Доброго времени суток!
AVZ НЕ делает скрипт, все делал по инструкции, система 64 битная.
[ATTACH=CONFIG]616727[/ATTACH]
Прочитав аналогичные темы, сделал отчет программой UVS "на всякий случай"
Доброго времени суток!
AVZ НЕ делает скрипт, все делал по инструкции, система 64 битная.
[ATTACH=CONFIG]616727[/ATTACH]
Прочитав аналогичные темы, сделал отчет программой UVS "на всякий случай"
Уважаемый(ая) [B]Антон Первицкий[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в uVS [URL="http://virusinfo.info/showthread.php?t=121769"]Как выполнить скрипт в uVS[/URL]
[CODE];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GOOGLE CHROME.LNK
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GOOGLE CHROME.LNK
delref %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.1_1\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
zoo %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GОOGLE СHROMЕ.LNK
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GОOGLE СHROMЕ.LNK
zoo %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GОOGLЕ СHROMЕ.LNK
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GОOGLЕ СHROMЕ.LNK
zoo %SystemDrive%\USERS\ИГОРЬ\DESKTOP\GОOGLЕ СHROMЕ.LNK
delall %SystemDrive%\USERS\ИГОРЬ\DESKTOP\GОOGLЕ СHROMЕ.LNK
zoo %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GООGLE СHRОMЕ.LNK
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GООGLE СHRОMЕ.LNK
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\INTERNET EXPLORER.LNK
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\INTЕRNЕT EXРLORЕR.LNK
zoo %SystemDrive%\PROGRAMDATA\MFQAUB\NQGSDSHVT5.BAT
delall %SystemDrive%\PROGRAMDATA\MFQAUB\NQGSDSHVT5.BAT
delref %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\PROFITSAVER\RFT_SB.EXE
zoo %SystemDrive%\PROGRAMDATA\MWYGUVU\SOCTPO0.BAT
delall %SystemDrive%\PROGRAMDATA\MWYGUVU\SOCTPO0.BAT
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\PROFITSAVER\UNINSTALL.EXE
delref %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE
delref %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE"
delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC
zoo %SystemDrive%\PROGRAMDATA\UPSERVICE\UPSERVICE.EXE
delall %SystemDrive%\PROGRAMDATA\UPSERVICE\UPSERVICE.EXE
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PROFITSAVER\PROFITSAVER.LNK
deltmp
restart[/CODE]
+
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Здравствуйте,
Удалите Zaxar через установку программ в панели управления
HiJackThis [URL="http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376"]профиксить[/URL]
[CODE]
O2 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O4 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s
O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O4 - HKLM\..\Run: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe"
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=121769"]Выполните скрипт в uVS[/URL]
[CODE];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
BREG
zoo %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\
zoo %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE"
delall %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE"
deldir %SystemDrive%\PROGRAMDATA\TIMETASKS\
zoo %SystemDrive%\PROGRAMDATA\MWYGUVU\SOCTPO0.BAT
delall %SystemDrive%\PROGRAMDATA\MFQAUB\NQGSDSHVT5.BAT
zoo %SystemDrive%\PROGRAMDATA\MWYGUVU\SOCTPO0.BAT
delall %SystemDrive%\PROGRAMDATA\MWYGUVU\SOCTPO0.BAT
zoo %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE
deldir %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\WINDOWSUPDATER\
restart[/CODE]
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
- Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL] и приложите его в теме.
[b]mrak74[/b],
прикладываю логи farbar
[b]SQ[/b],
Zaxar на пк установлен не был (периодически самостоятельно его удаляю, т.к. он имеет свойство устанавливаться без спроса)
пофиксить удалось лишь
O2 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
а вот:
O4 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s
O4 - HKLM\..\Run: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe"
В HiJack уже не было [ATTACH=CONFIG]616744[/ATTACH]
Логи AdwCleaner и Check Browsers' LNK приложены
Спасибо Вам!
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
После этих операций, сделайте новый лог FRST и приложите его к теме.
[b]mrak74[/b],
в ADWcleaner появилось 3 новых отчета. На всякий случай приложил все.
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [gmsd_ru_005010223] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010235] => [X]
SearchScopes: HKU\S-1-5-21-2586808802-822946635-3322879368-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B4EFFBE1D-3234-4988-9288-6B6C7864EABE%7D&gp=789106
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.yandex.ru/?clid=1921838","hxxp://www.yoursearching.com/?type=hp&ts=1454185256&z=104eee5370361b813b2ec5egcz1w8z1g1baw2odqee&from=free&uid=PLEXTORXPX-128M5S_P02346107576"
2016-02-12 10:13 - 2016-02-12 13:30 - 00000000 __SHD C:\Users\Все пользователи\360Quarant
2016-02-12 10:13 - 2016-02-12 13:30 - 00000000 __SHD C:\ProgramData\360Quarant
2016-02-12 10:13 - 2016-02-12 13:30 - 00000000 __SHD C:\$360Section
2016-01-31 09:04 - 2016-01-31 09:04 - 00000000 ____D C:\Users\Игорь\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
2016-01-31 09:04 - 2016-01-31 09:04 - 00000000 ____D C:\Users\Public\Documents\dmp
2016-01-31 09:04 - 2016-01-31 09:04 - 00000000 ____D C:\extensions
2016-01-31 09:00 - 2016-02-13 12:19 - 00000000 ____D C:\Program Files (x86)\360
2016-01-31 09:00 - 2016-01-31 09:00 - 00000000 _____ C:\Windows\SysWOW64\Number of results
2016-01-31 08:58 - 2016-02-17 14:17 - 00000000 ____D C:\Users\Все пользователи\MwYgUvu
2016-01-31 08:58 - 2016-02-17 14:17 - 00000000 ____D C:\ProgramData\MwYgUvu
2016-01-31 08:58 - 2016-02-17 14:16 - 00000000 ____D C:\Users\Все пользователи\mfQAUB
2016-01-31 08:58 - 2016-02-17 14:16 - 00000000 ____D C:\ProgramData\mfQAUB
2016-01-31 00:32 - 2016-01-31 00:32 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
2016-01-30 23:32 - 2016-01-30 23:32 - 00000000 ____D C:\Users\Все пользователи\nLvMrqMkl
2016-01-30 23:32 - 2016-01-30 23:32 - 00000000 ____D C:\Users\Все пользователи\mOqBEWqFl
2016-01-30 23:32 - 2016-01-30 23:32 - 00000000 ____D C:\ProgramData\nLvMrqMkl
2016-01-30 23:32 - 2016-01-30 23:32 - 00000000 ____D C:\ProgramData\mOqBEWqFl
2015-12-29 20:59 - 2015-12-29 20:59 - 00000000 ____H C:\Users\Все пользователи\DP45977C.lfl
2015-12-29 20:59 - 2015-12-29 20:59 - 00000000 ____H C:\ProgramData\DP45977C.lfl
2016-01-14 15:19 - 2016-02-17 14:19 - 00000000 ____D C:\Users\Все пользователи\UpService
2016-01-14 15:19 - 2016-02-17 14:19 - 00000000 ____D C:\ProgramData\UpService
2016-01-14 15:19 - 2016-01-14 15:19 - 00000000 ____D C:\Users\Игорь\AppData\Roaming\SPI
2016-01-14 15:19 - 2016-01-14 15:19 - 00000000 ____D C:\Users\Игорь\AppData\Roaming\Browsers
EmptyTemp:
Reboot:[/CODE][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]