Взломали компьютер через картинку (выключал интернет)

[Wolowizard]

Здравствуйте, играл с другом в игру, в этот момент мне написал в steam человек и скинул ссылку с картинкой из совместной игры. Я по глупости перешел и он получил доступ к моему интернету( мог выключать и делал перебои в сети). Как от этого избавиться и можно ли как то проверь осталась ли у него возможность повторять эти действия?

[Info_bot]

Уважаемый(ая) Wolowizard, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=198237e1907aa8b01ebe73c5f0f3f1f7&text={searchTerms} - >>
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=198237e1907aa8b01ebe73c5f0f3f1f7&text= - >>
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{4562024F-B09F-4C93-A470-70581D9FB725}: [SuggestionsURL_JSON] = http://ss.websearch.ask.com/query?li=ff&sstype=prefix&q={searchTerms} - Ask Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{4562024F-B09F-4C93-A470-70581D9FB725}: [URL] = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^RU&gct=&itbv=12.18.0.82&apn_uid=D269D074-F998-4CB0-B0F9-5807902D04FE&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^RU&apn_dbr=ie_11.0.9600.17420&doi=2014-11-20&trgb=IE&q={searchTerms}&psv=&pt=tb - Ask Search
O4 - User Startup: C:\Users\Pavel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help.lnk    ->    C:\Users\Pavel\AppData\Roaming\Winset\help.vbs
O9 - Button: HKLM\..\{44627DAE-18B6-4ABC-8B22-13979EDFC56D}: Torrent Search - (no file)
O9-32 - Button: HKLM\..\{44627DAE-18B6-4ABC-8B22-13979EDFC56D}: Torrent Search - (no file)
O13-32 - HKLM\..\URL\DefaultPrefix: [] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=198237e1907aa8b01ebe73c5f0f3f1f7&text=
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: Soft installer - C:\Users\Pavel\AppData\Local\IObit installer\iobitdownloader_monster.exe ;scheduler=1 (file missing)
O22 - Task: chrome5 - C:\Program Files (x86)\Microsoft Data\InstallAddons.exe /reinstall=1 /opid=wuid-93e37b05-6ef0-65e1-8a95-8a47d736183a /[email protected] /partner=3010 /scheme=im_ru_1602 /key=778dfgwergpmvnmvl03840vjvk (file missing)
O22 - Task: chrome5_logon - C:\Program Files (x86)\Microsoft Data\InstallAddons.exe /reinstall=1 /opid=wuid-93e37b05-6ef0-65e1-8a95-8a47d736183a /[email protected] /partner=3010 /scheme=im_ru_1602 /key=778dfgwergpmvnmvl03840vjvk (file missing)
O23 - Service R2: Microsoft .NET Framework NGEN v1.0 - (clr_optimization_v1.0) - C:\Users\Pavel\AppData\Roaming\nssm.exe

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Users\Pavel\AppData\Local\IObit installer\iobitdownloader_monster.exe','');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Users\Pavel\AppData\Roaming\Winset\help.vbs','');
 QuarantineFileF('C:\Users\Pavel\AppData\Roaming\Winset', '*.exe,*.dll,*.sys', false,'', 0, 0);
 DeleteFile('C:\Users\Pavel\AppData\Roaming\Winset\help.vbs','32');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\Pavel\AppData\Local\IObit installer\iobitdownloader_monster.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

[Wolowizard]

Не могу приложить карантинный файл , лог приложил

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Wolowizard]

прикрепил

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.3.9.626\AVG Web TuneUp.dll => No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\40.3.8\\npsitesafety.dll [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  CHR HKLM-x32\...\Chrome\Extension: [nphbmanpfjfdngbaamhajooihmjacmfe] - hxxps://clients2.google.com/service/update2/crx?response=redirect\\&x=id%3Dnphbmanpfjfdngbaamhajooihmjacmfe%26uc%26lang%3Den-US&prod=chrome"
  CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
  Folder: C:\Users\Pavel\AppData\Roaming\Bungie
  Folder: C:\Users\Pavel\AppData\Local\Purplizer
  2018-11-11 06:16 - 2014-11-03 04:23 - 000000000 ____D C:\Users\Все пользователи\E1864A66-75E3-486a-BD95-D1B7D99A84A7
  2018-11-11 06:16 - 2014-11-03 04:23 - 000000000 ____D C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7
  2015-08-19 00:10 - 2014-08-31 16:34 - 000294912 _____ () C:\Users\Pavel\AppData\Roaming\nssm.exe
  2015-03-01 23:23 - 2015-03-01 23:23 - 000000001 _____ () C:\Users\Pavel\AppData\Roaming\smw_inst
  2018-07-31 04:02 - 2018-11-01 16:48 - 000000180 _____ () C:\Users\Pavel\AppData\Local\Temp\00e481b5e22dbe1f649fcddd505d3eb7.dll
  2018-11-01 16:49 - 2018-11-25 02:07 - 000000017 _____ () C:\Users\Pavel\AppData\Local\Temp\26d98f94e4611ace8fe6b48d227c9eb8.dll
  2018-07-28 04:22 - 2018-11-01 00:46 - 000000017 _____ () C:\Users\Pavel\AppData\Local\Temp\b11a85cbddecbc9acf746973cd85d273.dll
  2018-10-31 06:23 - 2018-10-31 06:23 - 000187712 _____ () C:\Users\Pavel\AppData\Local\Temp\install749858197174527854.exe
  2018-04-18 03:39 - 2018-04-18 03:39 - 001884616 _____ (Oracle Corporation) C:\Users\Pavel\AppData\Local\Temp\jre-8u171-windows-au.exe
  2018-11-15 12:05 - 2018-11-15 12:05 - 001892728 _____ (Oracle Corporation) C:\Users\Pavel\AppData\Local\Temp\jre-8u191-windows-au.exe
  2018-10-03 10:29 - 2018-10-23 19:26 - 000091136 _____ () C:\Users\Pavel\AppData\Local\Temp\reporter.exe
  2018-10-31 06:23 - 2018-10-31 06:24 - 099396088 _____ (YANDEX LLC) C:\Users\Pavel\AppData\Local\Temp\{A780E69C-696E-4AED-89F3-1A99994BC45B}.exe
  ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  Task: {532DF655-F71D-495F-8F26-4D3C4CFBE31F} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  Task: {D42AB269-CD83-46FE-8E0A-4109F97AB361} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  AlternateDataStreams: C:\Users\Pavel\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [362]
  AlternateDataStreams: C:\Users\Pavel\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [362]
  AlternateDataStreams: C:\Users\Pavel\AppData\Local\Temp:$DATA​ [16]
  AlternateDataStreams: C:\Users\Public\AppData:CSM [480]
  Folder: C:\Users\Pavel\AppData\Roaming\Winset
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Wolowizard]

готово

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  C:\Users\Pavel\AppData\Roaming\Winset\move.vbs
  C:\Users\Pavel\AppData\Roaming\Winset
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Сообщите, что с проблемой?

[Wolowizard]

Перед первым пунктом тот (урод) человек отключил полностью доступ интернета. после того как первый пункт сделал был небольшой пинг, но всё работало. сейчас всё хорошо, но стоит ли мне переустанавливать винду после этого. могу приложить скрин программы с помощью которой меня ломали( вдруг поможет с решением в будущем).

[SQ]

Не уверен, что стоит переустанавливать ОС, а так это вам решать. Согласно логам ничего вредоносного более нет.

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

[Wolowizard]

низкий поклон, помогли куда быстрее чем сапорт стима. буду надеяться что и акк смогут так оперативно вернуть. спасибо