Каждые минут 10 вылазит такое окно:
[ATTACH=CONFIG]620240[/ATTACH]
Устанавливаются сами различные программы, открываются. Из панели управления только успеваю удалять.
Прошу, помогите. Все три лога прикрепил ниже.
Каждые минут 10 вылазит такое окно:
[ATTACH=CONFIG]620240[/ATTACH]
Устанавливаются сами различные программы, открываются. Из панели управления только успеваю удалять.
Прошу, помогите. Все три лога прикрепил ниже.
Уважаемый(ая) [B]Максим Отмахов[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\knst4b01.tmpfs');
TerminateProcessByName('c:\program files (x86)\tencent\qqpcmgr\10.7.16066.216\qqpcrealtimespeedup.exe');
TerminateProcessByName('c:\windows\temp\cdda.tmp');
StopService('secygysyzbt');
QuarantineFileF('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\knst4b01.tmpfs', '');
QuarantineFile('C:\Windows\assembly\NativeImages_v4.0.30319_32\System.ServiceModel\8b1e3086b7b418e526005e93466d1491\System.ServiceModel.ni.dll', '');
QuarantineFile('C:\Program Files (x86)\Clownfish\Clownfish.exe', '');
QuarantineFile('C:\Program Files (x86)\badu\Uninst.exe', '');
QuarantineFile('C:\Program Files (x86)\badu\uc.exe', '');
QuarantineFile('c:\program files (x86)\tencent\qqpcmgr\10.7.16066.216\qqpcrealtimespeedup.exe', '');
QuarantineFile('c:\windows\temp\cdda.tmp', '');
DeleteFile('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\knst4b01.tmpfs', '32');
DeleteFile('c:\windows\temp\cdda.tmp', '32');
DeleteFile('c:\program files (x86)\tencent\qqpcmgr\10.7.16066.216\qqpcrealtimespeedup.exe', '32');
DeleteFile('C:\Program Files (x86)\badu\uc.exe', '32');
DeleteFile('C:\Program Files (x86)\badu\Uninst.exe', '32');
DeleteService('secygysyzbt');
DeleteFileMask('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\', '*', true);
DeleteDirectory('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'apphide');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'pcmgr');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svchost0');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
- сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK.zip"]Check Browsers' LNK by Dragokas & regist[/URL].
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Вот, все сделал.
[CODE]http://virusinfo.info/virusdetector/report.php?md5=AA9C923715A84332B2E0B20109723E37[/CODE]
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Maxim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
QuarantineFile('c:\programdata\lightgate.exe', '');
QuarantineFile('c:\programdata\homepage.exe', '');
QuarantineFile('C:\ProgramData\service.exe', '');
DeleteFile('c:\programdata\lightgate.exe', '32');
DeleteFile('c:\programdata\homepage.exe', '32');
DeleteFile('C:\ProgramData\service.exe', '32');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'LightGate');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'HomePageHelper');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Исправьте с помощью [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиты ClearLNK[/url] следующие ярлыки, отчёт о работе прикрепите:
[CODE]C:\Users\Maxim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Maxim\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\STARTM~1\UC(2)~1.LNK
C:\Users\Maxim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器 (2).lnk
C:\Users\Maxim\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\STARTM~1\UCB11A~1.LNK
C:\Users\Maxim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
C:\Users\Maxim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WO Mic Client.lnk
C:\Users\Maxim\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\UCAE07~1\UCE2D2~1.LNK
C:\Users\Maxim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk
C:\Users\Maxim\Desktop\AutoTime.LNK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hamster Soft\PDF Reader\Hamster PDF Reader.lnk
C:\Users\Maxim\Favorites\Mail.Ru Агент - используй для общения!.url
C:\Users\Maxim\Favorites\Mail.Ru.url
C:\Users\Maxim\Favorites\OVGORSKIY.url
[/CODE]
- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Сделал.
Сделайте свежий лог AdwCleaner-а.
Вот.
Ещё раз свежий лог сделайте, чтобы убедится, что чисто.
+ что с проблемой?
[QUOTE=regist;1365670]Ещё раз свежий лог сделайте, чтобы убедится, что чисто.
+ что с проблемой?[/QUOTE]
Проблема исчезла, так же исчезли программы и всевозможные окна. Надеюсь, что теперь уже на совсем они удалились)
Благодарю вас и ваш сервис!
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Настройки[/b] отметьте:
[list][*]Сброс политик IE[*]Сброс политик Chrome[/list][*]Нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Сделал
Ещё раз повторите лог, чтобы убедиться, что больше ничего не находит.
Вот
Опять нашло :(.
[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Деинсталлировать[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
+ Пожалуйста, папку
[CODE]C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\[/CODE]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR], закачайте архив на любой файлообменник, не требующий ввода капчи (например: [url=http://www.zippyshare.com/]Zippyshare[/url], [url=http://my-files.ru/]My-Files.RU[/url]) ссылку на скачивание пришлите мне в ЛС.
В ЛС тоже загрузил.
[CODE]CHR Extension: (Google Переводчик) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2016-02-22]
CHR Extension: (Google Презентации) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-02-22]
CHR Extension: (Документы Google) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-02-22]
CHR Extension: (Диск Google) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-02-22]
CHR Extension: (Gismeteo) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfegaehidkkcfaikpaijcdahnpikhobf [2016-02-22]
CHR Extension: (YouTube) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-02-22]
CHR Extension: (Adblock Plus) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-03-09]
CHR Extension: (Google Search) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-22]
CHR Extension: (ZenMate VPN - Best Cyber Security & Unblock) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdcgdnkidjaadafnichfpabhfomcebme [2016-03-09]
CHR Extension: (Google Таблицы) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-02-22]
CHR Extension: (VK inviz) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\ffniakoflaobbkjjcnlnmepodehaflkd [2016-02-22]
CHR Extension: (Google*Документы офлайн) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-02-22]
CHR Extension: (AdBlock) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-03-12]
CHR Extension: (MusicSig vkontakte) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2016-02-26]
CHR Extension: (Skype) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2016-02-23]
CHR Extension: (Enable Right Click + Save on Instagram) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\mffohfgmljaaoakgmnhpgnhlpgidedkc [2016-02-22]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-02-22]
CHR Extension: (Gmail) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-02-22][/CODE]
все эти расширения сами ставили?
UCBrowser - вам знакомо? Сами ставили?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
+ 360 total security - не ставили? У вас в системе его хвосты видны.
И на всякий случай перед дальнейшими действиями точку восстановления системы сделайте.
UCBrowser, 360 total - это все с вирусов, а расширения да, все мои. Точку отката сделал
[CODE][B]Skype Click to Call[/B] (HKLM-x32\...\{6D1221A9-17BF-4EC0-81F2-27D30EC30701}) (Version: 8.0.0.9103 - Microsoft Corporation)
[/CODE] советую деинсталируйте.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]start
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => No File
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ovgorskiy.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ovgorskiy.ru
CHR HomePage: Default -> mail.ru/cnt/11956636?gp=820473
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820473","hxxp://www.istartpageing.com/?type=hp&ts=1455978273&z=2f4c3fde3ce08482df09315gczcw1w8tfm9b3ofm7o&from=age&uid=WDCXWD5001AALS-00L3B2_WD-WCASY654093440934","hxxp://www.yoursearching.com/?type=hp&ts=1455979286&z=9cb13d9f76d4722994865c1gbzfwbw7t2mft3oebbq&from=face&uid=WDCXWD5001AALS-00L3B2_WD-WCASY654093440934","hxxp://www.istartpageing.com/?type=hp&ts=1457540632&z=700c7f3e1239a08ec39c184g8z9wcmdw4zbe8q0o7m&from=cmi&uid=WDCXWD5001AALS-00L3B2_WD-WCASY654093440934"
2016-03-11 23:52 - 2016-03-11 23:52 - 00000000 ____D C:\Users\Все пользователи\TXQMPC
2016-03-11 23:52 - 2016-03-11 23:52 - 00000000 ____D C:\ProgramData\TXQMPC
2016-03-10 16:08 - 2016-03-11 14:42 - 00000000 ____D C:\Users\Maxim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-03-10 16:06 - 2016-03-10 16:21 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-03-10 16:06 - 2016-03-10 16:06 - 00000468 _____ C:\Windows\Tasks\UCBrowserUpdater.job
2016-03-10 16:06 - 2016-03-10 16:06 - 00000000 ____D C:\Users\Maxim\AppData\Local\UCBrowser
2016-03-10 16:03 - 2016-03-10 20:48 - 00000000 ____D C:\Program Files (x86)\badu
2016-03-10 00:17 - 2016-03-10 00:17 - 00000000 __SHD C:\ProgramData\360Quarant
2016-03-10 00:17 - 2016-03-10 00:17 - 00000000 __SHD C:\$360Section
2016-03-10 00:05 - 2016-03-10 00:05 - 00000000 ____D C:\Program Files (x86)\360
2016-03-10 00:05 - 2016-02-01 12:20 - 00368720 _____ (360.cn) C:\Windows\system32\Drivers\360FsFlt.sys.256
2016-03-10 00:05 - 2016-02-01 12:20 - 00319568 _____ (360.cn) C:\Windows\system32\Drivers\360Box64.sys.466
2016-03-10 00:05 - 2016-02-01 12:20 - 00181328 _____ (360.cn) C:\Windows\system32\Drivers\BAPIDRV64.SYS.upd
2016-03-10 00:05 - 2016-02-01 12:20 - 00137808 _____ (360.cn) C:\Windows\system32\Drivers\360AntiHacker64.removed
2016-03-10 00:05 - 2016-02-01 12:20 - 00077904 _____ (360.cn) C:\Windows\system32\Drivers\360AvFlt.sys.000
2016-03-10 17:21 - 2016-03-10 02:49 - 1275392 _____ (TZ) C:\ProgramData\FrivLauncherUS.exe
2016-03-10 17:19 - 2016-03-02 19:49 - 1888256 _____ () C:\ProgramData\msiql.exe
2016-03-10 17:19 - 2016-03-10 17:19 - 0011633 _____ () C:\ProgramData\webad.xml
HKLM\...\StartupApproved\Run32: => "BabylonToolbar"
EmptyTemp:
Reboot:
end[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
"Skype Click to Call" удалил через панель управления. Вы это имели виду?