установку удаление программ и чистку папок куда всё это ставится. А с этой проблемой справиться не смог.
Думаю, не в вирусах тут дело, видел подобное при некорректном обновлении системы.
Есть точка восстановления от 08-02-2016 - сделайте откат системы не неё, если повезёт, и проблема с кнопкой "Пуск" исчезнет - остальное поправим.
WBR,
Vadim
Самая ранняя точка 19.02. Придётся переливать систему по-видимому. Спасибо за помощь.
Что теперь сразу 10-ку с нуля легально можете установить, в курсе, надеюсь?
Выполните рекомендации после лечения.
WBR,
Vadim
Да, знаю. спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\users\user\appdata\local\hostinstaller\19947121 20_monster.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen
- c:\users\user\appdata\local\systemmonitor2016\1994 712120.exe - not-a-virus:RiskTool.Win32.SystemTweaker.ad
Уважаемый(ая) lTitanl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.