С небольшим интервалом браузер открывает новые вкладки [UDS:DangerousObject.Multi.Generic ]

Printable View

02.06.2018, 11:20
CapxaH

Вложений: 1

С небольшим интервалом браузер открывает новые вкладки [UDS:DangerousObject.Multi.Generic ]

Здравствуйте! Не туда залез и пропустил предупреждение. Установилось несколько рекламных программ про безопасность компа, расширение в хром и с небольшим интервалом хром открывает разные сайты. Помогите вылечить!
Спасибо!!!
02.06.2018, 11:21
Info_bot

Уважаемый(ая) [B]CapxaH[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
02.06.2018, 14:31
regist

Здравствуйте!

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\temp\is-0h1fb.tmp\bphclph1fjy.tmp');
TerminateProcessByName('c:\temp\is-lqdkk.tmp\tvvzhsobcfe.tmp');
TerminateProcessByName('c:\users\ella\appdata\local\temp\csrss\proxy\obfs4proxy.exe');
TerminateProcessByName('c:\users\ella\appdata\local\temp\csrss\proxy\tor.exe');
StopService('TCPSvc');
QuarantineFile('c:\temp\is-0h1fb.tmp\bphclph1fjy.tmp', '');
QuarantineFile('c:\temp\is-lqdkk.tmp\tvvzhsobcfe.tmp', '');
QuarantineFile('C:\Temp\is-OUJU0.tmp\idp.dll', '');
QuarantineFile('C:\Temp\is-OUJU1.tmp\idp.dll', '');
QuarantineFile('c:\users\ella\appdata\local\temp\csrss\proxy\obfs4proxy.exe', '');
QuarantineFile('c:\users\ella\appdata\local\temp\csrss\proxy\tor.exe', '');
DeleteFile('c:\temp\is-0h1fb.tmp\bphclph1fjy.tmp', '');
DeleteFile('c:\temp\is-lqdkk.tmp\tvvzhsobcfe.tmp', '');
DeleteFile('C:\Temp\is-OUJU0.tmp\idp.dll', '');
DeleteFile('C:\Temp\is-OUJU1.tmp\idp.dll', '');
DeleteFile('c:\users\ella\appdata\local\temp\csrss\proxy\obfs4proxy.exe', '');
DeleteFile('c:\users\ella\appdata\local\temp\csrss\proxy\tor.exe', '');
DeleteService('TCPSvc');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

[CODE]YoutubeAdBlock [2018/06/01 16:24:54]-->"C:\Program Files (x86)\iRmKFyAZyPUn\QWMCvDJLoQ.exe" /raun
Игровой центр [2018/04/13 22:19:17]-->"C:\Users\Ella\AppData\Local\Mail.Ru\GameCenter\GameCenter.exe" -uninstall
[/CODE]
деинсталируйте.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/finish/1/"]AdwCleaner[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[S00].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
04.06.2018, 11:32
CapxaH

Вложений: 2

вроде сделал всё

как-то так
04.06.2018, 12:06
regist

1) Жду, не сделали
[quote="regist;1482647"]- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.[/quote]

2)
Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\program files (x86)\ljfujmgehie\iteynryvpe.exe');
TerminateProcessByName('c:\program files\b0985b53bdfcff625e52dae24b8fe992\3c1f09b303ad2b815c9cdabedf989eee.exe');
TerminateProcessByName('c:\temp\is-1sea6.tmp\bphclph1fjy.tmp');
TerminateProcessByName('c:\temp\is-im66c.tmp\tvvzhsobcfe.tmp');
TerminateProcessByName('c:\users\ella\appdata\local\temp\csrss\proxy\obfs4proxy.exe');
TerminateProcessByName('c:\users\ella\appdata\local\temp\csrss\proxy\tor.exe');
TerminateProcessByName('c:\users\ella\appdata\roaming\hcoajtgv44b\bphclph1fjy.exe');
TerminateProcessByName('c:\users\ella\appdata\roaming\zhikmyavgli\tvvzhsobcfe.exe');
QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
QuarantineFile('C:\Users\Ella\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
QuarantineFile('C:\Users\Ella\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
QuarantineFile('C:\Users\Ella\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
QuarantineFile('C:\Users\Ella\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Ella\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
SetServiceStart('TCPSvc', 4);
SetServiceStart('Voyasollam', 4);
StopService('7eaca161d1edfc245f341853fb8e1e68');
StopService('b0985b53bdfcff625e52dae24b8fe992');
StopService('TCPSvc');
StopService('Voyasollam');
QuarantineFile('c:\program files (x86)\ljfujmgehie\iteynryvpe.exe', '');
QuarantineFile('C:\Program Files (x86)\lJFUJMGEHIE\kGzWr4oY.dll', '');
QuarantineFile('C:\Program Files (x86)\lJFUJMGEHIE\r7zQg.dll', '');
QuarantineFile('C:\Program Files (x86)\OxoywZINBbQwrioRGrR\OBGoohf.dll', '');
QuarantineFile('c:\program files\b0985b53bdfcff625e52dae24b8fe992\3c1f09b303ad2b815c9cdabedf989eee.exe', '');
QuarantineFile('c:\temp\is-1sea6.tmp\bphclph1fjy.tmp', '');
QuarantineFile('C:\Temp\is-5K236.tmp\idp.dll', '');
QuarantineFile('C:\Temp\is-GPP60.tmp\idp.dll', '');
QuarantineFile('c:\temp\is-im66c.tmp\tvvzhsobcfe.tmp', '');
QuarantineFile('c:\users\ella\appdata\local\temp\csrss\proxy\obfs4proxy.exe', '');
QuarantineFile('c:\users\ella\appdata\local\temp\csrss\proxy\tor.exe', '');
QuarantineFile('C:\Users\Ella\AppData\Local\Temp\qfilXCPnFgThYSRzs\DzQNPNUdCFQTgBxx\bUTGqcAzipPuilyC.dll', '');
QuarantineFile('c:\users\ella\appdata\roaming\hcoajtgv44b\bphclph1fjy.exe', '');
QuarantineFile('c:\users\ella\appdata\roaming\zhikmyavgli\tvvzhsobcfe.exe', '');
QuarantineFile('C:\Windows\iaaclpptmbsklggq.iaac', '');
QuarantineFile('C:\Windows\system32\drivers\3045b926276952b3e4a3ef1fc2c60028.sys', '');
QuarantineFile('C:\Windows\system32\EhStorShell.dll', '');
QuarantineFile('C:\Windows\system32\srrstr.dll', '');
QuarantineFileF(' C:\ProgramData\Voyasollam\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\EgDGbQEiU\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\ijcQGTqqPStU2\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\lJFUJMGEHIE', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\lJFUJMGEHIE\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\OxoywZINBbQwrioRGrR', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\wCCFxMJCsZmzC', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('c:\program files\b0985b53bdfcff625e52dae24b8fe992\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\XjOPTLXDzAynQaVB', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('c:\users\ella\appdata\local\temp\csrss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Ella\AppData\Local\Temp\qfilXCPnFgThYSRzs\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('c:\users\ella\appdata\roaming\hcoajtgv44b', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('c:\users\ella\appdata\roaming\zhikmyavgli', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Ella\AppData\Roaming\zhikmyavgli\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFile('c:\program files (x86)\ljfujmgehie\iteynryvpe.exe', '32');
DeleteFile('C:\Program Files (x86)\lJFUJMGEHIE\kGzWr4oY.dll', '32');
DeleteFile('C:\Program Files (x86)\lJFUJMGEHIE\r7zQg.dll', '32');
DeleteFile('C:\Program Files (x86)\OxoywZINBbQwrioRGrR\OBGoohf.dll', '');
DeleteFile('C:\Program Files (x86)\OxoywZINBbQwrioRGrR\OBGoohf.dll', '32');
DeleteFile('C:\Program Files\b0985b53bdfcff625e52dae24b8fe992\3c1f09b303ad2b815c9cdabedf989eee.exe', '32');
DeleteFile('c:\temp\is-1sea6.tmp\bphclph1fjy.tmp', '');
DeleteFile('c:\temp\is-1sea6.tmp\bphclph1fjy.tmp', '32');
DeleteFile('C:\Temp\is-5K236.tmp\idp.dll', '');
DeleteFile('C:\Temp\is-GPP60.tmp\idp.dll', '');
DeleteFile('c:\temp\is-im66c.tmp\tvvzhsobcfe.tmp', '');
DeleteFile('c:\temp\is-im66c.tmp\tvvzhsobcfe.tmp', '32');
DeleteFile('c:\users\ella\appdata\local\temp\csrss\proxy\obfs4proxy.exe', '');
DeleteFile('c:\users\ella\appdata\local\temp\csrss\proxy\tor.exe', '');
DeleteFile('c:\users\ella\appdata\local\temp\csrss\proxy\tor.exe', '32');
DeleteFile('C:\Users\Ella\AppData\Local\Temp\qfilXCPnFgThYSRzs\DzQNPNUdCFQTgBxx\bUTGqcAzipPuilyC.dll', '');
DeleteFile('C:\Users\Ella\AppData\Local\Temp\qfilXCPnFgThYSRzs\DzQNPNUdCFQTgBxx\bUTGqcAzipPuilyC.dll', '32');
DeleteFile('c:\users\ella\appdata\roaming\hcoajtgv44b\bphclph1fjy.exe', '32');
DeleteFile('C:\Users\Ella\AppData\Roaming\zhikmyavgli\tvvzhsobcfe.exe', '32');
DeleteFile('C:\Windows\iaaclpptmbsklggq.iaac', '32');
DeleteFile('C:\Windows\Tasks\System HealerPeriod.job', '32');
DeleteFile('C:\Windows\Tasks\System HealerStartUp.job', '32');
ExecuteFile('schtasks.exe', '/delete /TN "KnPQHVchzdGfrlHaz2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "rArHIXNWKfbeRtR2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "TdqeVjasHzsikvrWtEm2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WobUIKhuMtTTi2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "XLqsfoKFUKuTqG" /F', 0, 15000, true);
DeleteService('7eaca161d1edfc245f341853fb8e1e68');
DeleteService('b0985b53bdfcff625e52dae24b8fe992');
DeleteService('TCPSvc');
DeleteFileMask('C:\Program Files (x86)\EgDGbQEiU\', '*', true);
DeleteFileMask('C:\Program Files (x86)\ijcQGTqqPStU2\', '*', true);
DeleteFileMask('C:\Program Files (x86)\lJFUJMGEHIE', '*', true);
DeleteFileMask('C:\Program Files (x86)\lJFUJMGEHIE\', '*', true);
DeleteFileMask('C:\Program Files (x86)\OxoywZINBbQwrioRGrR', '*', true);
DeleteFileMask('C:\Program Files (x86)\wCCFxMJCsZmzC', '*', true);
DeleteFileMask('c:\program files\b0985b53bdfcff625e52dae24b8fe992\', '*', true);
DeleteFileMask('C:\ProgramData\XjOPTLXDzAynQaVB', '*', true);
DeleteFileMask('c:\users\ella\appdata\local\temp\csrss\', '*', true);
DeleteFileMask('C:\Users\Ella\AppData\Local\Temp\qfilXCPnFgThYSRzs\', '*', true);
DeleteFileMask('c:\users\ella\appdata\roaming\hcoajtgv44b', '*', true);
DeleteFileMask('c:\users\ella\appdata\roaming\zhikmyavgli', '*', true);
DeleteFileMask('C:\Users\Ella\AppData\Roaming\zhikmyavgli\', '*', true);
DeleteDirectory('C:\Program Files (x86)\EgDGbQEiU\');
DeleteDirectory('C:\Program Files (x86)\ijcQGTqqPStU2\');
DeleteDirectory('C:\Program Files (x86)\lJFUJMGEHIE');
DeleteDirectory('C:\Program Files (x86)\lJFUJMGEHIE\');
DeleteDirectory('C:\Program Files (x86)\OxoywZINBbQwrioRGrR');
DeleteDirectory('C:\Program Files (x86)\wCCFxMJCsZmzC');
DeleteDirectory('c:\program files\b0985b53bdfcff625e52dae24b8fe992\');
DeleteDirectory('C:\ProgramData\XjOPTLXDzAynQaVB');
DeleteDirectory('c:\users\ella\appdata\local\temp\csrss\');
DeleteDirectory('C:\Users\Ella\AppData\Local\Temp\qfilXCPnFgThYSRzs\');
DeleteDirectory('c:\users\ella\appdata\roaming\hcoajtgv44b');
DeleteDirectory('c:\users\ella\appdata\roaming\zhikmyavgli');
DeleteDirectory('C:\Users\Ella\AppData\Roaming\zhikmyavgli\');
DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '3695050');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '5924914');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

3) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

4) [LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Tools[/b] ->[b]Options [/b] ([b]Инструменты[/b] ->[b]Настройки[/b]) отметьте:
[list][*]Сброс политик IE[*]Сброс политик Chrome[/list][*]Нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[C00].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

5) - Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger.
04.06.2018, 17:42
CapxaH

Вложений: 1

A1E57A5E50733E12A380C5E3696CD5AA номер

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

хотя ещё 5 пункт

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

в быстром ответе где кнопка прикрепить файл?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

а лог после 5 пункта он не создаёт

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

как убить это расширение в браузере Campaign Notifier?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

а ещё у меня комбоплеер не устанавливается выдаёт 35 ошибку
04.06.2018, 22:18
regist

[b]CapxaH[/b], выполнять надо в той последовательности в которой написано.

Пункт №3 не выполнили. №5 тоже не сделали.
04.06.2018, 23:29
CapxaH

Вложений: 2

ок, торопился

3 и 5
05.06.2018, 15:57
regist

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis из папки ..\AutoLogger\HiJackThis
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlQr1q2VFM-BenZPt17Fv4-cuUt27KKPRNkm9uDJP5uAmD91XOLfix4DD917H7neUZaZOfbt1L00a264jY48wyjO9wzg4DBOB38MlHgk0xZSkzghekwbJ5W-g08RkOoNanErLzmqG0QaW7R72EQurPRmsTC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlQr1q2VFM-BenZPt17Fv4-cuUt27KKPRNkm9uDJP5uAmD91XOLfix4DD917H7neUZaZOfbt1L00a264jY48wyjO9wzg4DBOB38MlHgk0xZSkzghekwbJ5W-g08RkOoNanErLzmqG0QaW7R72EQurPRmsTC2rMS0MxSiXmpi0w,,&q={searchTerms}
O2 - HKLM\..\BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre8\bin\jp2ssv.dll (file missing)
O2 - HKLM\..\BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre8\bin\ssv.dll (file missing)
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\Xxx-tantrax.dll (file missing)
O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\U-top.dll (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avg - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O23 - Service S2: Служба Google Update (gupdate) - (gupdate) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (file missing) /svc
O23 - Service S3: Служба Google Update (gupdatem) - (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (file missing) /medsvc

[/CODE]

если поиск от Yahoo сами не прописывали, то также и эти строки
[CODE]R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C0C3A6C6-03BC-4195-8FCB-AEA091301353} [SuggestionsURL] = https://ie.search.yahoo.com/os?appid=ie8&command={searchTerms} - Yahoo!
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C0C3A6C6-03BC-4195-8FCB-AEA091301353} [TopResultURL] = https://se.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10454__180326__yaie&p={searchTerms} - Yahoo!
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C0C3A6C6-03BC-4195-8FCB-AEA091301353} [URL] = https://se.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10454__180326__yaie&p={searchTerms} - Yahoo![/CODE]

Сделайте свежие логи Автологером.
06.06.2018, 13:48
CapxaH

Вложений: 1

готово

расширение в хроме живое

винда создаёт такие папки Tempzxpsign00d73b79de5e2c6c что это и нужно-ли?

какой антивирус (бесплатный) лучше поставить чтоб не сильно систему нагружал?

что делать с 35-ой ошибкой? учусь удалённо нужно пересматривать записи уроков
06.06.2018, 19:32
regist

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
06.06.2018, 20:07
CapxaH

Вложений: 2

готово

при сканировании выдавал 142 ошибку 8-9 раз
08.06.2018, 09:53
regist

[quote="CapxaH;1482852"]при сканировании выдавал 142 ошибку 8-9 раз[/quote]
без скрина ошибки это ничего не даёт.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

1) [CODE]C:\Program Files (x86)\Google\Chrome\Application\67.0.3396.62\resources.pak[/CODE]
Заархивируйте, закачайте архив на любой файлообменник, не требующий ввода капчи (например: [url=https://disk.yandex.ru/]Яндекс.Диск[/url], [url=http://www.zippyshare.com/]Zippyshare[/url], [url=http://my-files.ru/]My-Files.RU[/url], [url=http://file.karelia.ru/]karelia.ru[/url], [url=http://www.ge.tt/]Ge.tt[/url] или [url=http://webfile.ru/]WebFile[/url]) ссылку на скачивание пришлите мне в ЛС.

2) Driver Booster и SafeFinder - деинсталируйте.

3) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
CHR HKU\S-1-5-21-130368492-3771834577-2626590207-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
FF Plugin: @java.com/DTPlugin,version=11.11.2 -> C:\Program Files\Java\jre8\bin\dtplugin\npDeployJava1.dll [No File]
FF Plugin: @java.com/JavaPlugin,version=11.11.2 -> C:\Program Files\Java\jre8\bin\plugin2\npjp2.dll [No File]
FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [No File]
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1218158.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File]
2018-06-01 16:24 - 2018-06-04 12:51 - 000000000 ____D C:\Users\Ella\AppData\Roaming\hcoajtgv44b
2018-06-01 14:53 - 2018-06-04 12:51 - 000000000 ____D C:\Users\Ella\AppData\Roaming\zhikmyavgli
2018-05-22 21:06 - 2018-05-22 21:06 - 000000000 ____D C:\Tempzxpsign040e4570b25bc141
2018-05-22 21:06 - 2018-05-22 21:06 - 000000000 ____D C:\Tempzxpsign00d73b79de5e2c6c
2018-05-17 14:13 - 2018-05-17 14:13 - 000000000 ____D C:\Tempzxpsign7cd861341ef2d01f
2018-05-17 14:10 - 2018-05-17 14:10 - 000000000 ____D C:\Tempzxpsignafdb979704e93cb8
2018-05-17 14:10 - 2018-05-17 14:10 - 000000000 ____D C:\Tempzxpsign15cea28e31cf8252
2018-05-17 14:06 - 2018-05-17 14:06 - 000000000 ____D C:\Tempzxpsignfda6e96bb78df289
2018-05-17 14:06 - 2018-05-17 14:06 - 000000000 ____D C:\Tempzxpsignf3531d309c543976
2018-05-17 10:41 - 2018-05-17 10:41 - 000000000 ____D C:\Tempzxpsignbb41d93ff3389776
2018-05-17 10:38 - 2018-05-17 10:38 - 000000000 ____D C:\Tempzxpsigne17677441e10d17b
2018-05-17 10:38 - 2018-05-17 10:38 - 000000000 ____D C:\Tempzxpsign6d0f15764d37984d
2018-05-16 20:52 - 2018-05-16 20:52 - 000000000 ____D C:\Tempzxpsignef17e25432bb4891
2018-05-16 20:52 - 2018-05-16 20:52 - 000000000 ____D C:\Tempzxpsignc799b742b45f101c
2018-05-10 15:08 - 2018-05-10 15:08 - 000000000 ____D C:\Tempzxpsigne1cf64d3d9cc9b95
2018-05-10 15:08 - 2018-05-10 15:08 - 000000000 ____D C:\Tempzxpsignae18044405d8b08e
2018-05-10 14:55 - 2018-05-10 14:55 - 000000000 ____D C:\Tempzxpsignc7343ed5dd2aeea8
2018-05-10 14:55 - 2018-05-10 14:55 - 000000000 ____D C:\Tempzxpsign66b64e3aa43feb56
2018-05-25 14:37 - 2018-03-26 22:23 - 000000000 ____D C:\ProgramData\ProductData
EmptyTemp:
Reboot:
End::[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

4) Сделайте свежие логи FRST.
08.06.2018, 12:53
CapxaH

Вложений: 3

готово

сделал
08.06.2018, 20:18
regist

[QUOTE]а SafeFinder поиск не нашол[/QUOTE]А где искали? Он должен быть в списке установленных программ и должен быть виден. Деинсталируйте его.

Хром также переустановите (удалите и поставьте заново).

Затем свежие логи FRST и дочистим остатки.
08.06.2018, 22:01
CapxaH

Огромное спасибо за Ваш труд и потраченное на меня время!!!
Просто у меня не осталось времени на дальнейшее лечение компа и система начала сильно сбоить, я решил переустановить ОС.
Это было не первое обращение к Вам и думаю что не последнее:D:D

С уважением СархаН

П.С.: а SafeFinder не нашёл ни ССкленер ни ИОунинсталлер
08.06.2018, 22:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]101[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\egdgbqeiu\ywgnii.dll - [B]not-a-virus:HEUR:AdWare.Win32.Generic[/B][*] c:\program files (x86)\ijcqgtqqpstu2\kycwvgcneiuir.dll - [B]not-a-virus:HEUR:AdWare.Win32.Generic[/B] ( BitDefender: Gen:Variant.Barys.2132 )[*] c:\program files (x86)\ljfujmgehie\iteynryvpe.exe - [B]not-a-virus:HEUR:AdWare.Win32.Generic[/B] ( BitDefender: Gen:Trojan.Heur.JP.0uW@aWXcktai )[*] c:\program files (x86)\ljfujmgehie\kgzwr4oy.dll - [B]not-a-virus:HEUR:AdWare.Win32.Generic[/B] ( BitDefender: Gen:Trojan.Heur.LP.Fu4@a0IhKApi )[*] c:\program files (x86)\oxoywzinbbqwriorgrr\obgoohf.dll - [B]not-a-virus:HEUR:AdWare.Win32.Generic[/B] ( BitDefender: Gen:Variant.Barys.2132 )[*] c:\program files (x86)\systemhealer\systemhealer.exe - [B]Hoax.Win32.DeceptPCClean.cf[/B][*] c:\program files\b0985b53bdfcff625e52dae24b8fe992\3c1f09b303ad2b815c9cdabedf989eee.exe - [B]not-a-virus:HEUR:AdWare.Win32.Zdengo.gen[/B][*] c:\programdata\voyasollam\u-top.dll - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\progra~2\fastda~1\fastda~1.exe - [B]not-a-virus:AdWare.Win32.Adposhel.kfez[/B][*] c:\users\ella\appdata\local\temp\csrss\proxy\obfs4proxy.exe - [B]not-a-virus:NetTool.Win32.Agent.acpp[/B][*] c:\users\ella\appdata\roaming\hcoajtgv44b\bphclph1fjy.exe - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\users\ella\appdata\roaming\zhikmyavgli\tvvzhsobcfe.exe - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\windows\iaaclpptmbsklggq.iaac - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\windows\system32\drivers\3045b926276952b3e4a3ef1fc2c60028.sys - [B]not-a-virus:HEUR:AdWare.Win32.Zdengo.gen[/B][/LIST][/LIST]