Добры день!
Беспокоит самопризвольное открытие вкладок с рекламой и не удаляется поисковая система getserch - пишет что установлено администратором.
Добры день!
Беспокоит самопризвольное открытие вкладок с рекламой и не удаляется поисковая система getserch - пишет что установлено администратором.
Уважаемый(ая) Никита Старцев, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('cd'); StopService('condef'); DeleteService('cd'); DeleteService('condef'); TerminateProcessByName('C:\Program Files\Content Defender\cd.exe'); QuarantineFile('C:\Program Files\Content Defender\cd.exe',''); QuarantineFile('C:\Program Files\content defender\condefclean.exe',''); QuarantineFile('C:\Program Files\content defender\condefsetup.exe',''); QuarantineFile('C:\Program Files\content defender\contentdefenderps.dll',''); QuarantineFile('C:\Program Files\content defender\import_root_cert.exe',''); QuarantineFile('C:\Program Files\content defender\libeay32.dll',''); QuarantineFile('C:\Program Files\content defender\nfregdrv.exe',''); QuarantineFile('C:\Program Files\content defender\nss\certutil.exe',''); QuarantineFile('C:\Program Files\content defender\nss\mozcrt19.dll',''); QuarantineFile('C:\Program Files\content defender\nss\nspr4.dll',''); QuarantineFile('C:\Program Files\content defender\nss\nss3.dll',''); QuarantineFile('C:\Program Files\content defender\nss\plc4.dll',''); QuarantineFile('C:\Program Files\content defender\nss\plds4.dll',''); QuarantineFile('C:\Program Files\content defender\nss\smime3.dll',''); QuarantineFile('C:\Program Files\content defender\nss\softokn3.dll',''); QuarantineFile('C:\Program Files\content defender\ssleay32.dll',''); QuarantineFile('c:\users\mila\appdata\roaming\daemon2.exe',''); QuarantineFile('C:\Windows\system32\drivers\condef.sys',''); QuarantineFile('C:\Windows\system32\searchprotectservice.exe',''); QuarantineFile('C:\Windows\syswow64\searchprotectservice.exe',''); QuarantineFile('C:\Windows\TEMP\E_SA1A3.tmp',''); DeleteFile('C:\Program Files\Content Defender\cd.exe','32'); DeleteFile('C:\Program Files\content defender\condefclean.exe','32'); DeleteFile('C:\Program Files\content defender\condefsetup.exe','32'); DeleteFile('C:\Program Files\content defender\contentdefenderps.dll','32'); DeleteFile('C:\Program Files\content defender\import_root_cert.exe','32'); DeleteFile('C:\Program Files\content defender\libeay32.dll','32'); DeleteFile('C:\Program Files\content defender\nfregdrv.exe','32'); DeleteFile('C:\Program Files\content defender\nss\certutil.exe','32'); DeleteFile('C:\Program Files\content defender\nss\mozcrt19.dll','32'); DeleteFile('C:\Program Files\content defender\nss\nspr4.dll','32'); DeleteFile('C:\Program Files\content defender\nss\nss3.dll','32'); DeleteFile('C:\Program Files\content defender\nss\plc4.dll','32'); DeleteFile('C:\Program Files\content defender\nss\plds4.dll','32'); DeleteFile('C:\Program Files\content defender\nss\smime3.dll','32'); DeleteFile('C:\Program Files\content defender\nss\softokn3.dll','32'); DeleteFile('C:\Program Files\content defender\ssleay32.dll','32'); DeleteFile('c:\users\mila\appdata\roaming\daemon2.exe','32'); DeleteFile('C:\Windows\system32\drivers\condef.sys','32'); DeleteFile('C:\Windows\system32\searchprotectservice.exe','32'); DeleteFile('C:\Windows\syswow64\searchprotectservice.exe','32'); DeleteFileMask('C:\Program Files\content defender', '*', true, ' '); DeleteDirectory('C:\Program Files\content defender'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Код:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
- Сделайте лог Check Browsers' LNK и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Выполнил!
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Удалил все, что бы не было сомнений)))
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION URLSearchHook: [S-1-5-21-1278612014-3644534387-551713525-1001] ATTENTION => Default URLSearchHook is missing URLSearchHook: HKU\S-1-5-21-1278612014-3644534387-551713525-1001 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.29.1\npGoogleUpdate3.dll => No File CHR Extension: (blacount) - C:\Users\Mila\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ecljapgcebeghdgfjacldomhcnlemkmk [2016-01-26] CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx OPR StartupUrls: "hxxp://aztiwin.ru/?utm_content=094ef9ef1c8635e95fad13f3d1d3bbe0&utm_source=startpm&utm_term=C16FA435EFA4F421DF4FBBB11E01C302" OPR Extension: (blacount) - C:\Users\Mila\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecljapgcebeghdgfjacldomhcnlemkmk [2016-01-26] 2016-01-07 12:17 - 2016-01-07 12:17 - 0000261 _____ () C:\ProgramData\fontcacheev1.dat EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
программа зависла, но не могу сказать была перезагрузка или нет, т.к. отходил в этот момент. Возможно система перезагрузилась и после этого программа запустилась и зависла? В общем лог создан прилагаю.
После ручной перезагрузки загружается черный экран и курсор мыши, перезагружался несколько раз одно и тоже, диспетчер задач запускается.
Последний раз редактировалось Никита Старцев; 03.02.2016 в 08:04.
Не совсем понятно, у Вас возникли проблемы с ПК?
В указанном фиксе, указанны, только удаление мусора, так таковых изменений в системе не должно быть.
Также уточнить фикс применяли один раз или несколько, более одного раза фикс применять не рекомендуется.
P.S.Также согласно отчету "Restore point was successfully created.", т.е. возможно откатиться то предыдущего состояния.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Да, т.е. у меня сейчас при входе в систему черный экран и курсор мыши, при этом сменить пользователя можно, но он у меня один, и под другим зайти не могу. Применял фикс один раз, я бы откатился но как?
1) Уточните пожалуйста, если через "Диспечер задач" -> "Файл" -> "Запустить новую задачу" запустить "explorer.exe", запускается панель задач?
2) В безопасном режиме такая же ситуация?
- - - - -Добавлено - - - - -
- Вам следует также проверить систему на повреждение системных файлов, набрав следующую команду в командной строке(cmd.exe) в привелигированном режиме (Run as Administrator) :
- Также уточните перед применением фикса устанавливали какое-то ПО?Код:sfc /scannow
- Подробнее о восстановление можете ознакомиться в статье "Восстановление системы"
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Хорошо, попробую сделать, то что вы написали.
Нет я ничего не устанавливал, кроме тех программ которые применял из этой темы.
- - - - -Добавлено - - - - -
Откатился через точку восстановления, созданную FRST64 и смог зайти в систему.
В безопасном режиме тоже не запускалась explorer.exe
Проверил компьютер на целостность системы, лог прилагаю пришлось поместить в архив.
Согласно Вашему логу, проблема в следующем:
Возможно проблема вызвана обновлением KB3000850.2016-02-03 19:51:49, Info CSI 000005bd [SR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch
2016-02-03 19:51:54, Info CSI 000005bf [SR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch
2016-02-03 19:51:54, Info CSI 000005c0 [SR] This component was referenced by [l:166{83}]"Package_2709_for_KB3000850~31bf3856ad364e35~amd64~ ~6.3.1.8.3000850-6825_neutral_GDR"
2016-02-03 19:58:47, Info CSI 00000935 [SR] Repairing 1 components
2016-02-03 19:58:47, Info CSI 00000938 [SR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch
2016-02-03 19:58:48, Info CSI 0000093a [SR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch
2016-02-03 19:58:48, Info CSI 0000093b [SR] This component was referenced by [l:166{83}]"Package_2709_for_KB3000850~31bf3856ad364e35~amd64 ~~6.3.1.8.3000850-6825_neutral_GDR"
2016-02-03 19:58:48, Info CSI 0000093c [SR] Repair complete
2016-02-03 19:58:48, Info CSI 0000093d [SR] Committing transaction
Покажите результат следующей команды в командной строке (cmd.exe):
Код:dism /online /cleanup-image /scanhealth
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал
Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.
C:\Windows\system32>dism /online /cleanup-image /scanhealth
Cистема DISM
Версия: 6.3.9600.17031
Версия образа: 6.3.9600.17031
В общем предыстория как оказалась такова - супруге понадобился Word, но т.к. я не давно поставил винду, не успел поставить офис. Она сама нашла просто загуглив его в инете и поставила какой то чудо Word 2013, при этом это оказалась всякая лабуда но только не офис, и всякая хрень полезла после него. Я его удалил почистил комп, но ничего не помогло и поэтому обратился на данный сайт. Сейчас же офиса нет, я его ставлю его и теперь у меня при открытии файлов офис ругается на проблему с проверкой лицензии и закрывает приложение. Но! Если сначала открыть ворд или эксель и из него открыть файл, тогда он запустится! Вот так вот.
Почитав в инете узнал что такое как раз бывает когда устанавливается различные приложения которые предлагается установить вместе с программой, типа спутника mail, amigo и пр.
В общем вопрос в следующем:
"Может ну его н...х! И проще грохнуть всю систему и с нуля поставить "
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\content defender\cd.exe - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\condefclean.exe - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\condefsetup.exe - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\contentdefenderps.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\import_root_cert.exe - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\libeay32.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\nfregdrv.exe - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\nss\certutil.exe - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\nss\mozcrt19.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\nss\nspr4.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\nss\nss3.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\nss\plc4.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\nss\plds4.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\nss\smime3.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\nss\softokn3.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\program files\content defender\ssleay32.dll - not-a-virus:NetTool.Win32.NetFilter.h ( DrWEB: Trojan.Zadved.306 )
- c:\users\mila\appdata\roaming\daemon2.exe - not-a-virus:WebToolbar.Win32.Neobar.i
- c:\windows\system32\drivers\condef.sys - not-a-virus:RiskTool.Win32.NetFilter.as ( DrWEB: Trojan.Zadved.306 )
Уважаемый(ая) Никита Старцев, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.