Я пользуюсь такой утилитой, как PCWinBooster и, каждый раз, после посещения интернета через браузер Google, она определяет какие-то самопроизвольно установившиеся расширения браузера Google. Скриншоты: Вложение 664876 Вложение 664877
Я пользуюсь такой утилитой, как PCWinBooster и, каждый раз, после посещения интернета через браузер Google, она определяет какие-то самопроизвольно установившиеся расширения браузера Google. Скриншоты: Вложение 664876 Вложение 664877
Уважаемый(ая) Hjvfhbj, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\user\appdata\local\rqhif.exe'); StopService('ShellHWDetection'); StopService('wfcre'); QuarantineFile('c:\users\user\appdata\local\rqhif.exe', ''); QuarantineFile('C:\Windows\system32\drivers\wfcre.sys', ''); QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\artejjuw\gtaghrai.exe', ''); DeleteFile('c:\users\user\appdata\local\rqhif.exe', '32'); DeleteFile('C:\Windows\system32\drivers\wfcre.sys', '32'); DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\artejjuw\gtaghrai.exe', '32'); DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk'); DeleteService('wfcre'); DeleteFileMask('c:\users\user\appdata\local\mail.ru', '*', true); DeleteFileMask('c:\users\user\appdata\roaming\microsoft\artejjuw', '*', true); DeleteDirectory('c:\users\user\appdata\local\mail.ru'); DeleteDirectory('c:\users\user\appdata\roaming\microsoft\artejjuw'); ExecuteFile('schtasks.exe', '/delete /TN "{54C9EB0C-F2CA-4125-ACAC-D0FB7B3A926D}" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GameCenterMailRu', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'Yandex'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(2); ExecuteRepair(4); ExecuteRepair(23); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора) и пофиксите:Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.Код:O4 - MSConfig\startupfolder: C:^Users^user^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Yandex.lnk - C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (2015/03/07) (file missing) O4 - MSConfig\startupfolder: C:^Users^user^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^regCheck.lnk - C:\Users\user\AppData\Local\rightchose\regCheck.vbs www.rightchose.xyz/?rnd=161 0 3000000 (2017/08/14) (file missing) O4 - MSConfig\startupreg: [0NX4D2MX6PDGHJT] (no file) (HKCU) (2017/08/14) O4 - MSConfig\startupreg: [1E5TH3RVPRD9YFH] (no file) (HKCU) (2017/08/14) O4 - MSConfig\startupreg: [1hih12n3wqo] (no file) (HKCU) (2017/08/14) O4 - MSConfig\startupreg: [7rb3LTzutM.exe] (no file) (HKCU) (2017/08/14) O4 - MSConfig\startupreg: [AceStream] (no file) (HKCU) (2016/01/21) O4 - MSConfig\startupreg: [CRWAJ5J6R7AOTC1] (no file) (HKCU) (2017/08/14) O4 - MSConfig\startupreg: [CiPlus-4.5vV03.10-nv-ie] (no file) (HKCU) (2017/05/20) O4 - MSConfig\startupreg: [Clipdiary] (no file) (HKCU) (2016/01/21) O4 - MSConfig\startupreg: [DateOption] (no file) (HKLM) (2017/08/14) O4 - MSConfig\startupreg: [FileSystemOptions] (no file) (HKCU) (2017/08/14) O4 - MSConfig\startupreg: [FilterOptions] (no file) (HKLM) (2017/08/14) O4 - MSConfig\startupreg: [GRA5LYZ21CQXFO6] (no file) (HKCU) (2017/08/14) O4 - MSConfig\startupreg: [cdrhvqs] (no file) (HKCU) (2017/06/04) O4 - MSConfig\startupreg: [hlrsiwbjqx2] (no file) (HKCU) (2017/08/14) O4 - MSConfig\startupreg: [mbot_ru_014010102] (no file) (HKLM) (2015/10/03) O4 - MSConfig\startupreg: [nrgcgoaopcr] (no file) (HKCU) (2017/08/14) O4 - MSConfig\startupreg: [rec_en_77] (no file) (HKLM) (2015/10/03) O4 - MSConfig\startupreg: [spdetector3] C:\Program Files\Spyware Process Detector\spd323.exe TRAY (file missing) (HKCU) (2015/09/19) O4 - MSConfig\startupreg: [uTorrent] C:\Users\user\AppData\Roaming\uTorrent\uTorrent.exe /MINIMIZED (file missing) (HKCU) (2016/12/17) O4 - MSConfig\startupreg: [w42cruvlxxj] (no file) (HKCU) (2017/08/14) O4 - MSConfig\startupreg: [y5epwlmti1j] (no file) (HKCU) (2017/08/14) O22 - Task (Ready): {959C491B-8A85-40A2-8BD4-DA2EEDE20FC6} - C:\Program Files\Google\Chrome\Application\chrome.exe
Сделайте лог Malwarebytes AdwCleaner.
Последний раз редактировалось Vvvyg; 13.09.2017 в 20:21.
WBR,
Vadim
Несоответствие того, что вы указываете в виде кода для HijackThis тому, что выдает сам HijackThis (скриншоты того и другого прилагаю).
Надо пользоваться HijackThis, который уже находится в папке Autologger, а не скачивать устаревшую версию.
WBR,
Vadim
Я сразу так и сделал как вы рекомендовали, но результат был тот же, поэтому попытался обновить HijackThis до более новой версии.
Выполняйте дальнейшие указания.
WBR,
Vadim
AdwCleaner и AutoLogger (так как HijackThis воспользоваться не удалось, то при сканировании AutoLogger "Ok после запуска нажимайте с зажатой клавишей Shift" - не делал, т.е. просканировал полностью).
Запустите повторно Malwarebytes AdwCleaner (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan).
Установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "Сброс политик Chrome".
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
WBR,
Vadim
AdwCleaner и FRST
Расширения Платежная система Интернет-магазина Chrome и Chrome Media Router устанавливает сам хром. Рекомендую удалить PCWinBooster.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan ToolКод:CreateRestorePoint: FF NewTab: Mozilla\Firefox\Profiles\ynx2um5x.default -> C:\\ProgramData\\AppriabuSs\\ff.NT FF DefaultSearchEngine: Mozilla\Firefox\Profiles\ynx2um5x.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ynx2um5x.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\ynx2um5x.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=812257 FF Keyword.URL: Mozilla\Firefox\Profiles\ynx2um5x.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B0C41E92F-2C4F-404E-8884-EECD83400EFC%7D&gp=811041 S4 BstHdLogRotatorSvc; "C:\Program Files\BlueStacks\HD-LogRotatorService.exe" [X] S4 Lenovo EasyPlus Hotspot; "C:\Program Files\Common Files\LENOVO\easyplussdk\bin\EPHotspot.exe" [X] S4 BstkDrv; \??\C:\Program Files\BlueStacks\BstkDrv.sys [X] U3 dmserver; no ImagePath U4 mnmsrvc; no ImagePath S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] U4 RDSessMgr; no ImagePath U4 RSVP; no ImagePath U0 TorchCrashHandler; no ImagePath U4 UPS; no ImagePath U4 W3SVC; no ImagePath U4 xmlprov; no ImagePath 2017-09-13 09:46 - 2015-02-13 15:20 - 000000000 ____D C:\ProgramData\IObit 2017-08-19 11:05 - 2016-12-19 21:47 - 006936389 _____ C:\quarantine.zip 2017-08-13 21:32 - 2017-08-13 21:32 - 000000000 _____ () C:\Users\user\AppData\Local\agent.dat 2017-08-13 21:32 - 2017-08-13 21:32 - 000000000 _____ () C:\Users\user\AppData\Local\Config.xml 2017-08-13 21:32 - 2017-08-13 21:30 - 002554368 _____ (TODO: <Company name>) C:\Users\user\AppData\Local\Dalt-Warm.exe 2017-08-13 21:32 - 2017-08-13 21:32 - 000000000 _____ () C:\Users\user\AppData\Local\noah.dat Task: {05DBF4AD-442D-439C-80D3-B87C795BE576} - System32\Tasks\Games\UpdateCheck_S-1-5-21-903011104-518801795-3131013286-1000 MSCONFIG\startupreg: 0NX4D2MX6PDGHJT => MSCONFIG\startupreg: 1E5TH3RVPRD9YFH => MSCONFIG\startupreg: 1hih12n3wqo => MSCONFIG\startupreg: 7rb3LTzutM.exe => MSCONFIG\startupreg: AceStream => MSCONFIG\startupreg: cdrhvqs => MSCONFIG\startupreg: CiPlus-4.5vV03.10-nv-ie => MSCONFIG\startupreg: CRWAJ5J6R7AOTC1 => MSCONFIG\startupreg: DateOption => MSCONFIG\startupreg: FileSystemOptions => MSCONFIG\startupreg: FilterOptions => MSCONFIG\startupreg: GameXP AccessPoint => "C:\GameXP\AccessPoint\accesspoint.exe" -silent MSCONFIG\startupreg: Globus => C:\Users\user\AppData\Local\Apps\2.0\NNCE0KTX.W2V\V1OPYTC3.HMD\glob..tion_0e9bece345a75cf6_0003.0002_ce1b140f0d73bc23\Globus.exe MSCONFIG\startupreg: GoogleChromeAutoLaunch_100535F106431A9BDA15E8895BE69FFB => MSCONFIG\startupreg: GRA5LYZ21CQXFO6 => MSCONFIG\startupreg: hlrsiwbjqx2 => MSCONFIG\startupreg: MailRuUpdater => MSCONFIG\startupreg: mbot_ru_014010102 => MSCONFIG\startupreg: nrgcgoaopcr => MSCONFIG\startupreg: P6K5L7X14TWOWQW => MSCONFIG\startupreg: rec_en_77 => MSCONFIG\startupreg: spdetector3 => C:\Program Files\Spyware Process Detector\spd323.exe TRAY MSCONFIG\startupreg: w42cruvlxxj => MSCONFIG\startupreg: y5epwlmti1j => FirewallRules: [{30507EFB-359B-4B2F-A870-34AF7C6A5BE8}] => (Allow) C:\Program Files\Zona\Zona.exe FirewallRules: [{CF1D7034-DB89-41ED-94BA-9342591DC11A}] => (Allow) C:\Program Files\Zona\Zona.exe MSCONFIG\startupreg: GameCenterMailRu => FirewallRules: [TCP Query User{0C6F5628-7C47-4E21-8D7C-D422643A1A89}C:\users\user\appdata\local\mail.ru\gamecenter\[email protected]] => (Allow) C:\users\user\appdata\local\mail.ru\gamecenter\[email protected] FirewallRules: [UDP Query User{B0EFC4F6-9331-46AA-8B60-715C94C506BD}C:\users\user\appdata\local\mail.ru\gamecenter\[email protected]] => (Allow) C:\users\user\appdata\local\mail.ru\gamecenter\[email protected] FirewallRules: [TCP Query User{EEEEEAF0-5C05-47FA-9AB8-CE2A58E30B5C}C:\users\user\appdata\roaming\zona\plugins\zbroadcast\zbroadcast.exe] => (Allow) C:\users\user\appdata\roaming\zona\plugins\zbroadcast\zbroadcast.exe FirewallRules: [UDP Query User{9FDE3357-DBE5-4FF3-AEE4-432E14857D29}C:\users\user\appdata\roaming\zona\plugins\zbroadcast\zbroadcast.exe] => (Allow) C:\users\user\appdata\roaming\zona\plugins\zbroadcast\zbroadcast.exe Reboot:
Отключите до перезагрузки антивирус, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Java 8 обязательно обновите до Java 8 Update 144, у Вас устаревшая версия с уязвимостями.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
WBR,
Vadim
1) Если удалить PCWinBooster, то чем его заменить? У меня диск С забит, и я его подчищаю с помощью этой утилиты. Хорошо бы диск С освободить от лишнего, а что-то перекинуть на диск D. Но каким образом?
2) При попытке загрузить Java 8 Update 144, появляется такой текст: "Мы обнаружили, что вы используете Google Chrome и, возможно, не можете использовать подключаемый модуль Java из этого браузера. В браузере Chrome, начиная с версии 42 (выпущенной в апреле 2015 г.), отключен стандартный способ поддержки подключаемых модулей."
Может лучше удалить Google Chrome и заменить его, например Яндекс.Браузером, раз он такой проблемный?
1) CCleaner бесплатный. В папку с ним скачайте файл Winapp2.ini - он обновляется часто, добавляются множество вариантов очистки для приложений и системы.
2) А Java вообще нужна для чего-то? Я не вижу у вас приложений, которым она необходима, а в браузерах она для 99% пользователей только вредна. Так что, лучше её и удалите.
WBR,
Vadim
Запустите AdwCleaner и нажмите Файл (File) -> Удалить (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\users\user\appdata\local\rqhif.exe - Trojan.Win32.Inject.agmvu
- c:\users\user\appdata\roaming\microsoft\artejjuw\g taghrai.exe - Trojan.Win32.Yakes.uenz
Уважаемый(ая) Hjvfhbj, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.