Здравствуйте собственно проблема в заголовке, помогите пожалуйста.
Здравствуйте собственно проблема в заголовке, помогите пожалуйста.
Последний раз редактировалось Vvvyg; 14.07.2016 в 07:14.
Уважаемый(ая) Илья Костерев, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Уведомление
Не нужно прикреплять virusinfo_autoquarantine.zip к теме
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin QuarantineFileF('c:\programdata\microsoft\adobe\flash player\157b5975-3db1-49ce-8ddd-4c577fcd457f', '*', true, '', 0 , 0); QuarantineFile('C:\Program Files (x86)\IObit\IObit', ''); QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\157B5975-3DB1-49CE-8DDD-4C577FCD457F\4CFAA82C-D0CF-41D9-AA65-69C30983CA64.exe', ''); QuarantineFile('C:\Program Files (x86)\IObit\Driver', ''); QuarantineFile('C:\Users\xsand\AppData\Local\Microsoft\FA439F5759107EC4436B7280B0D31969\40A5008C595CC40CCC013D3482DF2FD1.exe', ''); DeleteFile('C:\WINDOWS\Tasks\Uninstaller_SkipUac_xsand.job', '64'); DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\157B5975-3DB1-49CE-8DDD-4C577FCD457F\4CFAA82C-D0CF-41D9-AA65-69C30983CA64.exe', '32'); DeleteFile('C:\Users\xsand\AppData\Local\Microsoft\FA439F5759107EC4436B7280B0D31969\40A5008C595CC40CCC013D3482DF2FD1.exe', '32'); DeleteFileMask('c:\program files (x86)\iobit', '*', true); DeleteFileMask('c:\users\xsand\appdata\local\microsoft\fa439f5759107ec4436b7280b0d31969', '*', true); DeleteDirectory('c:\program files (x86)\iobit'); DeleteDirectory('c:\users\xsand\appdata\local\microsoft\fa439f5759107ec4436b7280b0d31969'); ExecuteFile('schtasks.exe', '/delete /TN "DelayedItemsByChemtableSoftware\157B5975-3DB1-49CE-8DDD-4C577FCD457F" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (xsand)" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\DF2FD12843D310CCC04CC595C840A500" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\DF2FD12843D310CCC04CC595C840A500SB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A157B5975-3DB1-49CE-8DDD-4C577FCD457F" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\DF2FD12843D310CCC04CC595C840A500" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\DF2FD12843D310CCC04CC595C840A500SB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_xsand" /F', 0, 15000, true); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
Скрипт проделал, логи прикрепляю.
После троечки перезагрузок ublock на месте, а вот непонятное расширение хрома BoySafe всегда заново появляется. Описание "Просмотр и изменение ваших данных на посещаемых сайтах" немного напрягает, можно ли что то с ним сделать?
Заранее, большое спасибо за уже оказанную помощь!
Последний раз редактировалось Илья Костерев; 14.07.2016 в 18:41.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Прикрепляю логи.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: HKLM-x32\...\Run: [] => [X] CHR Extension: (BoySafe) - C:\Program Files (x86)\Common Files\{458739D2-800B-56C9-7438-9EFFC246672B} [2016-07-12] CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka CHR HKU\S-1-5-21-583673131-1185099439-1876126616-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-583673131-1185099439-1876126616-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gebpdbfmpedcnopofelmhndhincfkhki] - hxxps://chrome.google.com/webstore/detail/gebpdbfmpedcnopofelmhndhincfkhki CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka 2016-07-11 20:34 - 2016-07-12 06:48 - 00000000 ____D C:\Users\xsand\AppData\Local\Поиcк в Интeрнете 2016-07-12 06:35 - 2016-07-12 06:35 - 0000124 ___SH () C:\Program Files (x86)\Common Files\SBEXTS Task: {3C5095DE-89BE-4BD8-AA15-685165F5E028} - \Realtek HD Audio -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138] EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
После перезагрузки полет нормальный, ярлык chrome ругался на отсутствие какого то манифеста(где был boysafe). Создал новый - всё ок!
Лог прицепил. Большое спасибо! Таких ребят можно и поддержать рублем.
Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Илья Костерев, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.