Реанимация старого компа

**Efreets** · 01.04.2020, 14:02

Добрый день. Реанимирую старый, "засраный" комп. Удалил все не используемые программы (в том числе "псевдо-антивирусы" не понятного происхождения). Комп ожил, но чую, что это ещё не всё )) К примеру, в опере не открывается некоторые сайты (вирусинфо в том числе), яндекс браузер шлёт спам (нашёл где удалить. Вроде не появляется теперь), неадекватное поведение в торренте (и медиагет)
Заранее спасибо
#Язакарантин #скучаемдома #убьёмвсевирусы

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 01.04.2020, 14:03

Уважаемый(ая) Efreets, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 01.04.2020, 22:16

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Рекомендую удалить MediaGet.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O2 - HKLM\..\BHO: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)
O4 - MSConfig\startupreg: AdobeBridge [command] = (HKCU) (2014/08/02) (no file)
O4 - MSConfig\startupreg: AdobeCS5ServiceManager [command] = C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe -launchedbylogin (HKLM) (2014/08/02) (file missing)
O4 - MSConfig\startupreg: Browser Manager [command] = C:\Documents and Settings\Марина\Local Settings\Application Data\Yandex\BrowserManager\MBLauncher.exe (HKCU) (2020/02/19) (file missing)
O4 - MSConfig\startupreg: GameCenterMailRu [command] = C:\Documents and Settings\Марина\Local Settings\Application Data\Mail.Ru\GameCenter\[email protected] -autostart (HKCU) (2014/08/02) (file missing)
O4 - MSConfig\startupreg: MAgent [command] = C:\Program Files\Mail.Ru\Agent\magent.exe -LM (HKLM) (2014/08/02) (file missing)
O4 - MSConfig\startupreg: Skype [command] = C:\Program Files\Skype\Phone\Skype.exe /minimized /regrun (HKCU) (2014/08/02) (file missing)
O4 - MSConfig\startupreg: egui [command] = C:\Program Files\ESET\ESET Smart Security\egui.exe /hide /waitservice (HKLM) (2014/08/02) (file missing)
O22 - Task (.job): (Ready) (update) Уведомление о завершении поддержки Microsoft Windows XP ежемесячно.job - C:\WINDOWS\system32\xp_eos.exe
O22 - Task (.job): (Ready) (update) Уведомлением о завершении поддержки Microsoft Windows XP при входе.job - C:\WINDOWS\system32\xp_eos.exe -c

Скачайте Adwcleaner 6.047, запустите, откажитесь от обновления, если будет запрос. Далее продолжайте по инструкции Malwarebytes AdwCleaner и прикрепите лог сканирования.

**Efreets** · 02.04.2020, 08:28

Готово. Всё по инструкциям

**Vvvyg** · 02.04.2020, 08:41

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Efreets** · 02.04.2020, 09:47

Готово

**Vvvyg** · 02.04.2020, 10:42

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-18\...\Run: [AlterGeoUpdater] => C:\Documents and Settings\All Users\Application Data\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
HKLM\Software\Microsoft\Active Setup\Installed Components: [{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}] -> 
HKLM\Software\Microsoft\Active Setup\Installed Components: [{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] -> 
Toolbar: HKU\S-1-5-21-515967899-1292428093-1801674531-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-515967899-1292428093-1801674531-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: (Пульт) - C:\Documents and Settings\Марина\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2019-11-29] [Legacy]
FF Extension: (Пульт) - C:\Program Files\Mozilla Firefox\distribution\extensions\[email protected] [2017-02-01] [Legacy]
FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\Documents and Settings\All Users\Application Data\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\S-1-5-21-515967899-1292428093-1801674531-1003: @altergeo.ru/Html5loc -> C:\Documents and Settings\All Users\Application Data\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
HR Notifications: Default -> hxxps://1.face-push.com; hxxps://au.ru; hxxps://torrent-jumpru1584706727553.face-push.com; hxxps://torrent-jumpru1584706727555.face-push.com; hxxps://torrent-jumpru1584706727555.face-push.com
CHR HKLM\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKU\S-1-5-21-515967899-1292428093-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKU\S-1-5-21-515967899-1292428093-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
S3 ujiyodu4; C:\WINDOWS\system32\Drivers\ujiyodu4.sys [10240 2020-04-01] (Zaitsev Oleg, 2006) [File not signed]
S3 utiyodu3; C:\WINDOWS\system32\Drivers\utiyodu3.sys [7168 2020-04-01] () [File not signed]
S3 utiyodu4; C:\WINDOWS\system32\Drivers\utiyodu4.sys [7168 2020-04-01] () [File not signed]
S3 XDva411; \??\C:\WINDOWS\system32\XDva411.sys [X]
2020-03-21 12:38 - 2020-03-21 21:18 - 000000242 _____ C:\WINDOWS\IE4 Error Log.txt
ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Program Files\Mail.Ru\Agent\Mra\dll\mramenu.dll -> No File
MSCONFIG\startupreg: AlterGeoUpdater => C:\Program Files\AlterGeo\Html5 geolocation provider\html5locsvc.exe
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Efreets** · 02.04.2020, 10:54

Готово

**Vvvyg** · 02.04.2020, 11:09

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Efreets** · 02.04.2020, 11:21

Готово

**Vvvyg** · 02.04.2020, 11:44

Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.

Архиваторы тоже используются в нехороших целях:
Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей.
Уязвимость в WinRAR активно эксплуатируется злоумышленниками.

Попробуйте установить Обновление для системы безопасности Windows XP SP3 (KB401259

, похоже, оно отсутствует в системе. Оно закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.

--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.101 Внимание! Скачать обновления
Adobe Flash Player 32 NPAPI v.32.0.0.101 Внимание! Скачать обновления
Adobe Reader X (10.1.9) v.10.1.9 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

Обновите это хозяйство.

Что касается браузеров - надо искать информацию, какая последняя версия поддерживается в XP.
Opera 12.02 точно удалите, в ней мало какой сайт сейчас откроется.

**Efreets** · 02.04.2020, 11:54

Понял

Спасибо большое

Реанимация старого компа (заявка № 224751)

Опции темы