После удаления трояна не работают видео Youtube Rutube (вечная загрузка)

**Skit2dor** · 19.11.2018, 13:12

Где то подцепил какую то каку . Перестал работать видео Youtube , проверил Rutube тоже самое во всех браузерах Mozilla, Opera, IE и вылазил в правом нижнем углу китайский баннер . Просканировал Защитником Windows нашел троян и удалил его , Касперский ничего особо не нашел , кроме малварей в репаках . Но проблема не решена , помогите пожалуйста

PPS . В логах Windows Defender обнаружил полное описание трояна

- EventData

Product Name %%827
Product Version 4.10.209.0
Detection ID {A2BBBB64-66FC-42D9-A974-A78B5CF0E813}
Detection Time 2018-11-18T09:25:36.101Z
Unused
Unused2
Threat ID 2147723625
Threat Name Trojan:Win32/Tiggre!rfn
Severity ID 5
Severity Name Критический
Category ID 8
Category Name Троян
FWLink http://go.microsoft.com/fwlink/?link...5&enterprise=0
Status Code 1
Status Description
State 1
Source ID 3
Source Name %%818
Process Name C:\Windows\explorer.exe

И как раз после того как было скачано приложение с трояном все проблемы с видеохостингами и появились .

PS Еще обнаржил в реестре ключи Avast , был удален давно , если будут его ключи попадаться смело можно удалять

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.11.2018, 13:13

Уважаемый(ая) Skit2dor, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 19.11.2018, 16:19

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки :

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe', '');
 DeleteFile('C:\Users\Sergey1\AppData\Local\GetVideo\Удаление (Uninstall).exe', '');
 DeleteFile('C:\Windows\Tasks\DriverToolkit Autorun.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "{51B1AF2B-C2E4-464F-9A92-12401219B427}" /F', 0, 15000, true);
 DeleteFileMask('c:\program files (x86)\drivertoolkit', '*', true);
 DeleteFileMask('c:\users\sergey1\appdata\local\getvideo', '*', true);
 DeleteDirectory('c:\program files (x86)\drivertoolkit');
 DeleteDirectory('c:\users\sergey1\appdata\local\getvideo');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Сделайте лог Malwarebytes AdwCleaner.

**Skit2dor** · 19.11.2018, 17:27

Сообщение от Vvvyg

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки :

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe', '');
 DeleteFile('C:\Users\Sergey1\AppData\Local\GetVideo\Удаление (Uninstall).exe', '');
 DeleteFile('C:\Windows\Tasks\DriverToolkit Autorun.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "{51B1AF2B-C2E4-464F-9A92-12401219B427}" /F', 0, 15000, true);
 DeleteFileMask('c:\program files (x86)\drivertoolkit', '*', true);
 DeleteFileMask('c:\users\sergey1\appdata\local\getvideo', '*', true);
 DeleteDirectory('c:\program files (x86)\drivertoolkit');
 DeleteDirectory('c:\users\sergey1\appdata\local\getvideo');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Сделайте лог Malwarebytes AdwCleaner.

Готово , лог прикрепляю .

Также в редакторе реестра нашел упоминание о DIName REG_SZ Babylon Toolbar.dll скорее всего от китайского автобаннера в ветках
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{2EECD738-5844-4A99-B4B6-146BF802613B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{98889811-442D-49DD-99D7-DC866BE87DBC}
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Internet Explorer\Extension Compatibility\{2EECD738-5844-4A99-B4B6-146BF802613B}
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Internet Explorer\Extension Compatibility\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Internet Explorer\Extension Compatibility\{98889811-442D-49DD-99D7-DC866BE87DBC}

**Vvvyg** · 19.11.2018, 17:38

Уведомление

Не нужно полностью цитировать сообщения хелпера, это ухудшает читаемость темы, просто пишите в окне "Быстрый ответ"

И лог AdwCleaner - это только файл AdwCleaner[S00].txt, не нужно папку целиком прикладывать.

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

UdpProxy сами устанавливали?

**Skit2dor** · 19.11.2018, 18:05

Сделал , но проблема не решилась . Видео youtube в браузерах зависает на 1 секунде рекламы или если рекламы в начале ролика нет , крутится якобы загрузка на черном фоне , потом выскакивает то же предложение перезагрузить устройство как и было , rutube просто стоит с тремя мерцающими квадратами / Мозилла , Опера аналогично
udpProxy сам устанавливал давно 2016 год , можно и удалить
Кэш и куки в Мозилле/Опера почистил
Что делать ? Может логгер еще что то найдет, если безопасном режиме запустить с поддержкой сетевых драйверов ?

**Vvvyg** · 19.11.2018, 20:03

Во всех браузерах проблема? Переустанавливать пробовали?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Skit2dor** · 19.11.2018, 21:58

Пробовал после удаления WD и прогоном всего диска в KIS
Да , во всех и как то странно , в ADW Cleaner из обычного состояния удалил все , а зашел в безопасном режиме (F5 с загрузкой сетевых драйверов) все удаленное на месте нашлось , чудеса , пришлось еще раз удалять . Теперь в логах ADWCleaner чисто . Приложу вам еще и лог AVZ из безопасного режима на сравнение , делал после выполнения скрипта в норм. режиме , ок ?
У меня 64 битная система 8.1

И так на сравнение :
1 . AVZ safe_mode
2 . Frabar safe_mode
3 . Frabar normal (обычный режим загрузки ОС)

PS Проверил , в безопасном режиме загрузки F5 Youtube ролики и рекламу проигрывает , в нормальном нет . Мда , нонсенс

PPS Ну наконец то сделал , стоял в устройстве воспроизведения микшер , переключил на Динамики , воткнул Наушники и пошло . Ура . Но как это получилось , причем тут влияние устройства аудио на воспроизведение Youtube и Rutube . Чудо

**Vvvyg** · 20.11.2018, 01:11

Тогда дочистим немного - и всё .

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CHR HKU\S-1-5-21-1569284844-1777328819-509732081-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
2014-03-02 23:39 - 2014-05-26 02:31 - 000384141 _____ () C:\Users\Sergey1\AppData\Local\Temp\Quarantine.exe
CustomCLSID: HKU\S-1-5-21-1569284844-1777328819-509732081-1001_Classes\CLSID\{240CE5D0-6A59-8280-5BE8-042969019C16}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1569284844-1777328819-509732081-1001_Classes\CLSID\{6C7D5ECD-46B3-1D41-3115-12CD579D76E3}\InprocServer32 -> no filepath
Task: {44F1E68A-F77B-49BF-98DD-1854AABAA8E1} - \KMSAutoNet -> No File <==== ATTENTION
HKU\S-1-5-21-1569284844-1777328819-509732081-1001\Software\Classes\exefile:  <==== ATTENTION
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры,
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Skit2dor** · 20.11.2018, 12:09

Сделал . Одно уточнение сканирование запуск и фикс в FRABAR проводилось без отмеченных галочек List BSD , Drivers MD5 , Shortcut.txt ,90 Days Files
Лог работы кода прикрепляю Boot Mode: Normal

**Vvvyg** · 20.11.2018, 13:22

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

После удаления трояна не работают видео Youtube Rutube (вечная загрузка) (заявка № 220902)

Опции темы