Нечаянно установил сервисы от mail.ru, потом, казалось бы, вычистил все от этой дряни, но осталась проблема - удаляется Adblock из Оперы после перезагрузки и пару раз появлялись новые расширения, которые я не устанавливал.
Нечаянно установил сервисы от mail.ru, потом, казалось бы, вычистил все от этой дряни, но осталась проблема - удаляется Adblock из Оперы после перезагрузки и пару раз появлялись новые расширения, которые я не устанавливал.
Уважаемый(ая) Балканский Царь, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFileF('d:\program files (x86)\filter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFile('D:\Program Files (x86)\filter\2\CppWindowsService.exe', ''); QuarantineFile('x64.exe', ''); QuarantineFile('D:\Users\THIAM\AppData\Local\Microsoft\6E24F2DDAC46F8D678FCCEBC2F9081A1\FFF7AE155289B257CBAFFB7F2843DE54.exe', ''); QuarantineFileF('D:\Users\THIAM\AppData\Local\Microsoft\6E24F2DDAC46F8D678FCCEBC2F9081A1\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('D:\Program Files (x86)\filter\2\CppWindowsService.exe', '32'); DeleteFile('D:\Users\THIAM\AppData\Local\Microsoft\6E24F2DDAC46F8D678FCCEBC2F9081A1\FFF7AE155289B257CBAFFB7F2843DE54.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\43DE5482F7BFFABC752B982551FFF7AE" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\43DE5482F7BFFABC752B982551FFF7AESB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\43DE5482F7BFFABC752B982551FFF7AE" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\43DE5482F7BFFABC752B982551FFF7AESB" /F', 0, 15000, true); DeleteService('CppWindowsService'); DeleteFileMask('D:\Users\THIAM\AppData\Local\Microsoft\6E24F2DDAC46F8D678FCCEBC2F9081A1\', '*', true); DeleteFileMask('d:\program files (x86)\filter', '*', true); DeleteDirectory('D:\Users\THIAM\AppData\Local\Microsoft\6E24F2DDAC46F8D678FCCEBC2F9081A1\'); DeleteDirectory('d:\program files (x86)\filter'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\XviD4PSP 7.0.178 x64', 'EventMessageFile'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- сделайте лог Check Browsers' LNK by Dragokas & regist.
- Скачайте AdwCleaner и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
http://virusinfo.info/virusdetector/...FE23E5585F5FAE- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Выдает: "Ошибка загрузки. Данный файл уже был загружен"Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('D:\Users\Public\Desktop\Aliexpress.lnk', ''); QuarantineFile('D:\Users\Public\Desktop\Black Desert.lnk', ''); QuarantineFile('D:\Users\Public\Desktop\Booking.com.lnk', ''); QuarantineFile('D:\Users\Public\Desktop\Forge of Empires.lnk', ''); QuarantineFile('D:\Users\Public\Desktop\Star Conflict.lnk', ''); QuarantineFile('D:\Users\Public\Desktop\War Thunder.lnk', ''); QuarantineFile('D:\Users\Public\Desktop\Новости.lnk', ''); QuarantineFile('D:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk', ''); QuarantineFile('D:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk', ''); QuarantineFile('D:\ProgramData\Microsoft\Windows\Start Menu\Booking.com.lnk', ''); QuarantineFile('D:\ProgramData\Microsoft\Windows\Start Menu\Forge of Empires.lnk', ''); QuarantineFile('D:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk', ''); QuarantineFile('D:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk', ''); QuarantineFile('D:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk', ''); QuarantineFile('D:\Users\THIAM\AppData\Local\Microsoft\447CD824F8B02BE9DFE8CF11143A23C3\80EDB9B82D6BBCF7BE877354A262B219.exe', ''); DeleteFile('D:\Users\THIAM\AppData\Local\Microsoft\447CD824F8B02BE9DFE8CF11143A23C3\80EDB9B82D6BBCF7BE877354A262B219.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\62B2192A453778EB7FCBB6D28B80EDB9" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\62B2192A453778EB7FCBB6D28B80EDB9SB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\62B2192A453778EB7FCBB6D28B80EDB9" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\62B2192A453778EB7FCBB6D28B80EDB9SB" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Xvid'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:D:\Users\Public\Desktop\Aliexpress.lnk D:\Users\Public\Desktop\Black Desert.lnk D:\Users\Public\Desktop\Booking.com.lnk D:\Users\Public\Desktop\Forge of Empires.lnk D:\Users\Public\Desktop\Star Conflict.lnk D:\Users\Public\Desktop\War Thunder.lnk D:\Users\Public\Desktop\Новости.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Booking.com.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Forge of Empires.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk D:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Gone Home\Gone Home.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Gone Home\Uninstall Gone Home.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\reFX\Nexus\What's New.lnk
- Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
- В меню Настройки отметьте:
- Сброс политик IE
- Сброс политик Chrome
- Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
- В меню Настройки отметьте:
- Сброс политик IE
- Сброс политик Chrome
- Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
Заметил, что создаются заново папки в \AppData\Local\Temp типа такой - nsf4F59.tmp, обычно по 3. В двух файлы .dll (System.dll, Crypto.dll), а в третьей exe с длинным названием из рандомных букв и цифр (который запускается в процессах) и файл Registry.dll. В реестре к этим экзешникам обращается PendingFileRenameOperations в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager, который так же всегда создается заново.
Выполните скрипт в uVS и пришлите карантин
сделайте свежий образ автозапуска.Код:;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c BREG zoo %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\NSF4F59.TMP\40018440-39AB-3C69-53A4-AFC2D25C989C.EXE bl 4AC1EB4D8F0CE9D8A7AA6ED04B7767DE 919317 delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\NSF4F59.TMP\40018440-39AB-3C69-53A4-AFC2D25C989C.EXE bl 1E15919B76C937F2171E2AF58A019DEB 449111 delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\MICROSOFT\447CD824F8B02BE9DFE8CF11143A23C3\80EDB9B82D6BBCF7BE877354A262B219.EXE delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE zoo %SystemDrive%\USERS\THIAM\APPDATA\LOCALLOW\THE FULLBRIGHT COMPANY\GONE HOME\TEXT\LOCALIZED\UNINSTALL.EXE delref %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\DISK\DISK.EXE delref %SystemDrive%\DOWNLOADS\CAKEWALK - STUDIO INSTRUMENTS\STUDIOINSTRUMENTSSETUP .EXE delall HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B4D77633E-F95A-4FDA-A3A2-DFC96FAB6CAE%7D&GP=811014 delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delall %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\UPDATE SERVICE\MRUPDSRV.EXE delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{CDEEA1B6-BD30-C5EE-BDB0-6AD028A2148C} czoo restart
Карантин отправил в Прислать запрошенный карантин
Выполните скрипт в uVS и пришлите карантин
сделайте свежий образ автозапуска.Код:;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c BREG zoo %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\NSF4F59.TMP\40018440-39AB-3C69-53A4-AFC2D25C989C.EXE bl 4AC1EB4D8F0CE9D8A7AA6ED04B7767DE 919317 delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\NSF4F59.TMP\40018440-39AB-3C69-53A4-AFC2D25C989C.EXE bl 1E15919B76C937F2171E2AF58A019DEB 449111 delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\MICROSOFT\447CD824F8B02BE9DFE8CF11143A23C3\80EDB9B82D6BBCF7BE877354A262B219.EXE delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\DISK\DISK.EXE delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE delref %SystemDrive%\DOWNLOADS\CAKEWALK - STUDIO INSTRUMENTS\STUDIOINSTRUMENTSSETUP .EXE delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_3984_22950\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_1832_9679\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_1860_12698\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_3740_29676\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_1836_15771\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_5500_32651\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_2816_23101\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_5488_6323\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_4136_18094\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_212_14323\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_3864_8527\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_2064_22283\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_724_10067\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_5704_18297\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_3196_22991\EXTENSION_1_4_8_903.CRX delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\CHROME_BITS_2072_5581\EXTENSION_7_58_1.CRX delall HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B4D77633E-F95A-4FDA-A3A2-DFC96FAB6CAE%7D&GP=811014 zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\PORTRAIT DISPLAYS\SHARED\PDIACTIVEX.OCX delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL del %SystemDrive%\USERS\THIAM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АМИГО.LNK del %SystemDrive%\USERS\THIAM\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK czoo restart
Карантин отправил в "Прислать запрошенный карантин"
Образ автозапуска не получается прикрепить, не хватает места во вложениях.
закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU) оставьте ссылку на скачивание.
Выполните скрипт в uVS
сделайте свежий образ.Код:;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c BREG zoo %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\NSV8509.TMP\8CEA0C02-F924-2DBF-0A10-2DF6F07F3AFE.EXE bl 4AC1EB4D8F0CE9D8A7AA6ED04B7767DE 919317 delall %SystemDrive%\USERS\THIAM\APPDATA\LOCAL\TEMP\NSV8509.TMP\8CEA0C02-F924-2DBF-0A10-2DF6F07F3AFE.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBA\PDAPP\PPAPI\9EDD170A-AF9B-40AF-B549-1EB585B50E03.EXE delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBA\PDAPP\PPAPI\9EDD170A-AF9B-40AF-B549-1EB585B50E03.EXE delall HTTP://LNK.DO/0CKN7 delall HTTP://LNK.DO/26BAU delall HTTP://LNK.DO/ATGET delall HTTP://LNK.DO/BLCW3 delall HTTP://LNK.DO/HV36N delall HTTP://LNK.DO/LLVBI delall HTTP://LNK.DO/WLJ46 delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] czoo deltmp restart
Последний раз редактировалось regist; 12.08.2016 в 00:38. Причина: добавил deltmp
Опять сидит зараза, давайте попробуем по другому.
- Сделайте лог полного сканирования MBAM.
Готово.
Поместите в карантин MBAM всё найденное.
После перезагрузки сделайте свежий лог MBAM.
В этот раз ничего вроде не появилось.