Здравствуйте! ноут родственников начал жить своей жизнью: открывать окна браузеров, переходить по ссылкам итп.
Я немного его успокоил - почистил автозагрузку и папки windows/Temp, user/appdata/local/temp,удалил несколько аддонов к браузерам, но на дальнейшее моих знаний не хватает. CureIt не нашёл ничего криминального. Прилагаю лог автологгера. Помогите пожалуйста почистить систему от мусора. И, да, окна браузера намного реже, но всё же открываются сами собой.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) 8 5, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
отключите антивирусную программу
Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
После перезагрузки выполните скрипт:Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\Толик\appdata\roaming\vnlgp\vnlgp\vnlgp.exe'); TerminateProcessByName('c:\users\Толик\appdata\local\temp\00018959\msiql.exe'); StopService('KuaiZipDrive'); StopService('Hayzumflex'); StopService('MailRuYandex'); StopService('iThemes5'); StopService('HewlettPackardGUMBDtmp'); StopService('ed2kidle'); QuarantineFile('C:\Users\Толик\appdata\roaming\gplyra\gplyra\gplyra.exe',''); QuarantineFile('C:\Users\Толик\appdata\roaming\gplyra\gplyra.exe',''); QuarantineFile('C:\Program Files (x86)\Common Files\Zimbam\uninstall.dat',''); QuarantineFile('C:\Program Files (x86)\Common Files\Zimbam\uninstall.exe',''); QuarantineFile('C:\Users\Толик\AppData\Local\SystemMonitor2016\2628703937.exe',''); QuarantineFile('C:\Users\Толик\AppData\Local\Hostinstaller\2628703937_installcube.exe',''); QuarantineFile('C:\ProgramData\SearchModule\smhe.js',''); QuarantineFile('C:\ProgramData\smp2.exe',''); QuarantineFile('C:\Users\Толик\AppData\Roaming\Event Monitor\em.exe',''); QuarantineFile('C:\ProgramData\Hayzumflex\QvoFinlight.reg',''); QuarantineFile('C:\Program Files (x86)\PC Clean Plus\PCCleanPlus.exe',''); QuarantineFile('C:\PROGRA~1\6A8C~1\X86\Update.exe',''); QuarantineFile('C:\Program Files (x86)\Giqiiedaneqoch\shizery.exe',''); QuarantineFile('C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe',''); QuarantineFile('C:\Program Files (x86)\Clerbespdremerle\kogght.exe',''); QuarantineFile('C:\Program Files (x86)\Gradischiveght Cloud\local64spl.dll',''); QuarantineFile('C:\Users\Толик\AppData\Roaming\vnlgp\vnlgp\start.cmd',''); QuarantineFile('C:\Users\Толик\AppData\Roaming\WinSnare\WinSnare.dll',''); QuarantineFile('C:\Program Files\????\X86\kuaizipUpdateChecker.dll',''); QuarantineFile('C:\Program Files (x86)\Giqiiedaneqoch\arbHst.dll',''); QuarantineFile('C:\Program Files (x86)\WinArcher\Archer.dll',''); QuarantineFile('C:\ProgramData\Apple\Lockdown\InstallInfo.dll',''); QuarantineFile('C:\Users\Толик\AppData\Local\Temp\fd-27b43-1a7-d75a2-f56cbbe506476\ECFWCBVFGQ.exe',''); QuarantineFile('C:\Users\Толик\AppData\Local\Temp\fd-27b43-1a7-d75a2-f56cbbe506476\NUKHIBZGFN.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\heejmknn.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\hcszvtwq.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ggfemfxc.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gdmdmlwc.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\csetvjhp.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\azdqabzp.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys',''); QuarantineFile('C:\ProgramData\Hayzumflex\Hayzumflex.exe',''); QuarantineFile('C:\Program Files (x86)\Giqiiedaneqoch\GiqiiedaneqochDPower.dll',''); QuarantineFile('C:\Program Files (x86)\amuleCe\ed2k.exe',''); QuarantineFile('c:\programdata\winsapsvc\winsap.dll',''); QuarantineFile('C:\Program Files (x86)\Yandex\MailRuYandex.dll',''); QuarantineFile('C:\Program Files (x86)\Tooltony\Application\chrome_child.dll',''); QuarantineFile('C:\Program Files (x86)\Tooltony\Application\chrome.dll',''); QuarantineFile('C:\Program Files (x86)\GUMBD07.tmp\HewlettPackardGUMBDtmp.dll',''); QuarantineFile('c:\program files (x86)\gub\gubzl.dll',''); QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll',''); QuarantineFile('c:\users\Толик\appdata\roaming\vnlgp\vnlgp\vnlgp.exe',''); QuarantineFile('c:\users\Толик\appdata\local\temp\00018959\msiql.exe',''); DeleteFile('C:\Program Files (x86)\PC Clean Plus\PCCleanPlus.exe'); DeleteFile('c:\users\Толик\appdata\local\temp\00018959\msiql.exe','32'); DeleteFile('c:\users\Толик\appdata\roaming\vnlgp\vnlgp\vnlgp.exe','32'); DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','32'); DeleteFile('C:\Program Files (x86)\GUMBD07.tmp\HewlettPackardGUMBDtmp.dll','32'); DeleteFile('C:\Program Files (x86)\Yandex\MailRuYandex.dll','32'); DeleteFile('C:\Program Files (x86)\amuleCe\ed2k.exe','32'); DeleteFile('C:\Program Files (x86)\Giqiiedaneqoch\GiqiiedaneqochDPower.dll','32'); DeleteFile('C:\ProgramData\Hayzumflex\Hayzumflex.exe','32'); DeleteFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys','32'); DeleteFile('C:\Users\Толик\AppData\Local\Temp\fd-27b43-1a7-d75a2-f56cbbe506476\NUKHIBZGFN.exe','32'); DeleteFile('C:\Users\Толик\AppData\Local\Temp\fd-27b43-1a7-d75a2-f56cbbe506476\ECFWCBVFGQ.exe','32'); DeleteFile('C:\ProgramData\Apple\Lockdown\InstallInfo.dll','32'); DeleteFile('C:\Program Files (x86)\WinArcher\Archer.dll','32'); DeleteFile('C:\Program Files (x86)\Giqiiedaneqoch\arbHst.dll','32'); DeleteFile('C:\Program Files (x86)\Gub\GubZL.dll','32'); DeleteFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','32'); DeleteFile('C:\Users\Толик\AppData\Roaming\WinSnare\WinSnare.dll','32'); DeleteFile('C:\Program Files (x86)\Clerbespdremerle\kogght.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Bozoty Agent','64'); DeleteFile('C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\CheckControllerUpdatesUA','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Driqeghtnerwi','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Gradischiveght Cloud','64'); DeleteFile('C:\Program Files (x86)\Giqiiedaneqoch\shizery.exe','32'); DeleteFile('C:\PROGRA~1\6A8C~1\X86\Update.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\KuaiZip_Update','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Milimili','64'); DeleteFile('C:\WINDOWS\system32\Tasks\PC Clean Plus','64'); DeleteFile('C:\ProgramData\Hayzumflex\QvoFinlight.reg','32'); DeleteFile('C:\WINDOWS\system32\Tasks\psv_Cofphase','64'); DeleteFile('C:\Users\Толик\AppData\Roaming\Event Monitor\em.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\RunAtStartup','64'); DeleteFile('C:\ProgramData\smp2.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\SMW_P','64'); DeleteFile('C:\ProgramData\SearchModule\smhe.js','32'); DeleteFile('C:\WINDOWS\system32\Tasks\SMW_UpdateTask_Time_3131353033363430352d325b573423416c45555a2a6c','64'); DeleteFile('C:\Users\Толик\AppData\Local\Hostinstaller\2628703937_installcube.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64'); DeleteFile('C:\Users\Толик\AppData\Local\SystemMonitor2016\2628703937.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\SystemMonitor2016','64'); DeleteFile('C:\Program Files (x86)\Common Files\Zimbam\uninstall.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\{5EDBA36C-8FDF-4B51-B9A8-A015BA9A851B}','64'); DeleteFile('C:\Program Files (x86)\Common Files\Zimbam\uninstall.dat','32'); DeleteFile('C:\Users\Толик\appdata\roaming\gplyra\gplyra.exe','32'); DeleteFile('C:\Users\Толик\appdata\roaming\gplyra\gplyra\gplyra.exe','32'); DeleteFile('C:\Program Files\????\x86\kuaizipupdatechecker.dll','32'); DelBHO('{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}'); DelBHO('{a6c63b7f-2171-47fa-ab34-e64c4737169d}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NUKHIBZGFN.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ECFWCBVFGQ.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\APPLEsvr\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Archer\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Bvertaindubsp\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\GubZL\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\KuaizipUpdateChecker\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSnare\Parameters','ServiceDll'); DeleteService('KuaiZipDrive'); DeleteService('Hayzumflex'); DeleteService('GiqiiedaneqochDPower'); DeleteService('FirefoxDL'); DeleteService('MailRuYandex'); DeleteService('iThemes5'); DeleteService('HewlettPackardGUMBDtmp'); DeleteService('ed2kidle'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
+
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log из папки autologger-а на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Здравствуйте! Антивируса в системе не нашел. Скрипт запускал дважды - из-за невнимательности первый раз запустил от юзера.
Пока ещё периодически запускаются окна командного процессора и какая-то ерунда с иероглифами(это оказался ярлык таобао). Карантин загрузил, лог прикрепил.
PS: совсем забыл про него! Тут windows defender установлен же, и я его не отключал... Сработали скрипты или надо заново?
Последний раз редактировалось 8 5; 12.02.2017 в 16:35. Причина: вспомнил про дефендер
Частично отработали.Сообщение от 8 5
Выполните скрипт в AVZ:
После перезагрузки выполните скрипт:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\users\Толик\appdata\roaming\kuaizip\kytips.exe'); QuarantineFile('C:\Program Files\їмс№\x86\kuaizipupdatechecker.dll',''); QuarantineFile('c:\programdata\winsapsvc\winsap.dll',''); QuarantineFile('c:\program files (x86)\winarcher\archer.dll',''); QuarantineFile('C:\Program Files (x86)\Tooltony\Application\chrome_child.dll',''); QuarantineFile('C:\Program Files (x86)\Tooltony\Application\chrome.dll',''); QuarantineFile('c:\users\Толик\appdata\roaming\kuaizip\kytips.exe',''); DeleteFile('c:\users\Толик\appdata\roaming\kuaizip\kytips.exe','32'); DeleteFile('c:\programdata\winsapsvc\winsap.dll','32'); DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','32'); DeleteFile('C:\Program Files (x86)\WinArcher\Archer.dll','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Milimili','64'); DeleteFile('C:\Program Files\їмс№\x86\kuaizipupdatechecker.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Archer\Parameters','ServiceDll'); DeleteService('iThemes5'); ExecuteSysClean; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Отчет адв клинера... Неясно, нужно ли жать кнопку "очистить"?
Последний раз редактировалось 8 5; 13.02.2017 в 15:22.
Чистите. После перезагрузки, "погоняйте" интернет во всех браузерах, будут замечания в их работе, напишите. После того как список замечаний будет сформирован.
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Лечение явно пошло на пользу. Левых окон браузеров не открывается. Изредка промаргивает окно cmd.exe, но заметных последствий не вызывает. Работа ускорилась, перестал ноут по полчаса загружать диск на 100 процентов. Иногда аваст выдает вот такое оповещение(см. картинку).
Есть ещё проблема: win10 в параметры - выбор программ по умолчанию выбираю любой из установленных браузеров - результата ноль. Значение остается пустым почему-то.
Последний раз редактировалось 8 5; 14.02.2017 в 19:33.
В виду специфичности ПО на Вашем компьютере, к примеру я не знаю всех разработок СКБ Контур, не могу ручаться за то что, эти:
значения к ним не относятся, к их разработкам, при необходимости, можете самостоятельно убрать эти значения из fix листа.HKLM\...\Providers\m052lbwn: C:\Program Files (x86)\Gradischiveght Cloud\local64spl.dll [309760 2017-02-08] ()
ShellExecuteHooks: No Name - {258FDC78-EABD-11E6-8505-64006A5CFC23} - C:\Program Files (x86)\Giqiiedaneqoch\Drekit.dll [146944 2017-02-08] ()
ShellExecuteHooks: No Name - {8BC2E310-EABD-11E6-9AFB-64006A5CFC23} - C:\Program Files (x86)\Stfokchaquy_\Pezergh.dll [145408 2017-02-08] ()
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc2.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3673290376-373201893-1293516807-1000\...\MountPoints2: {636769e1-b55c-11e6-959f-cc52af9cdd6c} - "G:\autorun.exe" HKU\S-1-5-21-3673290376-373201893-1293516807-1000\...\MountPoints2: {636769f5-b55c-11e6-959f-cc52af9cdd6c} - "G:\autorun.exe" HKU\S-1-5-21-3673290376-373201893-1293516807-1000\...\MountPoints2: {83b82e95-bf9c-11e6-95a6-2c27d7cfe85a} - "G:\autorun.exe" HKLM\...\Providers\m052lbwn: C:\Program Files (x86)\Gradischiveght Cloud\local64spl.dll [309760 2017-02-08] () ShellExecuteHooks: No Name - {258FDC78-EABD-11E6-8505-64006A5CFC23} - C:\Program Files (x86)\Giqiiedaneqoch\Drekit.dll [146944 2017-02-08] () ShellExecuteHooks: No Name - {8BC2E310-EABD-11E6-9AFB-64006A5CFC23} - C:\Program Files (x86)\Stfokchaquy_\Pezergh.dll [145408 2017-02-08] () ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll [2017-02-08] () GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-3673290376-373201893-1293516807-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => No File BHO-x32: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll => No File Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File Toolbar: HKU\S-1-5-21-3673290376-373201893-1293516807-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-3673290376-373201893-1293516807-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File FF HKLM-x32\...\Firefox\Extensions: [{27182e60-b5f3-411c-b545-b44205977502}] - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension\SearchHelperExtension => not found CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jofdlbdmefjogcipddjnblinigmpagoj] - C:\Program Files (x86)\Lyrmix\Chrome.crx <not found> CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [131024 2016-12-02] (Elex do Brasil Participações Ltda) S2 WinSAPSvc; C:\Users\Толик\AppData\Roaming\WinSAPSvc\WinSAP.dll [185344 2017-02-13] (TODO: <Company name>) [File not signed] S2 WinSnare; C:\Users\Толик\AppData\Roaming\WinSnare\WinSnare.dll [779776 2017-02-08] (InterSect Alliance Pty Ltd) [File not signed] S3 iThemes5; rundll32 "C:\Program Files (x86)\Common Files\Services\iThemes.dll",fnde_svr [X] <==== ATTENTION R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda) S1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda) R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda) R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\WINDOWS\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) 2017-02-13 23:23 - 2016-05-19 14:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys 2017-02-13 23:11 - 2017-02-13 23:11 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.1.0) 2017-02-13 23:10 - 2017-02-13 23:20 - 00000000 ____D C:\Program Files (x86)\{58434087-AEC0-49A6-9FD4-964C1CEE4902} 2017-02-13 21:27 - 2017-02-13 23:11 - 00000000 ____D C:\Users\Толик\AppData\Roaming\WinSAPSvc 2017-02-13 21:24 - 2017-02-13 23:20 - 00000000 ____D C:\Program Files (x86)\{DAA391C6-70E9-41D0-99EA-C8F98A29915F} 2017-02-12 20:28 - 2017-02-13 18:02 - 00000000 ____D C:\Program Files (x86)\{EFD9F8E6-1634-4BAF-9175-EA3726B669CC} 2017-02-12 20:18 - 2017-02-12 20:27 - 00000000 ____D C:\Program Files (x86)\{DD6C1549-3B61-4A5E-B02E-37DA8FA4B72B} 2017-02-12 19:57 - 2017-02-12 20:15 - 00000000 ____D C:\Program Files (x86)\{350F908D-B466-4C89-B26B-6C7901F3C526} 2017-02-12 19:56 - 2017-02-13 23:10 - 00000000 ____D C:\Program Files\m052lbwn 2017-02-08 20:40 - 2017-02-08 20:36 - 00983040 _____ C:\Users\Толик\AppData\Roaming\Hotsoft.exe 2017-02-08 20:38 - 2017-02-09 12:23 - 00000000 ____D C:\Program Files\Z0FRZ2AZXM 2017-02-08 17:30 - 2017-02-08 17:31 - 00000000 ____D C:\Program Files\їмС№ amuleC (HKLM-x32\...\{B2EFFD4E-D098-4845-9D56-DE75BEB35913}) (Version: 1.0.1 - amuleC) <==== ATTENTION WinSnare (HKLM-x32\...\{54A54A73-D8CF-4EBF-BEA7-AD6507ACE4C5}) (Version: 4.1.0 - WinSnare) <==== ATTENTION YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version: - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION Task: {18BBC489-C60C-43C6-AB85-894F026AFCB6} - \psv_Cofphase -> No File <==== ATTENTION Task: {3527EC7B-F67D-48CF-9300-91E1088D57CC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION Task: {4AF17C7D-6143-49C2-9EE8-D3AAFD08C2D3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {53D7E4B1-80D3-4312-A2EA-6CB4F4230A9F} - \{5EDBA36C-8FDF-4B51-B9A8-A015BA9A851B} -> No File <==== ATTENTION Task: {58E8B914-9A8E-442D-BF13-BBE1642CCF17} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION Task: {60D5FD7B-5056-4A0C-9EEC-6B8FA75B028A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {61D759B2-7AC1-4F52-8158-ECD45798147A} - \Driqeghtnerwi -> No File <==== ATTENTION Task: {66A43A8C-6CF7-4CE8-BB51-E1E397E4D6CD} - \CheckControllerUpdatesUA -> No File <==== ATTENTION Task: {80014EA9-CC50-47A3-AD5A-DE77E281D3A8} - \SMW_UpdateTask_Time_3131353033363430352d325b573423416c45555a2a6c -> No File <==== ATTENTION Task: {819B03C1-A8D2-4A4E-8587-8210B0D59541} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {82713068-38CE-455D-936D-CD67DB52F4FA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {87CECF74-727C-4932-BE63-ED9DC3516A11} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION Task: {8A35132E-1EB3-4C81-A9DC-1D322E02A005} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {9AF54ECC-84CB-44F4-B7C5-C9D7D2796555} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {B3A743A6-9ED5-4C14-9B02-4D992C35BFBF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {BCFA7D42-63F7-47B9-B20D-67363A33C356} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {BFC9AB1B-7B16-4BBA-B424-6361DEBECFDB} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION Task: {C504B8EB-4E24-40AA-8A97-1A22A112D98E} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION Task: {C9C50E06-8ABC-4AC7-9FEB-DD389FAB8A05} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {E5E9DD8D-92CB-4666-9D7F-8DDE665C8EC6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {E8DEF4CF-73BB-42E3-9510-704B23D34253} - \Bozoty Agent -> No File <==== ATTENTION Task: {EBD9BBA3-0093-4165-A30B-A4973B778DBD} - \Gradischiveght Cloud -> No File <==== ATTENTION Task: {FE205C9C-4002-49BD-BF1C-A4819A414AD2} - \Dealply -> No File <==== ATTENTION 2017-02-13 18:09 - 2016-05-23 10:37 - 00065696 ____N () C:\Program Files (x86)\Elex-tech\YAC\zlib1.dll 2017-02-13 18:09 - 2016-05-23 10:37 - 00179200 ____N () C:\Program Files (x86)\Elex-tech\YAC\libpng.dll HKU\S-1-5-21-3673290376-373201893-1293516807-1000\...\StartupApproved\Run: => "ECFWCBVFGQ.exe" HKU\S-1-5-21-3673290376-373201893-1293516807-1000\...\StartupApproved\Run: => "LBRJY6NJAX" Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
ДВС! Сегодня утром не дождался окончания работы скрипта. Комп работал весь день. Вечером застал его с черным экраном, моргающим индикатором обращения к диску и не реагирующим ни на что. Выключил кнопкой, включил и началось: часа 4 он ставил какие-то обновления системы. Видимо что-то не давало ему это делать ранее. То есть в меню выключения присутствовали пункт "обновить и выключить/перезагрузить", но при нажатии на них ничего не обновлялось.
В итоге удалось запуститься.
Прикладываю файл лога, а так же результаты повторного сканирования утилитой FRST, так как похоже пофиксилось не всё. Окно cmd всё-таки появлялось один раз на полсекунды(похоже его запускала программа Qtrax.удалил ее вручную через Установку и удаление программ. При этом так же появлялись окна командной строки). Кроме того удалил какой-то "менеджер браузеров" и неизвестную программу "YAC".
Так же зафиксирован переход в Хроме по ссылке moneybot какой-то и фоновое воспроизведение аудиорекламы.
Так же в Параметрах нельзя поменять браузер по умолчанию. Сейчас там Edge.
Последний раз редактировалось 8 5; 15.02.2017 в 19:44.
Проверьте в установленных программах наличие программ:
Если они установлены, деинсталлируйте.SafeFinder
trotux
trotux (возможно другая версия, отличная от первого варианта)
WinSnare
YAC(Yet Another Cleaner!)
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Hayzumflexs\ff.NT FF NewTab: Firefox\Firefox\Profiles\nahd6ha2.default -> C:\\ProgramData\\Hayzumflexs\\ff.NT FF Extension: (SimilarWeb) - C:\Users\Толик\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-02-11] [not signed] FF Extension: (FF Adr) - C:\Users\Толик\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-02-11] [not signed] FF HKU\S-1-5-21-3673290376-373201893-1293516807-1000\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Lyrmix\FF => not found CHR Extension: (Помощник) - C:\Users\Толик\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhbldcgbjblipegbeclmcnnddnopnhjm [2017-02-13] CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [131024 2016-12-02] (Elex do Brasil Participações Ltda) 2017-02-13 18:08 - 2017-02-13 18:08 - 00000000 ____D C:\Users\Толик\AppData\Roaming\Elex-tech 2017-02-13 18:08 - 2017-02-13 18:08 - 00000000 ____D C:\Program Files (x86)\Elex-tech 2017-02-15 22:09 - 2016-05-19 14:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys 2017-02-12 20:12 - 2016-01-19 19:29 - 00000000 ____D C:\Users\Толик\AppData\Local\SystemMonitor2016 2017-02-12 20:12 - 2015-12-04 08:28 - 00000000 ____D C:\Program Files (x86)\GUMBD07.tmp C:\ProgramData\RegistryReviver.exe C:\Users\Все пользователи\RegistryReviver.exe HKU\S-1-5-21-3673290376-373201893-1293516807-1000\...\ChromeHTML: -> "C:\Program Files (x86)\Tooltony\Application\chrome.exe" "%1" <==== ATTENTION Task: {E25978EC-9EF9-4E4C-9CFB-7AD9BFCEB4D2} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION 2017-02-13 18:09 - 2016-05-23 10:37 - 00065696 ____N () C:\Program Files (x86)\Elex-tech\YAC\zlib1.dll 2017-02-13 18:09 - 2016-05-23 10:37 - 00179200 ____N () C:\Program Files (x86)\Elex-tech\YAC\libpng.dll C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Tooltony HKU\S-1-5-21-3673290376-373201893-1293516807-1000\...\StartupApproved\Run: => "Browser Manager" FirewallRules: [{A2668380-B47E-45B5-824A-755E6ACAEB5D}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{D7604C80-682B-4A90-9674-CA8C6B92F65E}] => C:\Program Files (x86)\Tooltony\Application\chrome.exe Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Это от Яндекса.
Microsoft Default Manager - попробуйте выключить.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
trotux - uninstall (2шт) и SafeFinder не удаляются, мотивируя первые - отсутствием каталога и вторая - файла uninstall.exe.
Браузер по умолчанию после перезагрузки удалось поменять без проблем. Больше протестировать не успел - убежал на работу.
Последний раз редактировалось 8 5; 16.02.2017 в 06:17.
Аналогично. Успел ответить только в Вашей теме и по рабочим делам ускакал работать на всю ночь на другой конец города. А теперь ближе к теме, протестируйте всё внимательно, при наличии замечаний отпишитесь.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 35
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\amulece\ed2k.exe - HEUR:Trojan.Win32.Generic
- c:\program files (x86)\common files\zimbam\uninstall.exe - Trojan-Dropper.Win32.Agent.sblf
- c:\program files (x86)\giqiiedaneqoch\giqiiedaneqochdpower.dll - Trojan.Win32.Agentb.iifl
- c:\program files (x86)\gradischiveght cloud\local64spl.dll - Trojan.Win64.Eroyee.ey
- c:\program files (x86)\gub\gubzl.dll - Trojan.Win32.Eroyee.c
- c:\program files (x86)\gumbd07.tmp\hewlettpackardgumbdtmp.dll - Trojan.Win32.Agentb.iiff
- c:\program files (x86)\winarcher\archer.dll - not-a-virus:AdWare.Win32.ELEX.ate
- c:\program files (x86)\yandex\mailruyandex.dll - Trojan.Win32.Agentb.iiff
- c:\program files\їмс№\x86\kuaizipupdatechecker.dll - not-a-virus:RiskTool.Win32.KuaiZip.a
- c:\programdata\hayzumflex\hayzumflex.exe - Trojan-Dropper.Win32.Agent.sblf
- c:\programdata\winsapsvc\winsap.dll - not-a-virus:AdWare.Win32.ELEX.asu
- c:\users\толик\appdata\local\temp\00018959\msiql.e xe - not-a-virus:HEUR:AdWare.Win32.Sokuxuan.gen ( BitDefender: Gen:Variant.Zusy.188040 )
- c:\users\толик\appdata\roaming\gplyra\gplyra.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.bti
- c:\users\толик\appdata\roaming\gplyra\gplyra\gplyr a.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen
- c:\users\толик\appdata\roaming\kuaizip\kytips.exe - not-a-virus:AdWare.Win32.Agent.kdbd
- c:\users\толик\appdata\roaming\vnlgp\vnlgp\vnlgp.e xe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen
Уважаемый(ая) 8 5, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
