Встроенный защитник Windows постоянно жалуется на какие-то вирусы, но сам справиться не может. В браузере (Chrome) через определенное время сами открываются новые окна с рекламой. Проверка и лечение другими антивирусами не принесла результатов.
Printable View
Встроенный защитник Windows постоянно жалуется на какие-то вирусы, но сам справиться не может. В браузере (Chrome) через определенное время сами открываются новые окна с рекламой. Проверка и лечение другими антивирусами не принесла результатов.
Уважаемый(ая) [B]Обсаженый[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('C:\Users\Dron\AppData\Local\monotype\monotype.exe');
QuarantineFile('C:\Users\Dron\AppData\Local\monotype\monotype.exe', '');
QuarantineFile('C:\Users\Dron\AppData\Local\Kometa\StartButton\kometastartvx64.exe', '');
QuarantineFile('C:\Users\Dron\AppData\Roaming\Microsoft\msi.exe', '');
QuarantineFile('C:\Users\Dron\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe', '');
QuarantineFile('C:\Users\Dron\AppData\Local\PowerMonitor\PowerMonitor.exe', '');
QuarantineFile('C:\Users\Dron\AppData\Local\wupdate\wupdate.exe', '');
QuarantineFile('C:\WINDOWS\microsoft\svchost.exe', '');
DeleteFile('C:\Users\Dron\AppData\Local\monotype\monotype.exe', '32');
DeleteFile('C:\Users\Dron\AppData\Local\Kometa\StartButton\kometastartvx64.exe', '32');
DeleteFile('C:\Users\Dron\AppData\Roaming\Microsoft\msi.exe', '32');
DeleteFile('C:\Users\Dron\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe', '32');
DeleteFile('C:\Users\Dron\AppData\Local\PowerMonitor\PowerMonitor.exe', '32');
DeleteFile('C:\Users\Dron\AppData\Local\wupdate\wupdate.exe', '32');
DeleteFile('C:\WINDOWS\microsoft\svchost.exe', '32');
DeleteFileMask('c:\users\dron\appdata\local\monotype', '*', true);
DeleteFileMask('c:\users\dron\appdata\local\microsoft', '*', true);
DeleteFileMask('c:\users\dron\appdata\local\powermonitor', '*', true);
DeleteFileMask('c:\users\dron\appdata\local\wupdate', '*', true);
DeleteFileMask('c:\windows\microsoft', '*', true);
DeleteDirectory('c:\users\dron\appdata\local\monotype');
DeleteDirectory('c:\users\dron\appdata\local\microsoft');
DeleteDirectory('c:\users\dron\appdata\local\powermonitor');
DeleteDirectory('c:\users\dron\appdata\local\wupdate');
DeleteDirectory('c:\windows\microsoft');
ExecuteFile('schtasks.exe', '/delete /TN "monotype" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "OneDrive Standalone Update Task v2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "System.2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> [HTTP] "C:\Users\Dron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe" =>> hxxp://mohtute.ru/?utm_source=imp&utm_d=20170504]
>>> [MASK] "C:\Users\Dron\AppData\Roaming\Microsoft\Windows\Start Menu\Кнопка Пуск — Комета\Кнопка Пуск — Комета.lnk" -> ["C:\Users\Dron\AppData\Local\Kometa\StartButton\kometastartvx64.exe"]
>>> "C:\Users\Dron\Favorites\Links\Интернет.url" -> hxxp://lonsale.ru/?utm_source=favorites03wmt&utm_content=e877526860aad8ef164cad8691e33a69&utm_term=ED420EE643CA55C4907A40DAA6B71C00&utm_d=20170503[/CODE]
Отчёт о работе прикрепите.
Сделайте новый лог Autologger.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
Всё сделал, вроде получилось.
Перестала работать кнопка "пуск".
[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Сделал как просили.
Запустите FRST/FRST64
Нажмите комбинацию Ctrl+Y - откроется Блокнот.
Скопируйте в него следующий код:[CODE]CreateRestorePoint:
Startup: C:\Users\Dron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Stardock ObjectDock.lnk [2017-03-23]
SearchScopes: HKU\S-1-5-21-1903259704-3675251553-705375551-1001 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://pelyena.ru/search?q={searchTerms}
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://lonsale.ru/?utm_source=startpage03wmt&utm_content=386eb96079d8030eacd032c1935b1aed&utm_term=ED420EE643CA55C4907A40DAA6B71C00&utm_d=20170503
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B345B4E78-5950-4A7C-9248-C05B27AB77E5%7D&gp=831106
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Dron\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-05-04]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Dron\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-05-04]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Dron\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-04]
FF SearchPlugin: C:\Users\Dron\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2017-05-04]
FF Plugin HKU\S-1-5-21-1903259704-3675251553-705375551-1001: @mail.ru/GameCenter -> C:\Users\Dron\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Dron\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-03-09]
CHR Extension: (Chrome Media Router) - C:\Users\Dron\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-04-05]
2017-05-04 01:33 - 2017-05-10 11:40 - 00000000 ____D C:\Users\Dron\AppData\Roaming\Microsoft\Windows\Start Menu\Кнопка Пуск — Комета
Task: {E50494CF-4878-44CD-83F2-E5C13B304BF4} - System32\Tasks\MSI => C:\Users\Dron\AppData\Roaming\Microsoft\msi.exe
ShortcutWithArgument: C:\Users\Dron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ICCup Launcher\ICCup Launcher.lnk -> C:\Program Files (x86)\ICCup\Launcher\Launcher.exe () -> hxxp://mohtute.ru/?utm_source=imp&utm_d=20170504
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "lalocrbtmn"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "StartButton"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "fhcmfdopnq"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "juhmahrnte"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "ollgsiffhg"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "pqwnuxulab"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "setsearch_delete_self"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "speeddialmaker_delete_self"
HKU\S-1-5-21-1903259704-3675251553-705375551-1001\...\StartupApproved\Run: => "ykemditjbc"
Powershell: Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register “$($_.InstallLocation)\AppXManifest.xml”}
Reboot:[/CODE]
Сохраните (Ctrl+s) и закройте.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], нажмите в FRST [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемами.
Окна появляться перестали. Защитник не жалуется на вирусы. Не работает только кнопка "пуск".
Пробуйте [URL="https://windowstips.ru/notes/16438"]эти рекомендации[/URL].
Спасибо большое за помощь!
Запустите AdwCleaner и нажмите [B]Файл (File) -> Деинсталлировать (Uninstall)[/B].
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\dron\appdata\local\powermonitor\powermonitor.exe - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\users\dron\appdata\local\wupdate\wupdate.exe - [B]not-a-virus:AdWare.Win32.RuKoma.gen[/B][*] c:\windows\microsoft\svchost.exe - [B]Trojan.Win32.SelfDel.exuz[/B][/LIST][/LIST]