Здравствуйте, с недавнего времени на ноутбуке сами устанавливаются программы, открываются непрошенные окна. Нахваталась куча всего. Прошу вас помочь вылечить компьютер. Все лог-файлы сделал по инструкции.
Printable View
Здравствуйте, с недавнего времени на ноутбуке сами устанавливаются программы, открываются непрошенные окна. Нахваталась куча всего. Прошу вас помочь вылечить компьютер. Все лог-файлы сделал по инструкции.
Уважаемый(ая) [B]Dm1[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
С радостью поддержал проект, ушло через paypal.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\hnsy1843.tmp');
TerminateProcessByName('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\jnsaea5b.tmp');
TerminateProcessByName('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\knskefff.tmp');
TerminateProcessByName('c:\users\user\appdata\local\42fe4f80-1447164918-141c-8111-470c3da49e2c\snsv4c79.tmp');
StopService('gilefywi');
StopService('guqilome');
StopService('higumefe');
StopService('kiqidetu');
QuarantineFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\hnsy1843.tmp', '');
QuarantineFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\jnsaea5b.tmp', '');
QuarantineFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\knskefff.tmp', '');
QuarantineFile('c:\users\user\appdata\local\42fe4f80-1447164918-141c-8111-470c3da49e2c\snsv4c79.tmp', '');
QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat', '');
QuarantineFile('C:\ProgramData\aneamnvmzau\UjD5.bat', '');
QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.resworb.bat', '');
QuarantineFile('C:\Users\User\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
QuarantineFile('C:\Users\User\AppData\Roaming\91bgyKgmjqRSpMvPpjvsoAzF.exe', '');
QuarantineFile('C:\WINDOWS\svchost.exe', '');
DeleteFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\hnsy1843.tmp', '32');
DeleteFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\jnsaea5b.tmp', '32');
DeleteFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\knskefff.tmp', '32');
DeleteFile('c:\users\user\appdata\local\42fe4f80-1447164918-141c-8111-470c3da49e2c\snsv4c79.tmp', '32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys', '32');
DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
DeleteFile('C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
DeleteFile('C:\Users\User\AppData\Roaming\91bgyKgmjqRSpMvPpjvsoAzF.exe', '32');
DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '32');
DeleteFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe', '32');
DeleteService('gilefywi');
DeleteService('guqilome');
DeleteService('higumefe');
DeleteService('kiqidetu');
DeleteService('QMUdisk');
DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
DeleteFileMask('C:\Users\User\AppData\Local\SmartWeb', '*', true);
DeleteFileMask('C:\Users\User\AppData\Local\Mail.Ru', '*', true);
DeleteFileMask('C:\Program Files (x86)\globalUpdate', '*', true);
DeleteFileMask('C:\Program Files (x86)\SwiftSearch_1.10.0.25', '*', true);
DeleteDirectory('C:\Program Files (x86)\Tencent');
DeleteDirectory('C:\Program Files (x86)\Zaxar');
DeleteDirectory('C:\Users\User\AppData\Local\SmartWeb');
DeleteDirectory('C:\Users\User\AppData\Local\Mail.Ru');
DeleteDirectory('C:\Program Files (x86)\globalUpdate');
DeleteDirectory('C:\Program Files (x86)\SwiftSearch_1.10.0.25');
DelBHO('{b90183ad-1cf4-4d7b-9461-b89083957547}');
DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
ExecuteFile('schtasks.exe', '/delete /TN "91bgyKgmjqRSpMvPpjvsoAzF" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Core" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Pending Update" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
ExecuteSysClean;
ExecuteRepair(23);
ExecuteRepair(4);
ExecuteRepair(3);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL].
- virusinfo_syscheck.zip
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
выполнена
Выполните скрипт в AVZ:[CODE]begin
DeleteFile('C:\WINDOWS\svchost.exe','32');
ExecuteSysClean;
end.[/CODE]
Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B] (Scan), по окончании сканирования [B]если есть почта на Mail.Ru и/или используете программы от этого портала[/B] уберите галочки на вкладках [B]Папки[/B] (Folders), [B]Реестр[/B] (Registry) и вкладках браузеров со всех пунктов, где упоминаются Mail.Ru.
В пункте меню "Настройки" (Settings) [B]уберите[/B] галочку "Сброс настроек Winsoсk" и [B][COLOR="#FF0000"]установите[/COLOR][/B] галочку "Сброс политик Chrome".
Затем нажмите [B]Очистка[/B] ([B]Cleaning[/B]) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.
Готово...
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Отчет прикрепил. Проверил интернет, скайп, все отлично работает. Лишних программ не появляется. Благодарю вас!
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM\...\Run: [SpaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
HKLM-x32\...\Run: [InstallUpdate] => 0
HKU\S-1-5-21-1044145726-693272282-3404711166-1002\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2Ynwaj2M8Hlaqve6vrGm4YMvqZVfZDkYDy3BGydq69Z_RwWg_khRNmmOGYovhuWdcW9Z_1Z4KXa-D4BYXr0jYPNopJWpgxA9lgrmT-4EXmDZJW5CcfxJDYsO_bp494SbC_WB_BgW5LBRp4I&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-1044145726-693272282-3404711166-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1044145726-693272282-3404711166-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1044145726-693272282-3404711166-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id={EE6A16B4-926A-40B5-B290-951329C4B016}&gp=openpart2
FF NewTab: C:\ProgramData\Zitenops\ff.NT
FF Homepage: C:\ProgramData\Zitenops\ff.HP
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id={AF9C57B9-CD15-4D36-A0E2-C0FECEFB9543}&gp=openpart2
FF Extension: Домашняя страница Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-11-06]
FF Extension: Поиск@Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-11-06]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!14CCB3533BF8EBC788F59EF5797C20D714CC.js [2015-11-10]
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Quick Searcher) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2015-07-07]
OPR Extension: (Quick Searcher) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dbepggeogbaibhgnhhndojpepiihcmeb [2015-11-06]
2015-11-10 17:13 - 2015-11-20 22:00 - 00000000 ____D C:\ProgramData\aneamnvmzau
2015-11-10 17:13 - 2015-11-10 17:13 - 00000000 ____D C:\Users\Все пользователи\MyLzluscyVL
2015-11-10 16:52 - 2015-11-10 20:12 - 00000004 _____ C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-11-10 16:46 - 2015-11-10 20:46 - 00000098 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-10 14:13 - 2015-11-06 14:24 - 00000928 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-11-06 13:31 - 2015-11-06 13:31 - 01625824 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\WINDOWS\libeay32.dll
2015-11-06 13:31 - 2015-11-06 13:31 - 00608117 _____ C:\WINDOWS\libcurl-4.dll
2015-11-06 13:31 - 2015-11-06 13:31 - 00073216 _____ C:\WINDOWS\taskmgr.exe
2015-11-06 13:31 - 2015-11-06 13:31 - 00054784 _____ (MingW-W64 Project. All rights reserved.) C:\WINDOWS\libwinpthread-1.dll
2015-11-06 13:31 - 2015-11-06 13:31 - 00000000 ___SD C:\WINDOWS\Sys
2015-11-06 13:31 - 2015-11-06 13:31 - 00000000 ___SD C:\WINDOWS\PLAG
2015-11-06 13:31 - 2015-11-06 13:31 - 00000000 ____D C:\WINDOWS\Azart
2015-11-06 13:30 - 2015-11-20 22:00 - 00000000 ____D C:\Users\User\AppData\Roaming\WindowsUpdater
2014-07-03 22:13 - 2014-07-03 22:13 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-04-14 19:28 - 2015-04-14 19:28 - 0001171 _____ () C:\Users\User\AppData\Roaming\91bgyKgmjqRSpMvPpjvsoAzF
2015-07-16 16:47 - 2015-07-16 16:47 - 0005005 _____ () C:\ProgramData\wmzddnmb.cix
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\globalupdate Helper" /f /reg:32
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SwiftSearch_1.10.0.25" /f /reg:32
Task: {823CC96B-D95A-4458-87C4-B275CA0ACACB} - \Image Follow -> No File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\40451096.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76519234.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\E9A68D64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\E9A68D646.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\40451096.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76519234.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\E9A68D64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\E9A68D646.sys => ""="Driver"
FirewallRules: [{78F8D535-849A-4C87-BCD6-5A84ABFE0CCD}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{1927D0B1-6AF4-4087-8107-0BA7B0EBE689}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Спасибо, сделал. Файл прилагается.
Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]