Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

KuaiZip, UCbrowser и прочий китайский мусор [not-a-virus:AdWare.Win32.Agent.kbtm ] (заявка № 204196)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    21.09.2016
    Сообщений
    17
    Вес репутации
    4

    KuaiZip, UCbrowser и прочий китайский мусор [not-a-virus:AdWare.Win32.Agent.kbtm ]

    Оставил племянницам ноутбук и в итоге в систему Win7 x64 было установленно куча всякого мусора. Почистил большую часть через Удаление программ, но KuaiZip никак не удаляется и появляется после каждой перезагрузки. CureIt в безопасном режиме не помог. АdwСleaner_6.020 после каждой перезагрузки находит папки и ключи реестра KuaiZip. Помогите!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,386
    Вес репутации
    337
    Уважаемый(ая) Prf Spam, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,630
    Вес репутации
    70
    Здравствуйте!

    Временно отключите защитное ПО.
    Выполните скрипт в AVZ:

    Код:
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     StopService('Windows');
     QuarantineFile('C:\Windows\svchost.exe', '');
     QuarantineFile('C:\Users\HP\appdata\roaming\adobe\manager.exe','');
     DeleteFile('C:\Users\HP\appdata\roaming\adobe\manager.exe','32');
     DeleteFile('C:\Windows\svchost.exe', '32');
     DeleteService('Windows');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.



    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    Подготовьте и прикрепите свежий лог сканирования AdwCleaner.

  5. Это понравилось:


  6. #4
    Junior Member (OID) Репутация
    Регистрация
    21.09.2016
    Сообщений
    17
    Вес репутации
    4
    Скрипт выполнил, quarantine.zip отправил. Свежий лог сканирования AdwCleaner прикрепляю (мусор все еще есть).

    Так же есть следы китайского архиватора в контексном меню правой кнопки мыши (на рис 111.jpg)

    update: удалил архиватор KuaiZip через встроенный анинсталлер из его папки. Сделал "Очистку" в AdwCleaner, теперь лог чистый (прикрепил). Чем еще можно просканировать систему на подозрительные файлы?
    Вложения Вложения
    Последний раз редактировалось Prf Spam; 23.09.2016 в 19:55.

  7. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,630
    Вес репутации
    70
    Цитата Сообщение от Prf Spam Посмотреть сообщение
    мусор все еще есть
    Копили-то Вы его долго

    Файл
    C:\AdwCleaner\AdwCleaner[C0].txt
    тоже покажите.

    1.
    • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
    • Нажмите кнопку "Scan" ("Сканировать").
    • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
      • Политики IE
      • Политики Chrome

      и нажмите кнопку Ok
    • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C6].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


    2.
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  8. Это понравилось:


  9. #6
    Junior Member (OID) Репутация
    Регистрация
    21.09.2016
    Сообщений
    17
    Вес репутации
    4
    Сделал
    Вложения Вложения

  10. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,630
    Вес репутации
    70
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код:
    start
    CreateRestorePoint:
    ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} =>  No File
    Toolbar: HKLM - No Name - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} -  No File
    CHR Profile: C:\Users\HP\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-09-21] <==== ATTENTION
    2016-09-21 20:59 - 2016-09-21 20:59 - 07158784 _____ C:\Users\HP\AppData\Roaming\agent.dat
    2016-09-21 20:59 - 2016-09-21 20:59 - 02270208 _____ C:\Users\HP\AppData\Roaming\Vaiala.exe
    2016-09-21 20:59 - 2016-09-21 20:59 - 02270208 _____ C:\Users\HP\AppData\Roaming\Bioflex.exe
    2016-09-21 20:59 - 2016-09-21 20:59 - 01920641 _____ C:\Users\HP\AppData\Roaming\Strongron.tst
    2016-09-21 20:59 - 2016-09-21 20:59 - 01920641 _____ C:\Users\HP\AppData\Roaming\Bioflex.tst
    2016-09-21 20:59 - 2016-09-21 20:59 - 01897574 _____ C:\Users\HP\AppData\Roaming\Spanity.bin
    2016-09-21 20:59 - 2016-09-21 20:59 - 00848565 _____ C:\Users\HP\AppData\Roaming\Soljob.bin
    2016-09-21 20:59 - 2016-09-21 20:59 - 00848565 _____ C:\Users\HP\AppData\Roaming\Pluslam.bin
    2016-09-21 20:59 - 2016-09-21 20:59 - 00136849 _____ () C:\Users\HP\AppData\Roaming\Indigokix.bin
    2016-09-21 20:59 - 2016-09-21 20:59 - 00126464 _____ C:\Users\HP\AppData\Roaming\noah.dat
    2016-09-21 20:59 - 2016-09-21 20:59 - 00126464 _____ C:\Users\HP\AppData\Roaming\lobby.dat
    2016-09-21 20:59 - 2016-09-21 20:59 - 00072711 _____ C:\Users\HP\AppData\Roaming\Vaiala.tst
    2016-09-21 20:59 - 2016-09-21 20:59 - 00072711 _____ C:\Users\HP\AppData\Roaming\KeyKeyair.tst
    2016-09-21 20:59 - 2016-09-21 20:59 - 00070704 _____ C:\Users\HP\AppData\Roaming\Config.xml
    2016-09-21 20:59 - 2016-09-21 20:59 - 00054272 _____ C:\Users\HP\AppData\Roaming\ApplicationHosting.dat
    2016-09-21 20:59 - 2016-09-21 20:59 - 00041472 _____ C:\Users\HP\AppData\Local\Siltech.dat
    2016-09-21 20:59 - 2016-09-21 20:59 - 00018432 _____ C:\Users\HP\AppData\Roaming\Main.dat
    2016-09-21 20:59 - 2016-09-21 20:59 - 00005568 _____ C:\Users\HP\AppData\Roaming\md.xml
    2016-09-21 20:59 - 2016-09-21 20:59 - 00004608 _____ C:\Users\HP\AppData\Local\Siltech.exe
    2016-09-21 20:59 - 2016-09-21 20:59 - 00000187 _____ C:\Users\HP\AppData\Local\Siltech.exe.config
    2016-09-21 20:59 - 2016-09-21 20:58 - 02270208 _____ C:\Users\HP\AppData\Roaming\Strongron.exe
    2016-09-21 20:59 - 2016-09-21 20:58 - 02270208 _____ C:\Users\HP\AppData\Roaming\KeyKeyair.exe
    2016-09-21 20:58 - 2016-09-21 20:59 - 00021216 _____ C:\Users\HP\AppData\Roaming\InstallationConfiguration.xml
    2016-09-21 20:58 - 2016-09-21 20:58 - 05076728 _____ C:\Users\HP\Desktop\memory_mount_miui8_v2.zip
    2016-09-21 20:58 - 2016-09-21 20:58 - 00140288 _____ C:\Users\HP\AppData\Roaming\Installer.dat
    2016-09-18 22:52 - 2016-09-18 22:52 - 00027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS
    2016-09-18 22:52 - 2016-09-18 22:52 - 00000000 ____D C:\Windows\IObit
    2016-09-18 22:52 - 2016-09-18 22:52 - 00000000 ____D C:\Windows\Azart
    2016-09-20 07:31 - 2016-05-07 20:35 - 00000000 ____D C:\Users\Все пользователи\ProductData
    2016-09-20 07:31 - 2016-05-07 20:35 - 00000000 ____D C:\ProgramData\ProductData
    2016-09-20 07:31 - 2016-05-07 20:35 - 00000000 ____D C:\Program Files (x86)\IObit
    AlternateDataStreams: C:\ProgramData\.rdata:X [526]
    AlternateDataStreams: C:\Users\Все пользователи\.rdata:X [526]
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

  11. Это понравилось:


  12. #8
    Junior Member (OID) Репутация
    Регистрация
    21.09.2016
    Сообщений
    17
    Вес репутации
    4
    Fixlog.txt
    Вложения Вложения

  13. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,630
    Вес репутации
    70
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Сообщите что из проблем осталось.

  14. Это понравилось:


  15. #10
    Junior Member (OID) Репутация
    Регистрация
    21.09.2016
    Сообщений
    17
    Вес репутации
    4
    Новые virusinfo_syscheck.zip и hijackthis.log

    Из проблем осталось Дополнение в браузере, лог AdwCleaner прикрепил.
    Вложения Вложения

  16. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,630
    Вес репутации
    70
    Цитата Сообщение от Prf Spam Посмотреть сообщение
    осталось Дополнение в браузере
    Речь идет о Хроме?

    Сделайте Сброс настроек браузера Chrome.

  17. Это понравилось:


  18. #12
    Junior Member (OID) Репутация
    Регистрация
    21.09.2016
    Сообщений
    17
    Вес репутации
    4
    Я пользуюсь SRWare Iron (64-Bit), это разновидность на базе Chromium. Сделал все по инструкции, но настройки остались те же - мой аккаунт гугл, дополнения (отключены, но не удалены), настройки папки для скачивание файлов и все галочки в настройках. Удалились cookies, скорее всего, т.к. на все сайты приходится залогиниться заново. Так и должно быть? Возможно, переустановить SRWare Iron (64-Bit) полностью?

    AdwCleaner снова находит это подозрительное дополнение.

  19. #13
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,630
    Вес репутации
    70
    Цитата Сообщение от Prf Spam Посмотреть сообщение
    Так и должно быть?
    Да.

    Цитата Сообщение от Prf Spam Посмотреть сообщение
    Возможно, переустановить SRWare Iron (64-Bit) полностью?
    Отключать все расширения пробовали? Если да, пробуйте переустановить.

  20. Это понравилось:


  21. #14
    Junior Member (OID) Репутация
    Регистрация
    21.09.2016
    Сообщений
    17
    Вес репутации
    4
    Переустановил SRWare Iron, AdwCleaner все равно находит угрозу в Разширении браузера.

    Еще попробовал установить GridinSoft Anti-Malware 3.0.46, который при запуске выдал, что отсутствует системный файл "srclient.dll". Сделал sfc /scannow - на 59% он выдал, что обнаружены поврежденные файлы, но не может восстановить некоторые из них. Есть лог файл CBS.log на 21,4 Мб (http://rgho.st/7S6pcKv68 надеюсь этот файлообменник разрешен). Загрузился с установочной флешки, в Восстановлении системы команда "sfc /scannow /offbootdir=Е:\ /offwindir=Е:\windows" так же нашла поврежденные системные файлы, но снова не смогла их восстановить.

    Как проще всего проверить и восстановить системные файлы?
    Последний раз редактировалось Prf Spam; 25.09.2016 в 11:59.

  22. #15
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,630
    Вес репутации
    70
    Цитата Сообщение от Sandor Посмотреть сообщение
    Отключать все расширения пробовали?
    Не ответили.

  23. Это понравилось:


  24. #16
    Junior Member (OID) Репутация
    Регистрация
    21.09.2016
    Сообщений
    17
    Вес репутации
    4
    Я их удалил полностью, не помогло - AdwCleaner все равно находит 1 угрозу в расширении.

  25. #17
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,630
    Вес репутации
    70
    Синхронизацию аккаунта используете?

    Удалите SRWare Iron и пока не устанавливайте.
    Соберите свежие логи AdwCleaner и FRST.

  26. #18
    Junior Member (OID) Репутация
    Регистрация
    21.09.2016
    Сообщений
    17
    Вес репутации
    4
    Да, синхронизацию аккаунта использую. После того, как AdwCleaner "чистит" эту угрозу в расширениях SRWare Iron, после перезагрузки, если зайти в настройки SRWare Iron, то там есть сообщение, что посторонняя программа изменила SRWare Iron и он вернул изменения или типа того. Так же показывается кнопка Сбросить настройки браузера.

    SRWare Iron удалил. Свежие логи прикрепляю.
    Вложения Вложения

  27. #19
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,630
    Вес репутации
    70
    Включите Восстановление системы.

    Цитата Сообщение от Prf Spam Посмотреть сообщение
    синхронизацию аккаунта использую
    Отключите.

    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код:
    start
    CreateRestorePoint:
    CHR Profile: C:\Users\HP\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-09-26] <==== ATTENTION
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Включите синхронизацию.

  28. #20
    Junior Member (OID) Репутация
    Регистрация
    21.09.2016
    Сообщений
    17
    Вес репутации
    4
    я же удалил SRWare. Включить синхр в обычном Хроме? сейчас там нету синхронизации и расширений.

  • Уважаемый(ая) Prf Spam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. UCBrowser
      От Сергей Рогудеев в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.07.2016, 10:48
    2. Китайский антивирус и мусор от mail.ru
      От psidian в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.04.2016, 07:59
    3. Мусор от майл.ру
      От Zayfour в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 24.10.2015, 19:38
    4. Мусор.
      От Ольга Назаревич в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.04.2014, 12:08
    5. Мусор или нет?
      От oigen в разделе Microsoft Windows
      Ответов: 6
      Последнее сообщение: 25.12.2009, 21:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01215 seconds with 18 queries