Нужна помощь

**sennrit** · 24.08.2017, 12:48

Здравствуйте. На неделю оставила ноутбук младшей сестре, она в свою очередь очень оперативно скачала кучу торрентов с играми и фильмами, эффективно скачав вместе с этим и вирусы. Уже и сама чистила, и с помощью антивируса, ничего не помогает.
1) В браузере появилась куча рекламы, которую не блокирует даже антивирус и AdBlock
2) Каждые 5 минут вылезает реклама в браузере на отдельной вкладке
3) Куда бы я не нажала в браузере, сначала вылезает реклама, которую можно закрыть только через 5-10 минут, только потом можно нажать куда-либо еще
4) Периодически начинает выключаться звук/камера/мышка
5) Ноутбук стал очень сильно перегреваться и, в последствии, выключаться
6) Некоторые программы на компьютере перестали включаться
7) В поиске, хоть по умолчанию и стоит гугл, переходит в поиск mail.ru

Все программы на ноутбуке стали периодически зависать и не отвечать

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.08.2017, 12:51

Уважаемый(ая) sennrit, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**lex0819** · 24.08.2017, 13:32

Здравствуйте!

1. Удалите лишнее ПО штатными средствами Windows через Установку-удаление программ.

2. Оставьте один антивирус, остальные удалите.

3. Вам нужны эти программы?

Код:

D:\Музыка\фтш\Photoshop.exe
E:\Africa\Setup.exe

4. Временно отключите защитное ПО.

Выполните скрипт AVZ.

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Users\компьютер\AppData\Local\Phoenix\Updater.exe','');
 DeleteFile('C:\Windows\system32\Tasks\Phoenix Browser Updater','32');
 DeleteFile('C:\Users\компьютер\AppData\Local\Phoenix\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{23182A8D-8780-4890-9805-F5F4DA9947B0}','32');
 DeleteFile('C:\Windows\system32\Tasks\{72A2E94A-DB6E-4C52-B81D-27DF2425A469}','32');
 DeleteFile('C:\Windows\system32\Tasks\{DD704B3C-CAF3-4346-AD32-3E921639C473}','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(21);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

5. Сделайте лог утилитой AdwCleaner и пришлите его.

6. Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**sennrit** · 03.09.2017, 07:46

нет, не нужны

**lex0819** · 04.09.2017, 11:13

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811013
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B21151340-2BAA-49A7-8677-96DE03FD5E68%7D&gp=811014
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\компьютер\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-08-04]
FF Extension: (Поиск@Mail.Ru) - C:\Users\компьютер\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-08-04]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818408","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://mail.ru/cnt/10445?gp=812204"
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1706042708-3011583055-4105471156-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (No Name) - C:\Users\компьютер\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-07-30]
2017-09-03 14:24 - 2009-07-14 14:34 - 000026576 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2017-09-03 14:24 - 2009-07-14 14:34 - 000026576 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2017-07-20 00:15 - 2017-07-20 00:15 - 000000000 ____H () C:\ProgramData\DP45977C.lfl
2016-09-12 07:19 - 2016-09-12 07:19 - 000000016 _____ () C:\ProgramData\mntemp
2016-09-14 20:22 - 2016-09-14 20:22 - 000005116 _____ () C:\ProgramData\rxsmznjf.zcp
Task: {3833FB8C-318D-4722-B164-EC780EF62D54} - \MSI -> No File <==== ATTENTION
Task: {58F31532-D35F-4DAB-9F22-98F9DFFEC04E} - \{23182A8D-8780-4890-9805-F5F4DA9947B0} -> No File <==== ATTENTION
Task: {9B5E7B22-1FF2-403D-917E-FC2D4139336A} - \Phoenix Browser Updater -> No File <==== ATTENTION
Task: {A2BBD9F9-9570-43E1-9D60-33322C2EB12F} - \{DD704B3C-CAF3-4346-AD32-3E921639C473} -> No File <==== ATTENTION
Task: {A8C2D4B4-42CD-432A-9D4C-80B4C618EA83} - \{72A2E94A-DB6E-4C52-B81D-27DF2425A469} -> No File <==== ATTENTION
Task: {B9204604-D659-48CE-AB74-242E66BC73E7} - no filepath
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**sennrit** · 24.09.2017, 09:12

///

**lex0819** · 24.09.2017, 13:01

Уточните, что с проблемой?

**sennrit** · 01.10.2017, 07:26

в браузере постоянно открываются посторонние страницы с рекламой, на всех сайтах появляется реклама, сейчас выдает, что браузер используется для получения криптовалюты, некоторые приложения перестали открываться, ноутбук стал медленно работать

**lex0819** · 01.10.2017, 12:59

В каком именно браузере вы работаете? Удалите из него все расширения и дополнения.
Пришлите новые логи из программ autologger и farbar.

**sennrit** · 11.10.2017, 15:55

google chrome

**lex0819** · 11.10.2017, 17:19

1. Удалите антивирус 360 Total Security (360safe) штатными средствами Windows.
2. Удалите ПО Adobe, которым вы не пользуетесь. Оставьте только необходимое, например Acrobat Reader.
3.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
OPR Extension: (MediaSecond files download helper) - C:\Users\компьютер\AppData\Roaming\Opera Software\Opera Stable\Extensions\fidgfgjjfmicejfgkmmnoomabpnegocl [2017-08-04]
R3 uti3nty1; C:\Windows\system32\Drivers\uti3nty1.sys [7168 2017-10-11] () [File not signed]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2017-10-10 21:47 - 2017-10-10 21:47 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsign8875437fab8546e9
2017-10-10 21:47 - 2017-10-10 21:47 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsign7f28f8ea8bed789b
2017-10-10 21:47 - 2017-10-10 21:47 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsign554c69ca52a1e08c
2017-10-10 21:46 - 2017-10-10 21:46 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsignb6087335f488c6d2
2017-10-10 21:46 - 2017-10-10 21:46 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsignae3a654a53cb7de2
2017-10-10 21:43 - 2017-10-10 21:43 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsignf66f08dcc4646f99
2017-10-10 21:43 - 2017-10-10 21:43 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsigncbaac087cae61cc4
2017-10-10 21:43 - 2017-10-10 21:43 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsignc9d7d000b55be233
2017-10-10 21:43 - 2017-10-10 21:43 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsign0a7376cba9840ffc
2017-10-10 21:30 - 2017-10-10 21:30 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsign377a38b806698400
2017-10-10 21:29 - 2017-10-10 21:29 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsigna3efc91e438e173b
2017-10-10 21:29 - 2017-10-10 21:29 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsign51ff8435f1d5365b
2017-10-10 21:22 - 2017-10-10 21:22 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsignb0bbea7389c19a9b
2017-10-10 21:21 - 2017-10-10 21:21 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsignaba487505881a3fc
2017-10-10 21:15 - 2017-10-10 21:15 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsign45464fddb5fff756
2017-10-10 21:13 - 2017-10-10 21:13 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsignb88f3de8534af5bb
2017-10-10 21:13 - 2017-10-10 21:13 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsign99d9b638141f6eac
2017-10-10 21:13 - 2017-10-10 21:13 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsign72e2b7ee5f402c77
2017-10-10 21:10 - 2017-10-10 21:10 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsignfa716e0f6e1f8c7f
2017-10-10 21:10 - 2017-10-10 21:10 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsigne6f6fcf61eca8f19
2017-10-10 21:10 - 2017-10-10 21:10 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsignd1438e07d0a8b295
2017-10-10 21:09 - 2017-10-10 21:09 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsignfb8c4703abdcabf3
2017-10-10 21:09 - 2017-10-10 21:09 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsignaf9de06d4913e15f
2017-10-10 21:09 - 2017-10-10 21:09 - 000000000 ____D C:\Users\компьютер\AppData\Local\Tempzxpsign2571f57265609eab
2017-10-10 21:04 - 2017-10-10 21:04 - 000000040 ____H C:\3720170C1FBA
2017-09-24 16:10 - 2017-10-11 22:44 - 000005984 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2017-09-24 16:10 - 2017-10-11 22:44 - 000005984 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2017-09-24 22:05 - 2017-05-15 17:42 - 000000000 ____D C:\Users\Все пользователи\360safe
2017-09-24 22:05 - 2017-05-15 17:42 - 000000000 ____D C:\ProgramData\360safe
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

4. Для очистки браузера Chrome используйте фирменный инструмент Google cleanup-tool
Рекомендации техподдержки Google - Как удалить вредоносное ПО и заблокировать всплывающие окна в Chrome

5. Сделайте лог утилитой AdwCleaner и пришлите его.

**sennrit** · 14.10.2017, 06:21

\\\

**lex0819** · 14.10.2017, 18:42

Уточните, решилась ли проблема?

**sennrit** · 15.10.2017, 09:32

вроде да, рекламы пока что больше не видела, ноутбук стал быстрее работать. Спасибо большое!

**lex0819** · 15.10.2017, 09:56

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

Нужна помощь (заявка № 214884)

Опции темы