Мелькание окна cmd и появление рекламных вкладок в firefox

[koala-mur]

Здравствуйте. Некоторое время был отключен фаервол. Также были снесены основные дрова левой прогой. При обратной их установке поверх моих верных спутников - нода и комода сверху накатился продукт "360" Как я понял, антивирус и фаервол 2в1, который я с двух попыток снес.
Может быть мелькание окна cmd связано с криво поставленными вчера дровами, но его мелькание я заметил только сейчас, перед использованием avz (мелькнуло пару раз за час на доли секунды).
Сегодня, до этого антивирусом нашелся вирус под именем daemon2.exe с иконкой подарочной коробки в user/имя/appdata , который я безвозвратно удалил и предоставить его не могу, но уже с час новых закладок в браузере не появляется. Может связано было с ним.
Прошу посмотреть спецов на логи.

[Info_bot]

Уважаемый(ая) koala-mur, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\windows\system32\Minesweeper\Minesweeper.exe','');
 QuarantineFile('C:\Users\6EDA~1\AppData\Local\Temp\R.vbs','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 DeleteFile('C:\windows\system32\Tasks\RestoreSearch','32');
 DeleteFile('C:\Users\6EDA~1\AppData\Local\Temp\R.vbs','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[koala-mur]

Извиняюсь за долгое отсутствие. Файл карантина выслал. + логи

[mrak74]

Выполните скрипт в AVZ:

Код:

begin
  DelBHO('{9BFBA68E-E21B-458E-AE12-FE85E903D2C1}');
  DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
  DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 ExecuteRepair(4);
RebootWindows(true);
end.

+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[koala-mur]

Прикрепил.

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-446790594-709496599-3341283624-1000\...\Run: [AdobeBridge] => [X]
  HKLM\...\Policies\Explorer: [NoViewContextMenu] 0
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  SearchScopes: HKU\S-1-5-21-446790594-709496599-3341283624-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://cosmosearch.ru/?ri=1&rsid=120467385564456297e4ad81a5665732&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-446790594-709496599-3341283624-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://cosmosearch.ru/?ri=1&rsid=120467385564456297e4ad81a5665732&q=
  SearchScopes: HKU\S-1-5-21-446790594-709496599-3341283624-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://tbsearch.ask.com/redirect?client=ie&tb=PTV&o=&src=crm&q={searchTerms}&locale=
  SearchScopes: HKU\S-1-5-21-446790594-709496599-3341283624-1000 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = hxxp://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb
  Toolbar: HKU\S-1-5-21-446790594-709496599-3341283624-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  DPF: {093500E9-F79F-4C52-A9B5-D8C7E4B3023E} file:///C:/Users/6EDA~1/AppData/Local/Temp/o3d5B0D.tmp.cab
  DPF: {810B649C-CEAE-4AC9-BF26-81341B49E913} file:///C:/Users/6EDA~1/AppData/Local/Temp/o3d37E2.tmp.cab
  FF DefaultSearchUrl: hxxp://go.mail.ru/search?fr=fftb&utf8in&q=
  FF Keyword.URL: hxxp://go.mail.ru/search?utf8in=1&fr=fftbUFix&q=
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.135\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{05984C69-6016-4E79-97D3-B2B1D514BB83}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.49\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.99\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.57\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.2.183.39\goopdate.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.79\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.145\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.123\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.149\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.115\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.65\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{E5F07F0E-C4AE-4AA8-AE7E-FC3DB683977E}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.71\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-446790594-709496599-3341283624-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Юра\AppData\Local\Google\Update\1.3.21.111\psuser.dll => No File
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[koala-mur]

Сделано.

[mrak74]

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Что с проблемой ?

[koala-mur]

Нашло flash_player_18_active_x, установил. Проблема с вкладками и cmd исчезла. История примерно такая. Была установлена мною и успешно снесена за ненадобностью Driver Sweeper v3.2.0. Я ссылаюсь на нее, хотя может я и не прав. Эта программа, учитывая, что она сознательно не может восстанавливать свой же бэкап и удаляент все без разбору, еще и установила программу, которая шла сателитом к браузерам и подгружала в них реламную страничку. Можете тестануть и увидеть ее название в установленных. Перед тем как я обратился к вам, я предварительно пройдясь антивирусом (об этом я писал) и проблема с вкладками была убрана, но сама эта программа удалена не была. И когда приходило время подгрузить вкладку в браузер, она выдавала окно цмд, так, как вкладку грузануть не могла. Когда я удалил прогу, окно мелькать тоже перестало.

Это одно. Полчаса назад, я работал за компьютером и при этом слушал потоковое аудио. У меня погас монитор и начала подаваться музыка с репением и заиканием. Пришлось выключать на горячую. Сейчас пишу, вроде все нормально. Система ссылается на кернел-повер с критическим уровнем (может быть виноваты были дрова, не знаю).

[mrak74]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[koala-mur]

s1 только )

[mrak74]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[koala-mur]

user.js оставил только. две папки вручную удалял просто

[mrak74]

Сделайте новый лог Farbar Recovery Scan Tool. Что с проблемой после AdwCleaner-а ?

[koala-mur]

Пока проблем с предыдущего раза не возникало.

[mrak74]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-21-446790594-709496599-3341283624-1000\...\Policies\Explorer: [NoCDBurning] 1
HKU\S-1-5-21-446790594-709496599-3341283624-1000\...\MountPoints2: {90c2881f-83f6-11e3-b49c-e330be17cfe1} - H:\Startme.exe
2016-02-10 17:41 - 2016-02-10 17:41 - 00000000 ____D C:\Users\Юра\AppData\Roaming\Calculator
2016-02-10 14:12 - 2016-02-12 02:24 - 00000000 ____D C:\Program Files\Phyxion.net
2016-02-10 03:34 - 2016-02-10 03:34 - 00000000 ____D C:\Users\Юра\AppData\Roaming\Kingosoft
2016-02-10 03:34 - 2016-02-10 03:34 - 00000000 ____D C:\Users\Юра\AppData\Local\Kingosoft
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[koala-mur]

Сделал.

[mrak74]

Чисто. Больше ничего плохо не вижу. Все проблемы решены ?

[koala-mur]

Да, спасибо.