Пробовал adwcleaner, Dr.Web Curelt, все равно при запуске компьютера открывается хром с поисковиком 12kotov.
Printable View
Пробовал adwcleaner, Dr.Web Curelt, все равно при запуске компьютера открывается хром с поисковиком 12kotov.
Уважаемый(ая) [B]Kra_Ken[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Program Files (x86)\YoutubeAdBlockU\14Xx9ei.dll', '');
QuarantineFile('C:\Users\Админ\AppData\Local\ifgker\ifgker.exe', '');
QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\msi.exe', '');
DeleteFile('C:\WINDOWS\Tasks\E3605470-291B-44EB-8648-745EE356599A.job', '64');
DeleteFile('C:\Program Files (x86)\YoutubeAdBlockU\14Xx9ei.dll', '32');
DeleteFile('C:\Users\Админ\AppData\Local\ifgker\ifgker.exe', '32');
DeleteFile('C:\Users\Админ\Favorites\Links\Интернет.url', '32');
DeleteFile('C:\Users\Админ\AppData\Roaming\Microsoft\msi.exe', '32');
DeleteFileMask('c:\program files (x86)\youtubeadblocku', '*', true);
DeleteFileMask('c:\users\админ\appdata\local\ifgker', '*', true);
DeleteDirectory('c:\program files (x86)\youtubeadblocku');
DeleteDirectory('c:\users\админ\appdata\local\ifgker');
DelBHO('{E3605470-291B-44EB-8648-745EE356599A}');
ExecuteFile('schtasks.exe', '/delete /TN "E3605470-291B-44EB-8648-745EE356599A" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "E3605470-291B-44EB-8648-745EE356599A2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ifgker" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'lozcssiytc');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
Попробовал загрузить файл, не получилось (данный файл уже был загружен...). На нем пароля нет, в нем ничего нет.
Вот новые логи, если надо.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]O4 - HKCU\..\Run: [lozcssiytc] C:\WINDOWS\explorer.exe "http://ochalsa.ru/?utm_source=uoua03&utm_content=175900d4c63d2e4093cb0102ab8faaad&utm_term=106AF6CA348E9526377237F6D4364795&utm_d=20170520"
O22 - Task (Ready): DRPNPS - C:\WINDOWS\system32\SCHTASKS.exe /Delete /TN DRPNPS /F
O22 - Task (Ready): E3605470-291B-44EB-8648-745EE356599A2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\YoutubeAdBlockU\14Xx9ei.dll",#1
O22 - Task (Ready): MSI - C:\Users\Админ\AppData\Roaming\Microsoft\msi.exe cnt=2 fts="City Car Driving\unlocker_ccd.exe"
O22 - Task (Ready): ifgker - C:\Users\Админ\AppData\Local\ifgker\ifgker.exe --stid="14712" (file missing)
O22 - Task (Running): E3605470-291B-44EB-8648-745EE356599A - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\YoutubeAdBlockU\14Xx9ei.dll",#1[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Я пока не стал ничего применять т.к я не нашел все строчки, которые нужны
Делайте лог Farbar Recovery Scan Tool.
Вот
Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:[CODE]AppInit_DLLs: C:\PROGRA~2\NVIDIA~1\3DVISI~1\NVSTIN~1.DLL => No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
Task: {945EEFE1-E844-4EAB-800C-1A605A36DC79} - System32\Tasks\MSI => C:\Users\Админ\AppData\Roaming\Microsoft\msi.exe
Task: {CAD977DF-31D3-44CE-9133-76B8F7B38203} - System32\Tasks\DRPNPS => mshta.exe "hxxp://update.drp.su/nps/online/bin/tools/run.hta" "17.7.39 Online" "1489940172645" "e2349d5e-64d0-464f-aa33-6597d00f5b79"
AlternateDataStreams: C:\ProgramData\TEMP:472FBBAF [133]
Reboot:[/CODE]
Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемой.
Если не поможет - отключите все расширения в Chrome, если пропадёт реклама - подключайте по одному, проверяйте эффект. Расширения часто подменяют, какое именно - понять можно только перебором.
Сообщите результат.
Вот
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
(Расширения не перебирал)Все нормально, наверно. Подожду пару дней и отпишусь. Пока ничего не появляется
"Само" такое не появляется, а что-то подхватите опять - создайте новую тему.
Запустите AdwCleaner и нажмите [B]Файл (File) -> Деинсталлировать (Uninstall)[/B].
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].