Рекламные владки в браузере + автоустановка расширений

[regist]

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O4 - HKCU\..\Run: [World of Tanks (2)] "C:\Games\World_of_Tanks_CT\WargamingGameUpdater.exe" (file missing)
O22 - Task (Ready): Milimili - C:\Program Files (x86)\MIO\MIO.exe -bindurl http://api.suibianmaimaicom.com/st1000lm024xhn-m101mbb_s2wzj90c806363806363.dat cmd=
O22 - Task (Ready): OneDrive Standalone Update Task - C:\Users\Alex\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe (file missing)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[AlexRo]

Добрый день!

Снова отключается UAC. Сразу после перезагрузки.

Снова открываются не мной установленные стартовые страницы.

[regist]

Лог uVS сейчас посмотрю, а пока сделайте свежий лог сканирования AdwCleaner-ом.

[AlexRo]

Свежий лог.

[regist]

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
BREG
delref %SystemDrive%\USERS\POSTGRES\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6281.1202\FILECOAUTH.EXE
delref %SystemDrive%\USERS\POSTGRES\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
deldir %SystemDrive%\PROGRAMDATA\0655A6C7-4FC7-0
deldir %SystemDrive%\PROGRAMDATA\0655A6C7-6897-1
delall HTTP://MAIL.RU/CNT/10445?GP=821589
zoo %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ADOBE CREATIVE CLOUD\CCXPROCESS\JS\MAIN.JS
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.35.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.51.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.57.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.6\PSUSER.DLL
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.6\PSUSER_64.DLL
delref %SystemDrive%\USERS\POSTGRES\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\USERS\POSTGRES\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
delref %SystemDrive%\USERS\POSTGRES\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
delref %SystemDrive%\USERS\POSTGRES\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLL
delref %SystemDrive%\USERS\POSTGRES\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL
delref %SystemDrive%\USERS\POSTGRES\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\NPGOOGLEUPDATE3.DLL
delall HTTP://WWW.STARTPAGEING123.COM/?TYPE=HP&TS=1489574826&Z=DFD46FF812A630891ECEE4BG6ZCB4T8W3M4Z1B4ODZ&FROM=CHE0812&UID=ST1000LM024XHN-M101MBB_S2WZJ90C806363806363
delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\POSTGRES\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6281.1202\FILESYNCSHELL.DLL
delref %SystemDrive%\USERS\POSTGRES\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6743.1212\FILESYNCSHELL.DLL
czoo
restart

Сделайте свежий образ автозапуска.

+ посмотрите расширения в Хроме, все сами ставили?

- - - - -Добавлено - - - - -

+ WinSnare и amulesw - деинсталируйте.

[AlexRo]

Расширения устанавливал я, только гугловские установились изначально когда скачивал браузер.
Образ сделал, проги удалил.

[regist]

Выполните скрипт в uVS

Код:

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
BREG
delall %SystemDrive%\PROGRAMDATA\0655A6C7-4FC7-0\0655A6C7-4FC7-0.D
delall %SystemDrive%\PROGRAMDATA\0655A6C7-6897-1\0655A6C7-6897-1.D
restart

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс очереди BITS
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[AlexRo]

Скрипт выполнил, отчет прикрепил.

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

что с проблемой?

Для надежности сделайте ещё

- Сделайте лог полного сканирования MBAM.

[AlexRo]

Не хотят они покидать меня

[regist]

Удалите всё найденное в MBAM и проверьте проблему.

[AlexRo]

МБАМ После перезагрузки все равно нашел один недочет в реестре. Что-то мне подсказывает что что-то вылезет скоро.
Но пока что ничего зловредного нет.

[regist]

MBAM деинсталируйте.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[AlexRo]

AVZ пишет:

Часто используемые уязвимости не найдены. Скрипт выполнен успешно

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены