Есть подозрение на вирусы

Printable View

Показывать 40 сообщений этой темы на одной странице

10.12.2016, 23:24
Sandor

Создайте текстовый файл [B]fixlist.txt[/B] в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
[code]start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-2885556980-1608370200-2376837185-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-2885556980-1608370200-2376837185-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
CHR Extension: (Яндекс) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Default\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi [2016-12-09]
CHR Extension: (Яндекс) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjcgomkanpkpblokebecknhahgkcmoo [2016-12-09]
CHR Extension: (YouTube) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-12-09]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-12-09]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-12-09]
CHR Extension: (Mail.Ru) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-12-09]
CHR Extension: (Стартовая — Яндекс) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjfkgjlnocfakoheoapicnknoglipapd [2016-12-09]
2016-12-08 14:41 - 2016-12-08 14:41 - 00003628 _____ C:\Windows\System32\Tasks\InternetCC
Task: {FB8720AB-52A8-45D3-B156-13566F3684A4} - System32\Tasks\InternetCC => Chrome.exe hxxp://newnewstodays.org/forden
EmptyTemp:
Reboot:
end[/code]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
11.12.2016, 13:00
Nuchler

Готово
12.12.2016, 09:11
Sandor

Что сейчас с проблемой?
12.12.2016, 11:54
Nuchler

Все так же
12.12.2016, 12:08
Sandor

Вы сейчас вышли из аккаунта Гугл? Синхронизация отключена?
12.12.2016, 12:56
Nuchler

Да.
12.12.2016, 13:25
Sandor

Еще раз, пожалуйста, соберите свежие логи FRST.
12.12.2016, 15:59
Nuchler

Вот
12.12.2016, 16:02
Sandor

Нет, я подразумевал также, как в сообщении №5 п.2
12.12.2016, 16:17
Nuchler

2.
Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
Политики IE
Политики Chrome
и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Это ведь AdwCleaner, а не FRST. Вы имели ввиду 3 пункт?
12.12.2016, 16:23
Sandor

Именно так, третий пункт, прошу прощения.
12.12.2016, 16:27
Nuchler

лимит вложений превышен,не могу скинуть через ваш сайт,что делать?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Вот логи
[url]http://my-files.ru/lvgre5[/url]
[url]http://my-files.ru/krcisk[/url]
[url]http://my-files.ru/odc0so[/url]
12.12.2016, 16:43
Sandor

Создайте текстовый файл [B]fixlist.txt[/B] в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
[code]start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
("My Web Shield") C:\Program Files\My Web Shield\mweshield.exe
("My Web Shield") C:\Program Files\My Web Shield\mweshieldup.exe
HKU\S-1-5-21-2885556980-1608370200-2376837185-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=821272
SearchScopes: HKU\S-1-5-21-2885556980-1608370200-2376837185-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BF2657435-0EEA-4B58-9B99-88AF53ABEC36%7D&gp=821273
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821268"
R2 mweshield; C:\Program Files\My Web Shield\mweshield.exe [931128 2016-08-31] ("My Web Shield") <==== ATTENTION
R2 mweshieldup; C:\Program Files\My Web Shield\mweshieldup.exe [348472 2016-08-31] ("My Web Shield") <==== ATTENTION
2016-12-09 22:30 - 2016-12-09 22:30 - 00000000 ____D C:\Users\ак-47\AppData\Local\ZaxarGameBrowser
2016-12-09 22:30 - 2016-12-09 22:30 - 00000000 ____D C:\Program Files\My Web Shield
2016-12-09 22:29 - 2016-12-09 22:32 - 00000000 ____D C:\Users\ак-47\AppData\Local\Mail.Ru
2016-12-09 22:29 - 2016-12-09 22:32 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2016-12-09 22:29 - 2016-12-09 22:29 - 00000000 ____D C:\Users\ак-47\AppData\Roaming\Smart Application Controller
2016-12-09 22:29 - 2016-12-09 22:29 - 00000000 ____D C:\Users\ак-47\AppData\Roaming\PushControl
2016-12-09 22:29 - 2016-12-09 22:29 - 00000000 ____D C:\Users\ак-47\AppData\Roaming\PriceNavigator
2016-12-09 22:29 - 2016-11-09 16:02 - 00056656 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\mwescontroller.sys
Reboot:
end[/code]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
12.12.2016, 17:41
Nuchler

Проблема не решена
12.12.2016, 17:57
Sandor

В чём она сейчас проявляется?
12.12.2016, 18:11
Nuchler

Если удалить Гугл хром,а потом заново скачать,то устанавливаются автоматически расширения и вылетают вкладки с рекламой(хотя последнее пока что не проявлялось)
и еще на сайтах окна с рекламой (раньше такого не было (стоит адблок))
13.12.2016, 10:37
Sandor

Проверьте еще раз отключена ли синхронизация и сделали ли Вы выход из аккаунта (Настройки - Отключить аккаунт Google).

Затем еще раз соберите и прикрепите логи FRST.
[url]http://virusinfo.info/showthread.php?t=130567[/url]
13.12.2016, 11:59
Nuchler

Вложений: 3

На 100% уверен,что аккаунт гугл отключен
13.12.2016, 12:15
Sandor

Через Панель управления - Удаление программ - удалите:
[QUOTE]XFast LAN v6.61[/QUOTE]

Создайте текстовый файл [B]fixlist.txt[/B] в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
[code]start
CreateRestorePoint:
(cFos Software GmbH) C:\Program Files\ASRock\XFast LAN\spd.exe
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
CHR Extension: (Яндекс) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi [2016-12-13]
CHR Extension: (Яндекс) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\bhjcgomkanpkpblokebecknhahgkcmoo [2016-12-13]
CHR Extension: (YouTube) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-12-13]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-12-13]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-12-13]
CHR Extension: (Mail.Ru) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-12-13]
CHR Extension: (Стартовая — Яндекс) - C:\Users\ак-47\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pjfkgjlnocfakoheoapicnknoglipapd [2016-12-13]
CHR HKU\S-1-5-21-2885556980-1608370200-2376837185-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
R2 cFosSpeedS; C:\Program Files\ASRock\XFast LAN\spd.exe [395136 2011-10-19] (cFos Software GmbH)
MSCONFIG\startupreg: XFast LAN => C:\Program Files\ASRock\XFast LAN\cFosSpeed.exe
EmptyTemp:
Reboot:
end[/code]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
13.12.2016, 13:33
Nuchler

Вложений: 1

Кажется проблема решена (пока что не замечена)

Показывать 40 сообщений этой темы на одной странице