Ghostly Storage Server, Вулкан, какой-то Zahar и куча соц.сетей одолели мой компьютер!(((( помогите, пожалуйста, избавиться от них! :-)

[Clarie]

Здравствуйте! Меня зовут Соня. Я очень надеюсь на Вашу помощь!
Скачивала торрент Tomb Raider 2016 (могу дать ссылку откуда качала, вот не игралось же мне спокойно в третью Лару, любопытство погубило!((().
Открыв файл в торренте, побежала загрузка и комп подвис на мгновение.
Тут вдруг появились иконки ок вк браузера амиго и еще какого-то г(((
Я поставила паузу в торренте, быстренько скачала DrWeb и создала точку отката.
Стала завершать процессы, но они снова включались. В итоге я всё-таки удалила браузер Амиго вк и ок, но вулкан и еще что-то постоянно открывается в браузере, когда я иногда нажимаю мышкой даже просто на белый фон.
Гадость не открывается - ей мешает Dr.Web. (процесс происходит следующим образом: читаю хороший форум, жму мышкой на странице в любом месте, открывается новая вкладка с этим самым хорошим (безопасным) форумом на том же месте, где я и была, а та вкладка, на которую я жала - превращается в гадость, которую успешно блокирует DrWeb) Отключила его на время и сделала отчет. Прикрепляю. Включила обратно.


Помогите, пожалуйста, избавиться от этого Ghostly!

[Info_bot]

Уважаемый(ая) Clarie, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Clarie]

Уважаемый(ая) Clarie, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

я всё прикрепила,жду хелперов:-)

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
 SetServiceStart('Ghostery Storage Server', 4);
 DeleteFile('c:\program files (x86)\ghostery storage server\ghstore.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "InternetDB" /F', 0, 15000, true);
 DeleteService('Ghostery Storage Server');
DeleteFileMask('c:\program files (x86)\ghostery storage server', '*', true);
DeleteDirectory('c:\program files (x86)\ghostery storage server');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[Clarie]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
 SetServiceStart('Ghostery Storage Server', 4);
 DeleteFile('c:\program files (x86)\ghostery storage server\ghstore.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "InternetDB" /F', 0, 15000, true);
 DeleteService('Ghostery Storage Server');
DeleteFileMask('c:\program files (x86)\ghostery storage server', '*', true);
DeleteDirectory('c:\program files (x86)\ghostery storage server');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Здравствуйте! Спасибо за рекомендации. Я выполнила скрипт и провела сканирование с помощью кнопки "пуск" не отключая антивирус. потом сообразила, что надо было отключить антивирус и провести операцию через саму программу, а не через пуск. пару раз перезагрузила компьютер и всё сделала, как в инструкции.

логи старые удалять не стала из сообщения. вот новые:

[thyrex]

Проблема решена?

[Clarie]

нет еще пока, к сожалению((((

в логах красными буквами было написано около 7 строчек, может,в них дело?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Clarie]

Здравствуйте! Выполнено:

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-233817207-1746351418-3161449071-1000\...\Run: [AdobeBridge] => [X]
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  SearchScopes: HKU\S-1-5-21-233817207-1746351418-3161449071-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B665A4149-2A58-489F-90DC-47DFF88D5769%7D&gp=811041
  BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL => No File
  FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [No File]
  FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [No File]
  FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll [No File]
  FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [No File]
  FF Plugin: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\Win64Plugin\npAdobeExManDetectX64.dll [No File]
  FF Plugin-x32: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll [No File]
  2016-12-13 16:47 - 2016-12-13 16:47 - 00000000 ____D C:\Users\Sonya\AppData\Local\ZaxarGameBrowser
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Clarie]

Здравствуйте, mrak74, ! Благодарю за рекомендации. Я всё сделала. Прикрепляю логи:

[thyrex]

Проблема решена?

[Clarie]

thyrex,

нет((( всё-равно окна пытаются открыться((
вот эти:
http://www.reimageplus.com/includes/...x=sys&dis=high
https://www.avast.ru/free-antivirus-download
http://www.reimageplus.com/includes/...x=sys&dis=high
и казино 2 разных вида точно было... но вот казино пока что нет и это здорово!))

[mrak74]

нет((( всё-равно окна пытаются открыться((

В каком браузере / в каких ? Перечислите, + сделайте новые логи FRST.

[Clarie]

Здравствуйте, mrak74!
Кажется, (я только что заметила) это открываются окна с Вашего же сайта и предлагают загрузить avast, и их просто drweb блокирует (но не все, кстати). Открываются, когда нажимаю на фон и вроде бы ники... А казино перестало вылезать. Так что, наверное, проблема решена. Я хочу еще подождатьдо завтрашнего утра, вдруг всё же что-то вылезет, типа казино. Можно же так сделать - подождать? логи приклеплю после 22.00 сегодня

[mrak74]

Можно же так сделать - подождать? логи приклеплю после 22.00 сегодня

Хорошо.

[Clarie]

только что нажимала везде, проверяла,вот что обнаружила:
нажала на текст, который можно выделить (но не ссылку) и открылось окно, котороеdrweb блокнул, а в названии ссылки был аваст.
так же я нажала на название своей темы в списке всех тем и там всё-таки вылезло казино суперслотс((((( прикрепляю ссылку на всякий случай
https://ssl-million.com/?p31670p162014pf814

[mrak74]

Какой браузер ? + Новые логи FRST прикрепите.

[Clarie]

Google Chrome. так же есть Internet Explorer на компе, но я им не пользуюсь.
архив FRST:

[mrak74]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-233817207-1746351418-3161449071-1000\...\Run: [GameCenterMailRu] => C:\Users\Sonya\AppData\Local\Mail.Ru\GameCenter\[email protected] [5624736 2016-12-12] (LLC Mail.Ru)
HKU\S-1-5-21-233817207-1746351418-3161449071-1000\...\Run: [amigo] => C:\Users\Sonya\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
HKU\S-1-5-21-233817207-1746351418-3161449071-1000\...\Run: [MailRuUpdater] => C:\Users\Sonya\AppData\Local\Mail.Ru\MailRuUpdater.exe
HKU\S-1-5-21-233817207-1746351418-3161449071-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818409
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Sonya\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-12-13] (Mail.Ru)
FF Plugin HKU\S-1-5-21-233817207-1746351418-3161449071-1000: @mail.ru/GameCenter -> C:\Users\Sonya\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [2016-12-12] (LLC Mail.Ru)
CHR Extension: (Документы Google) - C:\Users\Sonya\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-02-14]
CHR Extension: (Диск Google) - C:\Users\Sonya\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-02-14]
CHR Extension: (Ultimate Discounter) - C:\Users\Sonya\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2016-12-13]
CHR Extension: (Google Search) - C:\Users\Sonya\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-14]
CHR Extension: (Tampermonkey) - C:\Users\Sonya\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-13]
CHR Extension: (Google*Документы офлайн) - C:\Users\Sonya\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-06-05]
CHR Extension: (Chrome Media Router) - C:\Users\Sonya\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-12-15]
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.