Удаляется AdBlock в Google Chrome, скачиваются файлы на раб.стол [not-a-virus:AdWare.NSIS.Agent.hx ]

Printable View

Показывать 40 сообщений этой темы на одной странице

18.07.2016, 09:42
Th3Greyhound

Вложений: 2

Удаляется AdBlock в Google Chrome, скачиваются файлы на раб.стол [not-a-virus:AdWare.NSIS.Agent.hx ]

Удаляется AdBlock в Google Chrome, скачиваются файлы на раб.стол.А так же добавляются в закладки Mail.ru. Винду переустановил позавчера.

спс
18.07.2016, 09:43
Info_bot

Уважаемый(ая) [B]Th3Greyhound[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
18.07.2016, 10:48
SQ

Здравствуйте,

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
QuarantineFile('C:\Users\Алексей\AppData\Local\Microsoft\017968E567481ABBDFFB374E7325BC19\C52205680F800C106DADBB2863DCE2C0.exe','');
QuarantineFile('C:\Users\Алексей\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\16FB474B-E3D6-40AC-B37F-47A29495B47D.exe','');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
DeleteFile('C:\Users\Алексей\AppData\Local\Microsoft\017968E567481ABBDFFB374E7325BC19\C52205680F800C106DADBB2863DCE2C0.exe','32');
DeleteFile('C:\Users\Алексей\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\16FB474B-E3D6-40AC-B37F-47A29495B47D.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\DCE2C03682BBDAD601C008F086C52205','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\DCE2C03682BBDAD601C008F086C52205SB','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A829A975E-EC82-4D5D-A0C4-CD2C567C1DAA','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\DCE2C03682BBDAD601C008F086C52205SB','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','829A975E-EC82-4D5D-A0C4-CD2C567C1DAA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DCE2C03682BBDAD601C008F086C52205SB');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_test.zip"]Check Browsers' LNK by Dragokas & regist[/URL].

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
18.07.2016, 11:21
Th3Greyhound

Вложений: 2

Запрошенный карантин отправлен.
18.07.2016, 12:09
SQ

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
18.07.2016, 13:37
Th3Greyhound

Вложений: 2

отчет
18.07.2016, 13:54
SQ

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
18.07.2016, 16:38
Th3Greyhound

Вложений: 2

отчет
18.07.2016, 17:50
SQ

Что из этого сами ставили?
[CODE]CHR Extension: (Google*Документы офлайн) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-07-16]
CHR Extension: (MusicSig vkontakte) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2016-07-18]
CHR Extension: (Twitch Now) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlmbdmpjmlijibeockamioakdpmhjnpk [2016-07-16]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-07-16]
CHR Extension: (Adblock Pro) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocifcklkibdehekfnmflempfgjhbedch [2016-07-18]
[/CODE]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Folder: C:\Windows\SysWOW64\sda
2016-07-16 14:40 - 2016-07-16 14:40 - 00000000 ____H C:\Users\Все пользователи\DP45977C.lfl
2016-07-16 14:40 - 2016-07-16 14:40 - 00000000 ____H C:\ProgramData\DP45977C.lfl
Task: {16B6FD0F-E3F7-434F-90B7-3B2C4B1B45A4} - System32\Tasks\Microsoft\Windows\DCE2C03682BBDAD601C008F086C52205 => C:\Users\Алексей\AppData\Local\Microsoft\017968E567481ABBDFFB374E7325BC19\C52205680F800C106DADBB2863DCE2C0.exe
Task: {80CD8BF1-AAFF-411F-BECC-7EF2E94E0FF0} - \Microsoft\Windows\DCE2C03682BBDAD601C008F086C52205SB -> No File <==== ATTENTION
Task: {8E1A6704-D536-4F39-BF9F-9DA8A280BAC9} - \Microsoft\DCE2C03682BBDAD601C008F086C52205SB -> No File <==== ATTENTION
Task: {91076217-B049-4039-BC66-D2126B13F027} - \Microsoft\DCE2C03682BBDAD601C008F086C52205 -> No File <==== ATTENTION
Task: {DC18BBE8-29DD-4372-AF19-B3DD20D9223D} - \Microsoft\Windows\A829A975E-EC82-4D5D-A0C4-CD2C567C1DAA -> No File <==== ATTENTION
C:\Users\Алексей\AppData\Local\Microsoft\017968E567481ABBDFFB374E7325BC19\C52205680F800C106DADBB2863DCE2C0.exe
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
18.07.2016, 19:55
Th3Greyhound

Вложений: 1

MusicSig vkontakte
Twitch Now
Adblock Pro
cтавил сам
18.07.2016, 20:20
SQ

Вы что-то не так скопировали, скрипте по каким-то причинам отсутствуют символы ":" и "".

Например, должно быть так:
[CODE]2016-07-16 14:40 - 2016-07-16 14:40 - 00000000 ____H C:\ProgramData\DP45977C.lfl[/CODE]
У Вас же
[CODE]2016-07-16 1440 - 2016-07-16 1440 - 00000000 ____H CProgramDataDP45977C.lfl[/CODE]

Как так получилось?
18.07.2016, 20:56
Th3Greyhound

Вложений: 1

с первой попытки почему-то комп не перезагрузился, сейчас же все нормально
18.07.2016, 21:03
SQ

Сообщите, что с проблемой?
19.07.2016, 08:20
Th3Greyhound

ну вроде бы все, больше ничего не качается и AdBlock pro не удаляется, но теперь у меня глючит skype, начинает виснить и потом выдает ошибку, причем ошибки всегда разные смотря на кого из друзей в скайпе нажму
19.07.2016, 08:42
SQ

Приложите новый лог FRST.
19.07.2016, 13:10
Th3Greyhound

Вложений: 1

что-то AdBlock выключился и MusicSig VK.com удалился
19.07.2016, 13:26
SQ

[QUOTE=Th3Greyhound;1393202]что-то AdBlock выключился и MusicSig VK.com удалился[/QUOTE]
Согласно логам присутсвуют расширения:
[CODE]CHR Extension: (MusicSig vkontakte) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2016-07-18]
CHR Extension: (Adblock Pro) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocifcklkibdehekfnmflempfgjhbedch [2016-07-18][/CODE]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Folder: C:\Users\Алексей\AppData\Local\Поиcк в Интeрнете
Folder: C:\Users\Алексей\AppData\Local\Microsoft
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![/LIST]
19.07.2016, 18:38
Th3Greyhound

Вложений: 1

вот
19.07.2016, 22:54
SQ

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
2016-07-17 16:43 - 2016-07-18 12:06 - 0000000 __SHD () C:\Users\Алексей\AppData\Local\Microsoft\017968E567481ABBDFFB374E7325BC19
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

- Приложите новый лог FRST (Addition.txt)
20.07.2016, 07:01
Th3Greyhound

Вложений: 1

вот

Показывать 40 сообщений этой темы на одной странице