Помогите почистить систему.

**tempo_box** · 08.12.2019, 14:04

Здравствуйте. Помогите, пожалуйста, почистить систему.
Дети опять что-то поймали. Почистил DrWeb и Anti-Malware, но мне кажется что-то осталось.
Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.12.2019, 14:05

Уважаемый(ая) tempo_box, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 08.12.2019, 15:35

Выполните скрипт в AVZ:

Код:

begin
 DeleteService('TSSysKit');
 DeleteService('TSDefenseBt');
 DeleteService('TSCPM');
 DeleteService('TS888x64');
 DeleteService('TFsFlt');
 DeleteService('TAOKernelDriver');
 DeleteService('TAOAccelerator');
 DeleteService('QQSysMonX64');
 DeleteService('QMUdisk');
 DeleteService('QQPCRTP');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service','x64');
 DeleteSchedulerTask('AdobeAAMUpdater-1.0-KORI-Kori Shimidzy');
 DeleteSchedulerTask('{6CA15225-E991-4847-9794-60EFEE1548E0}');
 DeleteSchedulerTask('{B3AD4E75-3B58-401F-8039-C6C85904A759}');
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://smartsputnik.ru/?ri=1&uid=7890095ed8454a25e71835e08864d6ec&q=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://smartsputnik.ru/?ri=1&uid=7890095ed8454a25e71835e08864d6ec&q=
O2-32 - HKLM\..\BHO: (no name) - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDfE067B1} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file)

Сделайте лог Malwarebytes AdwCleaner.

**tempo_box** · 08.12.2019, 16:12

При попытке выполнить скрипт пишет:
Ошибка: Too many actual parameters в позиции 12:11

Скрин приложил.

**Vvvyg** · 08.12.2019, 16:43

А зачем вы в старой версии AVZ скрипт выполняете? В той, что в папке Autologger нужно, чем логи делали.

**tempo_box** · 08.12.2019, 17:12

Сделал, логи приложил.

**Vvvyg** · 08.12.2019, 21:09

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**tempo_box** · 08.12.2019, 22:32

Все отчеты в архиве.

**Vvvyg** · 09.12.2019, 06:48

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {7786B6C9-2AC2-4C34-9484-0DFCE62B3B96} - \Video Logo -> No File <==== ATTENTION
Task: {B1490EDF-6B0E-4C56-85F1-AA6D1EAEFC0C} - \VSProtector -> No File <==== ATTENTION
FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\npQMExtensionsMozilla.dll [No File]
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj]
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\ART and FUN\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
S3 11262DF0; \??\C:\WINDOWS\TEMP\11262DF0.sys [X]
S3 4F963D7970F434ED; \??\C:\WINDOWS\TEMP\11004F74.sys [X]
S3 D88B313; \??\C:\WINDOWS\TEMP\D88B313.sys [X]
S3 DA1488E; \??\C:\WINDOWS\TEMP\DA1488E.sys [X]
S3 F2E3D98; \??\C:\WINDOWS\TEMP\F2E3D98.sys [X]
S1 MpKslDrv; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E0F9BE08-0569-4C4C-9609-6A4F2E95B24E}\MpKslDrv.sys [X]
S3 SmbDrv; \SystemRoot\System32\drivers\Smb_driver_AMDASF.sys [X]
S3 SmbDrvI; \SystemRoot\System32\drivers\Smb_driver_Intel.sys [X]
S3 STHDA; \SystemRoot\system32\DRIVERS\stwrt64.sys [X]
S3 uti5odm4; \??\C:\WINDOWS\system32\Drivers\uti5odm4.sys [X]
2019-12-08 17:08 - 2019-12-08 22:13 - 000000000 ____D C:\AdwCleaner
2019-12-07 21:23 - 2015-12-12 14:07 - 000000000 ____D C:\ProgramData\WjhxTbVNun
2016-02-17 23:03 - 2016-02-17 23:03 - 000000532 _____ () C:\ProgramData\bNoEhFecFjCly0.bat
2015-12-01 18:56 - 2015-12-01 18:56 - 000000532 _____ () C:\ProgramData\cqz0.bat
2015-10-22 19:19 - 2015-10-22 19:19 - 000000461 _____ () C:\ProgramData\DzgbRqkzjdY5.bat
2016-01-23 19:54 - 2016-01-23 19:54 - 000000461 _____ () C:\ProgramData\IctEgfAIGY5.bat
2016-01-21 18:45 - 2016-01-21 18:45 - 000000319 _____ () C:\ProgramData\KdhKicKr5.bat
2015-12-29 14:45 - 2015-12-29 14:45 - 000000461 _____ () C:\ProgramData\lCZCiMDfVNPo5.bat
2016-02-24 18:28 - 2016-02-24 18:28 - 000000390 _____ () C:\ProgramData\LFBZoU0.bat
2015-10-15 18:32 - 2015-10-15 18:32 - 000000319 _____ () C:\ProgramData\lzoRkCh5.bat
2016-01-30 01:29 - 2016-01-30 01:29 - 000000390 _____ () C:\ProgramData\OQwYAnPlME5.bat
2015-12-26 00:18 - 2015-12-26 00:18 - 000000390 _____ () C:\ProgramData\XmMtDf0.bat
2016-02-15 18:09 - 2016-02-15 18:09 - 000000390 _____ () C:\ProgramData\ZBGjcgCdWi5.bat
2016-02-17 23:03 - 2016-02-17 23:03 - 000000532 _____ () C:\Users\Все пользователи\bNoEhFecFjCly0.bat
2015-12-01 18:56 - 2015-12-01 18:56 - 000000532 _____ () C:\Users\Все пользователи\cqz0.bat
2015-10-22 19:19 - 2015-10-22 19:19 - 000000461 _____ () C:\Users\Все пользователи\DzgbRqkzjdY5.bat
2016-01-23 19:54 - 2016-01-23 19:54 - 000000461 _____ () C:\Users\Все пользователи\IctEgfAIGY5.bat
2016-01-21 18:45 - 2016-01-21 18:45 - 000000319 _____ () C:\Users\Все пользователи\KdhKicKr5.bat
2015-12-29 14:45 - 2015-12-29 14:45 - 000000461 _____ () C:\Users\Все пользователи\lCZCiMDfVNPo5.bat
2016-02-24 18:28 - 2016-02-24 18:28 - 000000390 _____ () C:\Users\Все пользователи\LFBZoU0.bat
2015-10-15 18:32 - 2015-10-15 18:32 - 000000319 _____ () C:\Users\Все пользователи\lzoRkCh5.bat
2016-01-30 01:29 - 2016-01-30 01:29 - 000000390 _____ () C:\Users\Все пользователи\OQwYAnPlME5.bat
2015-12-26 00:18 - 2015-12-26 00:18 - 000000390 _____ () C:\Users\Все пользователи\XmMtDf0.bat
2016-02-15 18:09 - 2016-02-15 18:09 - 000000390 _____ () C:\Users\Все пользователи\ZBGjcgCdWi5.bat
2016-03-29 19:09 - 2016-03-29 19:09 - 000000064 ____H () C:\Program Files\JVM.log
2015-03-26 22:26 - 2015-03-26 22:41 - 000000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
ContextMenuHandlers3: [QMContextUninstall] -> {CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} =>  -> No File
ContextMenuHandlers6: [QMContextUninstall] -> {CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} =>  -> No File
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
FirewallRules: [{BDD6FA90-29CD-444F-83DE-1D0D51C3CD1C}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe No File
FirewallRules: [{D2FC9E5D-5C61-4F8E-B352-6109BE2775B3}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe No File
FirewallRules: [{4FDD91C4-493F-48FA-B0E1-83EB8B1538A3}] => (Allow) C:\Users\ART and FUN\AppData\Local\WinnerDM\wdm.bin No File
FirewallRules: [{6745A758-054E-4957-8DAD-7FA64F8F5F09}] => (Allow) %LocalAppData%\HPConnectedMusic\Application\spotify_helper.exe No File
FirewallRules: [{93EC3464-5C9D-435B-B083-2B7A426E7831}] => (Allow) %LocalAppData%\HPConnectedMusic\Application\spotify_helper.exe No File
FirewallRules: [{817B25BB-9750-4693-B288-E1E2F6C3757D}] => (Allow) %LocalAppData%\HPConnectedMusic\Application\HPConnectedMusic.exe No File
FirewallRules: [{DB4FF790-ACE1-4ABC-A7F4-9EDB47FFF8D7}] => (Allow) %LocalAppData%\HPConnectedMusic\Application\HPConnectedMusic.exe No File
FirewallRules: [{CF0BB9EB-4D1D-439F-9A27-8071E9598C25}] => (Allow) C:\GameXP\AccessPoint\accesspoint.exe No File
FirewallRules: [{6467AE50-B3F4-406A-8857-33D73D637B92}] => (Allow) C:\GameXP\AccessPoint\accesspoint.exe No File
FirewallRules: [{65FF1DA4-0186-4FE6-B9F2-9F77E4F5CBA3}] => (Allow) C:\GameXP\AccessPoint\accesspoint-bin.exe No File
FirewallRules: [{25B70C8E-DB75-48D2-84FD-B555ECDF3D5C}] => (Allow) C:\GameXP\AccessPoint\accesspoint-bin.exe No File
FirewallRules: [{8183FFFB-A081-439B-8BC1-4751F5C6B844}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
FirewallRules: [{BE3D5A41-5D27-4DA8-AA62-05BE428FFA86}] => (Allow) C:\Program Files (x86)\FastoPlayer\VSUpdater.exe No File
FirewallRules: [{45F7C815-DE10-4A23-828E-8B75D9692D0F}] => (Allow) C:\Users\ART and FUN\AppData\Local\Kometa\Application\kometa.exe No File
FirewallRules: [{2E87CC6E-3C33-4209-85AB-3AE9B5C1D958}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\Run_CSGO.exe No File
FirewallRules: [{95494691-DB51-47E9-9B1C-804BD4E9529A}] => (Allow) C:\Users\Семья\AppData\Local\MediaGet2\mediaget.exe No File
FirewallRules: [{2F9642DF-3A09-40BD-902B-32640EF4768D}] => (Allow) C:\Users\Семья\AppData\Local\MediaGet2\mediaget.exe No File
FirewallRules: [{A44CCD9F-A5FB-4D32-A077-A36197C0AD7C}] => (Allow) C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPPSdr\HPDiagnosticCoreUI.exe No File
FirewallRules: [{4B79FE2A-BAB6-473D-9CF4-A826031EA185}] => (Allow) C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPPSdr\HPDiagnosticCoreUI.exe No File
FirewallRules: [TCP Query User{3297F28D-B5D9-4240-9F7C-488059EA4972}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe No File
FirewallRules: [TCP Query User{87C869EA-BF6B-45EF-9D13-A3BFCB15FF18}C:\program files (x86)\java\jre1.8.0_73\bin\javaw.exe] => (Block) C:\program files (x86)\java\jre1.8.0_73\bin\javaw.exe No File
FirewallRules: [UDP Query User{617EDC5E-7FF7-421A-B4BF-AF84DC741112}C:\program files (x86)\java\jre1.8.0_73\bin\javaw.exe] => (Block) C:\program files (x86)\java\jre1.8.0_73\bin\javaw.exe No File
FirewallRules: [TCP Query User{45FE4946-2088-4935-BDC8-DDEDBE693E58}C:\users\администратор\appdata\roaming\.cristalix\jbin\java64\bin\javaw.exe] => (Block) C:\users\администратор\appdata\roaming\.cristalix\jbin\java64\bin\javaw.exe No File
FirewallRules: [UDP Query User{96DBD28C-CCED-49A2-8182-44B679C2FC6E}C:\users\администратор\appdata\roaming\.cristalix\jbin\java64\bin\javaw.exe] => (Block) C:\users\администратор\appdata\roaming\.cristalix\jbin\java64\bin\javaw.exe No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**tempo_box** · 09.12.2019, 08:42

Сделал.

**Vvvyg** · 09.12.2019, 17:31

Что с проблемой? Если сохраняется, сделайте следующее.
Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если его нет- продолжайте без него.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

**tempo_box** · 10.12.2019, 13:24

Спасибо! DrWeb и Malwarebytes ни чего не находят.

**Vvvyg** · 10.12.2019, 19:46

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Помогите почистить систему. (заявка № 224127)

Опции темы