Непонятные программы, плагины, расширения, дополнения, драйвера, много мусора, всплывающие окна, самостоятельно открывается и закрывается браузер, не знаю,что делать помогите.
Непонятные программы, плагины, расширения, дополнения, драйвера, много мусора, всплывающие окна, самостоятельно открывается и закрывается браузер, не знаю,что делать помогите.
Уважаемый(ая) Hatka, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\2bd63ff2-1457354865-67a7-cd5f-74d02b1d4cba\knsi51b2.tmp'); TerminateProcessByName('c:\program files (x86)\2bd63ff2-1457354865-67a7-cd5f-74d02b1d4cba\knsia390.tmp'); TerminateProcessByName('c:\program files (x86)\2bd63ff2-1457354865-67a7-cd5f-74d02b1d4cba\knspc3c1.tmp'); TerminateProcessByName('c:\program files (x86)\2bd63ff2-1457354865-67a7-cd5f-74d02b1d4cba\knsr6929.tmp'); TerminateProcessByName('c:\program files (x86)\2bd63ff2-1457354865-67a7-cd5f-74d02b1d4cba\knst7c3b.tmp'); TerminateProcessByName('c:\users\user\appdata\local\temp\37025\mailruhomesearch.exe'); TerminateProcessByName('c:\programdata\uwdmu\wdman.exe'); StopService('mehumohizbt'); StopService('noxigupozbt'); StopService('nyqiwefizbt'); StopService('pohygibuzbt'); StopService('QMUdisk'); StopService('secygysyzbt'); StopService('tsnethlpx64'); StopService('WdMan'); DeleteService('mehumohizbt'); DeleteService('noxigupozbt'); DeleteService('nyqiwefizbt'); DeleteService('pohygibuzbt'); DeleteService('QMUdisk'); DeleteService('secygysyzbt'); DeleteService('tsnethlpx64'); DeleteService('WdMan'); QuarantineFile('C:\Program Files (x86)\2BD63FF2-1457354865-67A7-CD5F-74D02B1D4CBA\knsi51B2.tmp',''); QuarantineFile('C:\Program Files (x86)\2BD63FF2-1457354865-67A7-CD5F-74D02B1D4CBA\knsiA390.tmp',''); QuarantineFile('C:\Program Files (x86)\2BD63FF2-1457354865-67A7-CD5F-74D02B1D4CBA\knspC3C1.tmp',''); QuarantineFile('c:\program files (x86)\2bd63ff2-1457354865-67a7-cd5f-74d02b1d4cba\knsr6929.tmp',''); QuarantineFile('c:\program files (x86)\2bd63ff2-1457354865-67a7-cd5f-74d02b1d4cba\knst7c3b.tmp',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMUdisk64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\TsNetHlpX64.sys',''); QuarantineFile('c:\programdata\uwdmu\wdman.exe',''); QuarantineFile('C:\Users\user\AppData\Local\Hostinstaller\1278420557_monster.exe',''); QuarantineFile('c:\users\user\appdata\local\temp\37025\mailruhomesearch.exe',''); QuarantineFile('C:\Users\user\AppData\Local\Temp\supermegabest\run_setup.bat',''); QuarantineFile('C:\Users\user\appdata\roaming\aspackage\uninstall.exe',''); QuarantineFile('C:\Users\user\ReportSender\ReportSender.exe',''); QuarantineFile('C:\WINDOWS\GJFix\QQRepair1bb9',''); QuarantineFile('C:\WINDOWS\GJFix\SRepairDrv',''); QuarantineFile('e:\origin\origin.exe',''); QuarantineFile('Windows.sys',''); DeleteFile('C:\Program Files (x86)\2BD63FF2-1457354865-67A7-CD5F-74D02B1D4CBA\knsi51B2.tmp','32'); DeleteFile('C:\Program Files (x86)\2BD63FF2-1457354865-67A7-CD5F-74D02B1D4CBA\knsiA390.tmp','32'); DeleteFile('C:\Program Files (x86)\2BD63FF2-1457354865-67A7-CD5F-74D02B1D4CBA\knspC3C1.tmp','32'); DeleteFile('C:\Program Files (x86)\2BD63FF2-1457354865-67A7-CD5F-74D02B1D4CBA\knsr6929.tmp','32'); DeleteFile('C:\Program Files (x86)\2BD63FF2-1457354865-67A7-CD5F-74D02B1D4CBA\knst7C3B.tmp','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\TsNetHlpX64.sys','32'); DeleteFile('C:\ProgramData\UWdMU\WdMan.exe','32'); DeleteFile('C:\Users\user\AppData\Local\Hostinstaller\1278420557_monster.exe','32'); DeleteFile('C:\Users\user\AppData\Local\Temp\supermegabest\run_setup.bat','32'); DeleteFile('C:\Users\user\appdata\roaming\aspackage\uninstall.exe','32'); DeleteFile('C:\Users\user\ReportSender\ReportSender.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Multimedia\ReportSender','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrent'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','supermegabest'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
AdwCleaner логи
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Отчет об удалении
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
FRST64 отчет
Сами устанавливали следующие настройки?
Знакома следующая служба?Код:HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-2847569112-3553101951-4202933059-1001\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-2847569112-3553101951-4202933059-1001\...\Policies\Explorer: [HideSCAHealth] 1
Код:S2 QQRepair1bb9; "C:\WINDOWS\GJFix\QQRepair1bb9" [X]
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [win_en_77] => [X] HKLM-x32\...\Run: [sun3] => [X] HKLM-x32\...\Run: [mpck_en_005030266] => [X] HKLM\...\Winlogon: [Userinit] wscript C:\WINDOWS\run.vbs, HKLM-x32\...\Winlogon: [Userinit] wscript C:\WINDOWS\run.vbs, [X] HKU\S-1-5-21-2847569112-3553101951-4202933059-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-2847569112-3553101951-4202933059-1001 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = hxxp://superru.net/?q={searchTerms}&utm_medium=ise&utm_source=sk&utm_campaign=bp&utm_content=11-06 SearchScopes: HKU\S-1-5-21-2847569112-3553101951-4202933059-1001 -> {8A0349E9-5932-C082-03A2-591DDE006DBACE7} URL = hxxp://superru.net/?text={searchTerms}&utm_medium=ise&utm_source=sk&utm_campaign=bp&utm_content=11-06 BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-2847569112-3553101951-4202933059-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-2847569112-3553101951-4202933059-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Plugin-x32: @qq.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [No File] FF Plugin-x32: @real.com/nppl3260;version=6.0.11.2321 -> E:\Downloads\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll [No File] FF Plugin-x32: @real.com/nprpjplug;version=6.0.12.1483 -> E:\Downloads\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll [No File] FF Plugin HKU\S-1-5-21-2847569112-3553101951-4202933059-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [No File] FF Extension: GsearchFinder - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-03-01] CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx Folder: C:\Users\Маргарита\AppData\Local\SunnyDay21 Folder: C:\Users\Маргарита\AppData\Local\app 2016-03-09 21:25 - 2016-03-09 21:25 - 00000000 ____D C:\Users\Все пользователи\zWaiIh 2016-03-09 21:25 - 2016-03-09 21:25 - 00000000 ____D C:\Users\Все пользователи\hcnpnVJtE 2016-03-09 21:25 - 2016-03-09 21:25 - 00000000 ____D C:\Users\Все пользователи\BXaNET 2016-03-09 21:25 - 2016-03-09 21:25 - 00000000 ____D C:\ProgramData\zWaiIh 2016-03-09 21:25 - 2016-03-09 21:25 - 00000000 ____D C:\ProgramData\hcnpnVJtE 2016-03-09 21:25 - 2016-03-09 21:25 - 00000000 ____D C:\ProgramData\BXaNET 2016-03-07 22:47 - 2016-03-07 22:47 - 00000000 ____D C:\Users\user\AppData\Roaming\ProductData 2016-03-07 22:46 - 2016-03-15 14:35 - 00000000 ____D C:\Users\Все пользователи\ProductData 2016-03-07 22:46 - 2016-03-15 14:35 - 00000000 ____D C:\ProgramData\ProductData 2016-03-07 22:46 - 2016-03-07 22:46 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2016-03-07 22:45 - 2016-03-14 19:59 - 00000000 ____D C:\Users\user\AppData\Local\Hostinstaller Folder: C:\Users\user\AppData\Roaming\CenterPicture 2016-03-06 20:51 - 2016-03-06 20:51 - 00078624 _____ C:\Users\user\AppData\Roaming\657762.exe 2016-03-06 11:09 - 2016-03-06 11:39 - 00000000 ____D C:\Users\Маргарита\AppData\Roaming\Tencent 2016-03-06 11:09 - 2016-03-06 11:09 - 00078624 _____ C:\Users\Маргарита\AppData\Roaming\635766.exe 2016-03-05 21:37 - 2016-03-13 21:37 - 00000000 ____D C:\Users\user\ReportSender 2016-03-05 21:37 - 2016-03-12 22:52 - 00000000 ____D C:\Users\user\AppData\LocalLow\Unity 2016-03-05 21:37 - 2016-03-12 22:52 - 00000000 ____D C:\Users\user\AppData\Local\Unity Folder: C:\Users\user\AppData\Local\promoskidki 2016-03-05 21:37 - 2016-03-05 21:37 - 00073216 _____ C:\WINDOWS\taskmgr.exe 2016-03-05 21:37 - 2016-03-05 21:37 - 00000749 _____ C:\WINDOWS\OpenCL.dle 2016-03-05 21:37 - 2016-03-05 21:37 - 00000000 ____D C:\WINDOWS\Azart 2016-03-06 20:51 - 2016-03-06 20:51 - 0078624 _____ () C:\Users\user\AppData\Roaming\657762.exe Task: {119A11AC-6866-4CAC-BE62-AD1D8C4C2580} - \Microsoft\Windows\Windows Activation Technologies\WatTask -> No File <==== ATTENTION Task: {42A66B30-22C2-4717-B372-B895DBFB6000} - \Microsoft\Windows\Multimedia\ReportSender -> No File <==== ATTENTION Task: {91099AF1-37DC-4276-A942-0464C09E085C} - \Windows Update Check - 0x0E7302EC -> No File <==== ATTENTION AlternateDataStreams: C:\Users\user\Local Settings:wa [178] AlternateDataStreams: C:\Users\user\AppData\Local:wa [178] AlternateDataStreams: C:\Users\user\AppData\Local\Application Data:wa [178] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\QQPCTray] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\SpaceSoundPro] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\sun21] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\sun3] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\Timestasks] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\ZaxarGameBrowser] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\ZaxarLoader] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\usun.exe] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\win_en_77] Reg: reg delete "HKU\S-1-5-21-2847569112-3553101951-4202933059-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\Report" /f EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
затрудняюсь ответить, данная служба мне не знакома, да и настроек вроде бы таких не делал, по крайней мере осознанно.
А это знакомо?
Что с проблемой?2016-03-07 22:45 - 2016-03-07 22:45 - 5021380 _____ () C:\Users\user\AppData\Roaming\CenterPicture\Center Picture.exe
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Это тоже не знакомо, с проблемой стало гораздо легче, но в браузере еще выскакивает добавлено новое расширение ,
Протестировал компьютер, пока что проблем больше нет, единственное еще что хотел у вас узнать, каким антивирусом лучше пользоваться, у меня стоит аваст.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: CHR Extension: (Center picture) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\hnolaplfoobcmgfmjphkmbjolinelpkb [2016-03-07] 2016-03-07 22:45 - 2016-03-07 22:45 - 00000000 ____D C:\Users\user\AppData\Roaming\CenterPicture Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635)
Вообще рекомендуею использовать продукт от Kaspersky Lab, а так можете остановиться на текущем антивирусном ПО по Вашему желанию.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Fixlog
Что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Проблема вроде бы решена , пока что ничего не выскакивает , вам спасибо огромное, думал придется переустанавливать windows
1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.
2. Запустите DelFix.
Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run.
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)
6. Прикрепите этот отчет в вашей теме.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Delfix
Уважаемый(ая) Hatka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.