Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 69.

Вирусная установка программ, расширений, настроек браузера и пр. на Windows 10 64bit [Trojan.Win32.Agent.nevzqe ] (заявка № 201657)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2016
    Сообщений
    42
    Вес репутации
    29

    Вирусная установка программ, расширений, настроек браузера и пр. на Windows 10 64bit [Trojan.Win32.Agent.nevzqe ]

    Ушел в поликлинику, не выключив свой вроде бы нормально работавший комп. Возвращаюсь - куча новых прог, что-то еще качается, какие-то браузеры открываются. Защитник Виндоус, видимо, ничего не имел против этого... В итоге что-то я анинсталлировал, что-то просто удалил с харда, чистил реестр, переустанавливал Chrome, делал полную проверку Виндоус Дефендером, полную проверку Др.Вебом. Но в Chrome все равно - новые окна, реклама, какие-то неведомые поисковики, неудаляемые расширения, в Автозагрузке - всякие MailruUpdater, Service 90132 / 72564, какие-то "Program" и т.д. (я это все отключил). В общем, прошу помощи.
    Вложения Вложения
    Последний раз редактировалось vsh; 26.06.2016 в 00:29.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) vsh, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Здравствуйте,

    HiJackThis профиксить
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQqBZ9fhhNQIfeK16dZ_JlwhCZrYnB0yz9esmIb1F8vxOdTqTxbkGL2NCA9oF7LcQcAw4mgiOnOM7YhDHE0XZywHKPJZ
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}
    F2 - REG:system.ini: UserInit=wscript C:\WINDOWS\run.vbs,
    O4 - HKLM\..\Run: [apphide] C:\Program Files (x86)\badu\uc.exe
    O4 - HKLM\..\RunOnce: [systwin] "systwin.exe"
    O4 - HKCU\..\Run: [QGuan10in12] C:\Users\Anonimous\AppData\Roaming\UPUpdata\service90132.exe /autorun
    O4 - HKCU\..\Run: [QGuan10in1] C:\Users\Anonimous\AppData\Roaming\UPUpdata\service72564.exe /autorun
    O4 - HKCU\..\Run: [msiql] C:\Users\Anonimous\AppData\Roaming\UPUpdata\msiql.exe /RUNNING
    O4 - HKCU\..\Run: [svchost0] C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe
    O4 - HKCU\..\Run: [apphide2] C:\Program Files (x86)\badu\uc.exe
    O20 - AppInit_DLLs: C:\ProgramData\Lamzap\Dongplus.dll
    AVZ выполнить следующий скрипт.
    Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
     StopService('CloudPrinter');
     StopService('dowidoly');
     StopService('fisusyscheduleCherbsy.exe');
     StopService('Lamzap');
     StopService('ProntSpooler');
     StopService('rijufoze');
     StopService('wijijofuzbt');
     StopService('zigipyro');
     DeleteService('CloudPrinter');
     DeleteService('dowidoly');
     DeleteService('fisusyscheduleCherbsy.exe');
     DeleteService('Lamzap');
     DeleteService('ProntSpooler');
     DeleteService('rijufoze');
     DeleteService('wijijofuzbt');
     DeleteService('zigipyro');
     QuarantineFile('C:\Program Files (x86)\1EECD580-1466845978-11B2-8000-B4F9E4CD971A\hnsyDE6C.tmp','');
     QuarantineFile('C:\Program Files (x86)\1EECD580-1466845978-11B2-8000-B4F9E4CD971A\jnszC861.tmp','');
     QuarantineFile('C:\Program Files (x86)\1EECD580-1466845978-11B2-8000-B4F9E4CD971A\knspAFA3.tmpfs','');
     QuarantineFile('C:\Program Files (x86)\badu\uc.exe','');
     QuarantineFile('C:\Program Files (x86)\mpck\wincom_TNS.exe','');
     QuarantineFile('C:\Program Files (x86)\Shociph\fisusyscheduleCherbsy.exe','');
     QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe','');
     QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe','');
     QuarantineFile('C:\Program Files (x86)\Wifisrv\160WifiNetPro64.sys','');
     QuarantineFile('C:\Program Files (x86)\Wifisrv\WifiService.exe','');
     QuarantineFile('C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll','');
     QuarantineFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe','');
     QuarantineFile('C:\ProgramData\Lamzap\Dongplus.dll','');
     QuarantineFile('C:\ProgramData\Lamzap\Lamzap.exe','');
     QuarantineFile('C:\ProgramData\Lamzap\Zimhome.dll','');
     QuarantineFile('C:\Users\Anonimous\AppData\Local\1EECD580-1466856973-11B2-8000-B4F9E4CD971A\qnsj73AD.tmp','');
     QuarantineFile('C:\Users\Anonimous\AppData\Local\Apps\2.0\abril.exe','');
     QuarantineFile('C:\Users\Anonimous\AppData\Local\Hostinstaller\4038897473_monster.exe','');
     QuarantineFile('C:\Users\Anonimous\AppData\Local\MzIzNTM0Mzc=\s_inst.exe','');
     QuarantineFile('C:\Users\Anonimous\AppData\Roaming\cpuminer\cpm.exe','');
     QuarantineFile('C:\Users\Anonimous\AppData\Roaming\gplyra\gplyra.exe','');
     QuarantineFile('C:\Users\Anonimous\AppData\Roaming\UPUpdata\msiql.exe','');
     QuarantineFile('C:\Users\Anonimous\AppData\Roaming\UPUpdata\service72564.exe','');
     QuarantineFile('C:\Users\Anonimous\AppData\Roaming\UPUpdata\service90132.exe','');
     QuarantineFile('C:\Users\Anonimous\AppData\Roaming\UrlControl_\url_opener.exe','');
     QuarantineFile('C:\Users\ANONIM~1\AppData\Local\Temp\VirusRemover.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys','');
     QuarantineFile('systwin.exe','');
     DeleteFile('C:\Program Files (x86)\1EECD580-1466845978-11B2-8000-B4F9E4CD971A\hnsyDE6C.tmp','32');
     DeleteFile('C:\Program Files (x86)\1EECD580-1466845978-11B2-8000-B4F9E4CD971A\jnszC861.tmp','32');
     DeleteFile('C:\Program Files (x86)\1EECD580-1466845978-11B2-8000-B4F9E4CD971A\knspAFA3.tmpfs','32');
     DeleteFile('C:\Program Files (x86)\badu\uc.exe','32');
     DeleteFile('C:\Program Files (x86)\Shociph\fisusyscheduleCherbsy.exe','32');
     DeleteFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe','32');
     DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe','32');
     DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe','32');
     DeleteFile('C:\ProgramData\Lamzap\Dongplus.dll','32');
     DeleteFile('C:\ProgramData\Lamzap\Lamzap.exe','32');
     DeleteFile('C:\ProgramData\Lamzap\Zimhome.dll','32');
     DeleteFile('C:\Users\Anonimous\AppData\Local\1EECD580-1466856973-11B2-8000-B4F9E4CD971A\qnsj73AD.tmp','32');
     DeleteFile('C:\Users\Anonimous\AppData\Local\Apps\2.0\abril.exe','32');
     DeleteFile('C:\Users\Anonimous\AppData\Local\Hostinstaller\4038897473_monster.exe','32');
     DeleteFile('C:\Users\Anonimous\AppData\Local\MzIzNTM0Mzc=\s_inst.exe','32');
     DeleteFile('C:\Users\Anonimous\AppData\Roaming\cpuminer\cpm.exe','32');
     DeleteFile('C:\Users\Anonimous\AppData\Roaming\gplyra\gplyra.exe','32');
     DeleteFile('C:\Users\Anonimous\AppData\Roaming\UPUpdata\msiql.exe','32');
     DeleteFile('C:\Users\Anonimous\AppData\Roaming\UPUpdata\service72564.exe','32');
     DeleteFile('C:\Users\Anonimous\AppData\Roaming\UPUpdata\service90132.exe','32');
     DeleteFile('C:\Users\Anonimous\AppData\Roaming\UrlControl_\url_opener.exe','32');
     DeleteFile('C:\Users\ANONIM~1\AppData\Local\Temp\VirusRemover.exe','32');
     DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\tasklist','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\VirusRemover','64');
     DeleteFile('C:\WINDOWS\Tasks\MzIzNTM0Mzc=.job','32');
     DeleteFile('C:\WINDOWS\Tasks\UCBrowserUpdater.job','32');
     DeleteFile('C:\WINDOWS\Tasks\UrlControl.job','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','apphide2');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msiql');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QGuan10in1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QGuan10in12');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost0');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','cpuminer');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gplyra');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','systwin');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в AVZ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте лог CheckBrowserLnk

    - Подготовьте лог AdwCleaner и приложите его в теме.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  5. #4
    Junior Member Репутация
    Регистрация
    25.06.2016
    Сообщений
    42
    Вес репутации
    29
    Спасибо. Сделано. Из Автозагрузки большая часть непонятных программ пропала.

    При этом у HijackThis при начале сканирования выдает сообщение, скрин которого прилагаю.

    UPD
    Оттупил - в первый раз запустил Хиджак не от имени Администратора. Теперь сделал от имени Администратора, после чего создал новый quarantine.zip, который отправил, таким образом, во второй раз, и новые логи, которые прикладываю. В Chrome вся эта муть осталась. В Microsoft Edge, который я раньше не использовал, ее, кстати, не замечено - ни после, ни до выполнения действий в АВЗ и Хиджаке.
    Вложения Вложения
    Последний раз редактировалось vsh; 26.06.2016 в 18:55.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.


    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  7. #6
    Junior Member Репутация
    Регистрация
    25.06.2016
    Сообщений
    42
    Вес репутации
    29
    Спасибо.

    Когда нажимаю Очистить в AdwCleaner, программа зависает (и еще Chrome самозапускается). Затем виснет и весь Виндоус. Очистить нажимал, находясь на вкладке "Службы" в AdwCleaner при том, что выделено было все во всех вкладках.

    Лог КлиарЛНК прикладываю.

    - - - - -Добавлено - - - - -

    Произвести очистку AdwCleaner'ом удалось по очереди для каждой вкладки. Поэтому логов много, извините.

    Сейчас Chrome вроде бы работает нормально - вирусной стартовой страницы нет, самозапускающихся вкладок нет. Осталось только неудаляемое расширение PageLiner, и есть ощущение, что работает браузер медленнее, чем раньше.

    UPD
    После всего этого сделал еще раз скан AdwCleaner и там опять что-то нашлось. На всякий случай прикладываю лог [S13].
    Вложения Вложения
    Последний раз редактировалось vsh; 26.06.2016 в 23:25.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  9. #8
    Junior Member Репутация
    Регистрация
    25.06.2016
    Сообщений
    42
    Вес репутации
    29
    Выполнено.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Сами настраивали?
    Код:
    HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
    ShellExecuteHooks:  - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\Anonimous\AppData\Local\Microsoft\Windows\INetCookies\taqather.dll [387584 2016-06-24] ()
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll No File
      hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}
      HKU\S-1-5-21-453488145-629660601-2547047051-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQqBZ9fhhNQIfeK16dZ_JlwhCZrYnB0yz9esmIb1F8vxOdTqTxbkGL2NCA9oF7LcQcAw4mgiOnOM7YhDHE0XZywHKPJZ
      HKU\S-1-5-21-453488145-629660601-2547047051-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}
      HKU\S-1-5-21-453488145-629660601-2547047051-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}
      SearchScopes: HKLM-x32 -> DefaultScope value is missing
      SearchScopes: HKU\S-1-5-21-453488145-629660601-2547047051-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-453488145-629660601-2547047051-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}
      BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
      Folder: C:\Program Files\їмС№
      2016-06-20 12:02 - 2016-06-20 12:18 - 00000000 ____D C:\ProgramData\ProductData
      2016-06-17 17:53 - 2016-06-17 17:53 - 00000000 ____H C:\Users\Все пользователи\DP45977C.lfl
      2016-06-17 17:53 - 2016-06-17 17:53 - 00000000 ____H C:\ProgramData\DP45977C.lfl
      Task: {349C849E-C56A-485B-8061-6883F545C3A3} - \Fisusy Schedule -> No File <==== ATTENTION
      Task: {919F8FD9-861C-445F-A106-27BBC7D9F4EF} - \MailRuUpdater -> No File <==== ATTENTION
      Task: {C59E6FBE-1F74-49E0-9E31-D0A5E3A2BCFF} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
      Task: {FCCA216E-05A2-4F16-9E55-FBB7C50DA63C} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
      Shortcut: C:\Users\Anonimous\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> hxxp://www.mail.ru` (No File)
      Reg: reg delete "HKU\\S-1-5-21-453488145-629660601-2547047051-1000\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
      Reg: reg delete "HKU\\S-1-5-21-453488145-629660601-2547047051-1000\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\svchost0" /f
      Reg: reg delete "HKU\\S-1-5-21-453488145-629660601-2547047051-1000\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\QGuan10in1" /f
      Reg: reg delete "HKU\\S-1-5-21-453488145-629660601-2547047051-1000\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\QGuan10in12" /f
      EmptyTemp:
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  11. #10
    Junior Member Репутация
    Регистрация
    25.06.2016
    Сообщений
    42
    Вес репутации
    29
    Нет, сам не настраивал.

    Прикрепляю.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Цитата Сообщение от vsh Посмотреть сообщение
    Нет, сам не настраивал.
    проверьте пожалуйста файл на virustotal.com и предоставьте ссылку с результатом в следующем сообщение:
    Код:
    C:\Users\Anonimous\AppData\Local\Microsoft\Windows\INetCookies\taqather.dll
    Знаком ли вам следующий каталог?
    Код:
    ========================= Folder: C:\Program Files\їмС№ ========================
    
    2016-06-25 12:21 - 2016-06-25 13:47 - 0000000 ____D () C:\Program Files\їмС№\X64
    2016-06-25 12:22 - 2016-06-25 12:22 - 0338368 _____ () C:\Program Files\їмС№\X64\213.dl
    
    ====== End of Folder: ======
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  13. #12
    Junior Member Репутация
    Регистрация
    25.06.2016
    Сообщений
    42
    Вес репутации
    29
    Когда я сам иду по указанному пути, то почему-то не нахожу папку INetCookies (при этом скрытые папки у меня отображаются). Когда ввожу адрес в адресную строку, то в этой папке отсутствует данный файл. Вместо него там два .txt файла. Поиск по всей директории Users по названию taqather вернул только FRST.txt и Addition.txt, где, вероятно, taqather упоминается.

    Нет, этот каталог явно не мой.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      Folder: C:\Users\Anonimous\AppData\Local\Microsoft\Windows\INetCookies
      C:\Program Files\їмС№
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  15. #14
    Junior Member Репутация
    Регистрация
    25.06.2016
    Сообщений
    42
    Вес репутации
    29
    Выполнено.
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
      ShellExecuteHooks:  - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\Anonimous\AppData\Local\Microsoft\Windows\INetCookies\taqather.dll [387584 2016-06-24] ()
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  17. #16
    Junior Member Репутация
    Регистрация
    25.06.2016
    Сообщений
    42
    Вес репутации
    29
    Выполнено. Большое спасибо, что помогаете.
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Сообщите, что с проблемой?
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  19. #18
    Junior Member Репутация
    Регистрация
    25.06.2016
    Сообщений
    42
    Вес репутации
    29
    Проблема в основном решена, спасибо за помощь. Только в Chrome осталось неудаляемое расширение PageLiner (https://chrome.google.com/webstore/d...er-info-dialog), и есть ощущение, что работает браузер медленнее, чем раньше. (может, это только ощущение)

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      CHR Extension: (PageLiner) - C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default\Extensions\nepakmljodobhlbbkpobblnifmhclemh [2016-06-26]
      EmptyTemp:
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  21. #20
    Junior Member Репутация
    Регистрация
    25.06.2016
    Сообщений
    42
    Вес репутации
    29
    Значок PageLiner'а изменился - пропал логотип, но он все равно остался в браузере
    Вложения Вложения

  • Уважаемый(ая) vsh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 4 1234 Последняя

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 22.06.2016, 12:40
    2. Ответов: 51
      Последнее сообщение: 12.04.2016, 18:09
    3. Странное поведение программ, WIndows 8, 64bit
      От Franko1000 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.07.2015, 21:51
    4. Быстрая установка расширений Firefox
      От SDA в разделе Софт - общий
      Ответов: 2
      Последнее сообщение: 08.05.2008, 19:39
    5. Ответов: 3
      Последнее сообщение: 05.12.2007, 20:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00216 seconds with 20 queries