Здравствуйте!
После проверки и лечения Drweb Live прошу посмотреть логи.
Спасибо.
Printable View
Здравствуйте!
После проверки и лечения Drweb Live прошу посмотреть логи.
Спасибо.
Уважаемый(ая) [B]BooZ[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Удалите Mobogenie через установку программ в панели управления
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\NPAPI\FlashUtil32_16_plugin.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{0B9085C6-1FAB-479A-9EA5-E2CDBA850771}.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{18449F79-583B-4137-8E1B-EAA536D3AD44}.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{67DBEF1F-3C26-4495-BAC2-3FF52BD00D58}.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{7644F21B-2899-42F0-865A-68DF290F43D6}.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{A7C2C162-D28D-4D94-B283-59D4E214C6FD}.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{AE5651F9-571E-4408-B7D1-DD9C7E305B21}.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{C7AF0C04-06C5-409D-8425-25EB692FB3AC}.exe','');
QuarantineFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','');
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
QuarantineFile('C:\Users\Sony\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{0B9085C6-1FAB-479A-9EA5-E2CDBA850771}.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{18449F79-583B-4137-8E1B-EAA536D3AD44}.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{67DBEF1F-3C26-4495-BAC2-3FF52BD00D58}.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{7644F21B-2899-42F0-865A-68DF290F43D6}.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{A7C2C162-D28D-4D94-B283-59D4E214C6FD}.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{AE5651F9-571E-4408-B7D1-DD9C7E305B21}.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{C7AF0C04-06C5-409D-8425-25EB692FB3AC}.exe','32');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
DeleteFile('C:\Users\Sony\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64');
DeleteFile('C:\WINDOWS\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64');
DeleteFile('C:\WINDOWS\system32\Tasks\DigitalSite','64');
DeleteFile('C:\WINDOWS\system32\Tasks\KRB Updater Utility','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','64');
DeleteFile('C:\WINDOWS\system32\Tasks\{0B9085C6-1FAB-479A-9EA5-E2CDBA850771}','64');
DeleteFile('C:\WINDOWS\system32\Tasks\{18449F79-583B-4137-8E1B-EAA536D3AD44}','64');
DeleteFile('C:\WINDOWS\system32\Tasks\{67DBEF1F-3C26-4495-BAC2-3FF52BD00D58}','64');
DeleteFile('C:\WINDOWS\system32\Tasks\{7644F21B-2899-42F0-865A-68DF290F43D6}','64');
DeleteFile('C:\WINDOWS\system32\Tasks\{A7C2C162-D28D-4D94-B283-59D4E214C6FD}','64');
DeleteFile('C:\WINDOWS\system32\Tasks\{AE5651F9-571E-4408-B7D1-DD9C7E305B21}','64');
DeleteFile('C:\WINDOWS\system32\Tasks\{C7AF0C04-06C5-409D-8425-25EB692FB3AC}','64');
DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32');
DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32');
DeleteFile('C:\WINDOWS\Tasks\DigitalSite.job','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
Высылаю лог AdwCleaner.
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
[QUOTE=SQ;1374060][url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.[/QUOTE]
Отчет после удаления.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[QUOTE=SQ;1374178]- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list][/QUOTE]
Отчеты сканирования Farbar.
Сами ставили?
[QUOTE]OPR Extension: (SL Google Chrome™) - C:\Users\Sony\AppData\Roaming\Opera Software\Opera Stable\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-05-13]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Sony\AppData\Roaming\Opera Software\Opera Stable\Extensions\baohinapilmkigilbbbcccncoljkdpnd [2015-04-08]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Sony\AppData\Roaming\Opera Software\Opera Stable\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-04-29]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Sony\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-04-11]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Sony\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-03-31]
[/QUOTE]
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3402293143-1987780155-176543007-1001 -> {6EFAAD43-7259-48A5-BD16-87A28BB5CAF8} URL = hxxp://rover.ebay.com/rover/1/14361-113534-36190-11/4?mpre=hxxp://search.eim.ebay.ru/?oemInLn=ieSrch-&kw={searchTerms}
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF Extension: No Name - C:\Users\Sony\AppData\Roaming\Mozilla\Firefox\Profiles\66bzxn6c.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [not found]
FF Extension: No Name - C:\Users\Sony\AppData\Roaming\Mozilla\Firefox\Profiles\66bzxn6c.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\McAfee\MSK => not found
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\49.0.2623.112\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\49.0.2623.112\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll => No File
CHR Plugin: (Java(TM) Platform SE 7 U13) - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_278.dll => No File
CHR Plugin: (Java Deployment Toolkit 7.0.130.20) - C:\Windows\SysWOW64\npDeployJava1.dll => No File
Task: {11B2DEA4-20D5-4099-8BE6-F62EC17181AA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {23049192-F973-4F29-BD95-5FDF942C91CF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {24500991-D1BB-4619-9B2D-5A511F40B5B9} - \{0B9085C6-1FAB-479A-9EA5-E2CDBA850771} -> No File <==== ATTENTION
Task: {298B8964-8A2C-4769-8306-5213D63882DD} - \{67DBEF1F-3C26-4495-BAC2-3FF52BD00D58} -> No File <==== ATTENTION
Task: {35049BAF-D83B-4339-BAAB-8D61CCB17E60} - System32\Tasks\Microsoft\Windows\Force_Adobe Flash Player NPAPI => C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\NPAPI\FlashUtil32_16_plugin.exe
Task: {3AF96DB2-3730-4878-B6C9-A866E9ACA649} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {3F73F70D-C0D4-4440-A130-96033AE44877} - System32\Tasks\Microsoft\Windows\Adobe Flash Player NPAPI => C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\NPAPI\FlashUtil32_16_plugin.exe
Task: {46F55D73-DFC3-4A87-AE65-904A8157EC10} - \{AE5651F9-571E-4408-B7D1-DD9C7E305B21} -> No File <==== ATTENTION
Task: {5056BA29-8DE0-4412-B13A-EB7D31E6C7ED} - \{7644F21B-2899-42F0-865A-68DF290F43D6} -> No File <==== ATTENTION
Task: {5F03E89D-464B-4B75-90E2-F82836F89097} - \{C7AF0C04-06C5-409D-8425-25EB692FB3AC} -> No File <==== ATTENTION
Task: {604A9225-C145-4C96-954C-E56C50820462} - \Обновление Браузера Яндекс -> No File <==== ATTENTION
Task: {8DDFAABF-29D8-453C-80FE-392987A01EF2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {8E297D6A-2347-4BB5-A817-6ECB2F030944} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {909B6F9B-770C-4772-B6C0-29DA72BD263D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {94A941A9-DC0F-4832-8C13-97FE0607B516} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {954D86C6-7FB3-4D19-A7FD-91308DFCB10D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {ACDFDE2B-D547-4467-9E41-913EB50AAF1D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {CFC31382-0F9A-463C-BBA9-F1CC289FB450} - \{A7C2C162-D28D-4D94-B283-59D4E214C6FD} -> No File <==== ATTENTION
Task: {D0540653-55F8-4C5B-923F-61272115AABA} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {E5B50A17-CFD7-44E8-85B4-DA2E5C3CFCE3} - \{18449F79-583B-4137-8E1B-EAA536D3AD44} -> No File <==== ATTENTION
Task: {E759827F-BA9E-478F-A3C9-056DE2DD6BF7} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {EB907697-6BAA-4640-B2BA-74C9E0676A71} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder\KRB Updater Utility.lnk]
CMD: sfc /scannow
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Очередной лог Farbar.
Что с проблемой?
[QUOTE=SQ;1374275]Что с проблемой?[/QUOTE]
Спасибо за помощь!
Ноутбук стал работать лучше.
1. Для удаления утилит, которые использовались в лечении скачайте [URL="https://toolslib.net/downloads/finish/2/"]DelFix[/URL] и сохраните утилиту на [B]Рабочем столе[/B].
2. Запустите [B]DelFix[/B].
[SIZE=1][B]Важно[/B], для работы утилиты необходимо запускать от имени Администратора. По умолчанию в[B] Windows XP[/B] так и есть. В [B]Windows Vista/7/8/8.1/10[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]Да[/B][/SIZE]
3.В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B]
4. Нажмите на кнопку [B]Run[/B].
5. После окончания работы программы автоматически откроется блокнот с отчетом [B]delfix.txt[/B] (C:\delfix.txt)
6. Прикрепите этот отчет в вашей теме.
[URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:
[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Отчет delfix.txt
Спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]