Проверял всеми антивирусами. После перезагрузки даже приложение adguard удаляется.
Проверял всеми антивирусами. После перезагрузки даже приложение adguard удаляется.
Уважаемый(ая) xgreedx, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Поможете?
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\60464817C37B64ABD185FCE5F2845041\6BB79D8F04E745C103C0F8C74BBEDDD4.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{521ED1FA-1697-4481-A04E-F722E28273D4}.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{5F8AB3EC-9B98-47C8-888A-2F846B0E0266}.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{9EF6B2B6-B3A3-4BF2-B55A-7F34A6A5752B}.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{B6C2B8F0-94AB-4CC1-A68A-DF03951E2ACB}.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{D6C51205-2590-432D-BD70-4CD1FBE57EE3}.exe', ''); DeleteFile('C:\Users\Администратор\AppData\Local\Microsoft\60464817C37B64ABD185FCE5F2845041\6BB79D8F04E745C103C0F8C74BBEDDD4.exe', '32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Mail.Ru\Agent\magent.exe', '32'); DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{521ED1FA-1697-4481-A04E-F722E28273D4}.exe', '32'); DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{5F8AB3EC-9B98-47C8-888A-2F846B0E0266}.exe', '32'); DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{9EF6B2B6-B3A3-4BF2-B55A-7F34A6A5752B}.exe', '32'); DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{B6C2B8F0-94AB-4CC1-A68A-DF03951E2ACB}.exe', '32'); DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{D6C51205-2590-432D-BD70-4CD1FBE57EE3}.exe', '32'); DeleteFileMask('c:\program files (x86)\common files\java\java update', '*', true); DeleteFileMask('c:\programdata\microsoft\adobe', '*', true); DeleteFileMask('c:\users\администратор\appdata\local\microsoft\60464817c37b64abd185fce5f2845041', '*', false); DeleteFileMask('c:\users\администратор\appdata\roaming\mail.ru', '*', true); DeleteFileMask('c:\program files (x86)\common files\appdownloads', '*', true); DeleteDirectory('c:\program files (x86)\common files\java\java update'); DeleteDirectory('c:\programdata\microsoft\adobe'); DeleteDirectory('c:\users\администратор\appdata\local\microsoft\60464817c37b64abd185fce5f2845041'); DeleteDirectory('c:\users\администратор\appdata\roaming\mail.ru'); DeleteDirectory('c:\program files (x86)\common files\appdownloads'); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\BEDDD4B47C8F0C301C547E40F86BB79D" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\BEDDD4B47C8F0C301C547E40F86BB79DSB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Adobe Shockwave Player" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\BEDDD4B47C8F0C301C547E40F86BB79D" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\BEDDD4B47C8F0C301C547E40F86BB79DSB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{521ED1FA-1697-4481-A04E-F722E28273D4}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{5F8AB3EC-9B98-47C8-888A-2F846B0E0266}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{9EF6B2B6-B3A3-4BF2-B55A-7F34A6A5752B}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{B6C2B8F0-94AB-4CC1-A68A-DF03951E2ACB}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{D6C51205-2590-432D-BD70-4CD1FBE57EE3}" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'SunJavaUpdateSched'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'Adobe Shockwave Player'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'BEDDD4B47C8F0C301C547E40F86BB79DSB'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
сделано
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-3352839906-880203577-520878558-500\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Backup default\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-10-10] CHR Extension: (MarketBoy) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Backup default\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-10-13] CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-10-10] CHR Extension: (MarketBoy) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-10-13] CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-10-10] CHR Extension: (MarketBoy) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-10-13] CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib OPR Extension: (MarketBoy) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-10-13] 2016-09-30 18:48 - 2016-09-30 18:48 - 0000124 ___SH () C:\Program Files (x86)\Common Files\SBEXTS 2015-04-20 14:26 - 2015-06-16 11:39 - 0000000 _____ () C:\Users\Администратор\AppData\Roaming\smw_inst Task: {02341C2B-6646-4A66-AF07-DF2C56C7DCDE} - \Safebrowser -> No File <==== ATTENTION EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Эдгуард после перезагрузки остался. Только заметил еще одну проблему. При запуске браузера постоянно открывается вот эта страница "http://searchstart.ru/?utm_source=extension&utm_medium=ext"
Новый лог FRST сделайте.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\администратор\appdata\local\microsoft\604 64817c37b64abd185fce5f2845041\6bb79d8f04e745c103c0 f8c74bbeddd4.exe - not-a-virus:AdWare.Win32.Agent.kcwh
Уважаемый(ая) xgreedx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.