Показано с 1 по 19 из 19.

Бесконечное открывание новых вкладок в Firefox и Chrome [HEUR:Trojan.Script.Generic, HEUR:Trojan.Win32.Agent.gen] (заявка № 222547)

  1. #1
    Junior Member Репутация
    Регистрация
    18.04.2019
    Сообщений
    9
    Вес репутации
    18

    Thumbs up Бесконечное открывание новых вкладок в Firefox и Chrome [HEUR:Trojan.Script.Generic, HEUR:Trojan.Win32.Agent.gen]

    Здравствуйте!
    Прошу помощи, ибо ничего не помогает, а проблема очень серьёзная и назойливая.
    Накануне скачала с виду нормальный файл, который по факту оказался ящиком Пандоры с вирусами.
    Благодаря нему теперь с частотой от 2 секунд до нескольких минут в "Firefox" и "Chrome" открывается уйма вкладок с разными сайтами, но редирект идёт от thegoodcaster(.com). Периодически также вылезает приложение "One System Care" (которое я не устанавливала самостоятельно) и идёт попытка установки каких-то новых приложений.

    Неоднократно прогоняла систему через "Dr. Web CureIt", "AdwCleaner" и "Spybot - Search&Destroy". Ничего не помогло. Они вроде что-то находят, удаляют, перемещают, но после перезагрузки компьютера всё начинается заново (причём автозапуском). Поиск и удаление подозрительных задач в планировщике также не принёс особых результатов. Самостоятельное вычисление сторонних файлов в папках "Windows", "Program Files" и "AppData" в общем-то завершились успешно, но вот удаление этих сторонних файлов вручную не получилось - система выдала что-то вроде ошибки доступа.

    На данный момент подозрительными, но не удалёнными остаются:
    - Приложения "One System Care", "Gerpril", "TrustedInstaller", H25MF9DDA.exe, TBFMIWCXV2.exe, ER6MNWIGP.exe, wscript.exe, appcmd.exe
    - wsclient.dll, apphostsvc.dll, appobj.dll, certobj.dll, iisreg.dll и так далее
    - Процесс? Программы? - HotStart и aspnetca (ASP.NET)
    - Папки "SysWOW64" и "Prefetch" в "Windows"

    И ещё: попытка соединиться с нормальными сайтами оканчивается также ничем - соединение отстутствует, при том что другие, "левые" сайты отлично загружаются.

    Логи из "AutoLogger", а также некоторые скриншоты прикрепляю.
    P.S. Слава богу, что есть ещё один компьютер, с которого можно связаться с миром
    Изображения Изображения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) EwGene, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Не то выложили, правила перечитайте.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    18.04.2019
    Сообщений
    9
    Вес репутации
    18
    Да, извините.
    Вот то, что нужно.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)пофиксите только эти строки:
    Код:
    O15 - Trusted Zone: https://vk-local-server.cezurity.com
    O17 - DHCP DNS 1: 116.202.1.65
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5DD9E258-11B1-408E-BE95-87DE75DE8979}: [NameServer] = 116.202.1.65
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9D70597F-3509-4760-A26D-5B1A53B14A58}: [NameServer] = 116.202.1.65
    O22 - Task: Adobe Flash Player NPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_171_Plugin.exe -check plugin (file missing)
    O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
    O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
    O22 - Task: Norton WSC Integration - C:\Program Files (x86)\Norton Internet Security\Engine\22.9.4.8\WSCStub.exe /taskschd (file missing)
    O22 - Task: \Norton Internet Security\Norton Internet Security Error Analyzer - C:\Program Files (x86)\Norton Internet Security\Engine\22.9.4.8\SymErr.exe /analyze (file missing)
    O22 - Task: \Norton Internet Security\Norton Internet Security Error Processor - C:\Program Files (x86)\Norton Internet Security\Engine\22.9.4.8\SymErr.exe /submit (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('C:\Program Files (x86)\Rotation\428190386.exe');
     TerminateProcessByName('C:\Program Files (x86)\Rotation\612377947.exe');
     TerminateProcessByName('C:\Program Files\Hewlett-Packard\3XVSILJ8P53GRG\kXLHCink8w.exe');
     TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-13qpb.tmp\awhtrevkxf0.tmp');
     TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-51mhv.tmp\1bei5fvhd3b.tmp');
     TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-9oea2.tmp\khmgohgycfm.tmp');
     TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-da6rb.tmp\lczuaazddk1.tmp');
     TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-ddnj3.tmp\l045jjx0cxi.tmp');
     TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-ds1bb.tmp\zhtnfrcltd2.tmp');
     TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-est3t.tmp\ixcynhtlkw3.tmp');
     TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-m9hd2.tmp\pt0rp2kgxhp.tmp');
     TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-rlr67.tmp\1g5nrcjsnkn.tmp');
     TerminateProcessByName('c:\users\Женя\appdata\roaming\002ejuwlyrd\pt0rp2kgxhp.exe');
     TerminateProcessByName('c:\users\Женя\appdata\roaming\bidfl1prcca\l045jjx0cxi.exe');
     TerminateProcessByName('c:\users\Женя\appdata\roaming\byxvokhwjlo\lczuaazddk1.exe');
     TerminateProcessByName('c:\users\Женя\appdata\roaming\czmtnotjlx2\awhtrevkxf0.exe');
     TerminateProcessByName('c:\users\Женя\appdata\roaming\ezx1g2keys5\ixcynhtlkw3.exe');
     TerminateProcessByName('c:\users\Женя\appdata\roaming\j45trjrrnxu\1g5nrcjsnkn.exe');
     TerminateProcessByName('c:\users\Женя\appdata\roaming\ly1zn1dznpz\zhtnfrcltd2.exe');
     TerminateProcessByName('c:\users\Женя\appdata\roaming\n4vz3enxmkl\1bei5fvhd3b.exe');
     TerminateProcessByName('c:\users\Женя\appdata\roaming\sbznvpi10sk\khmgohgycfm.exe');
     StopService('rcdll');
     QuarantineFile('C:\Program Files (x86)\Rotation\428190386.exe', '');
     QuarantineFile('C:\Program Files (x86)\Rotation\612377947.exe', '');
     QuarantineFile('C:\Program Files (x86)\yXYMSblVdIE\kf9eOEHK.dll', '');
     QuarantineFile('C:\Program Files\Hewlett-Packard\3XVSILJ8P53GRG\#gRYDWjxe4.exe', '');
     QuarantineFile('C:\Program Files\Hewlett-Packard\3XVSILJ8P53GRG\kXLHCink8w.exe', '');
     QuarantineFile('c:\users\0982~1\appdata\local\temp\is-13qpb.tmp\awhtrevkxf0.tmp', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-4JTGL.tmp\_isetup\_isdecmp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-4JTGL.tmp\idp.dll', '');
     QuarantineFile('c:\users\0982~1\appdata\local\temp\is-51mhv.tmp\1bei5fvhd3b.tmp', '');
     QuarantineFile('c:\users\0982~1\appdata\local\temp\is-9oea2.tmp\khmgohgycfm.tmp', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-A4FHR.tmp\_isetup\_isdecmp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-A4FHR.tmp\idp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-BHLB3.tmp\_isetup\_isdecmp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-BHLB3.tmp\idp.dll', '');
     QuarantineFile('c:\users\0982~1\appdata\local\temp\is-da6rb.tmp\lczuaazddk1.tmp', '');
     QuarantineFile('c:\users\0982~1\appdata\local\temp\is-ddnj3.tmp\l045jjx0cxi.tmp', '');
     QuarantineFile('c:\users\0982~1\appdata\local\temp\is-ds1bb.tmp\zhtnfrcltd2.tmp', '');
     QuarantineFile('c:\users\0982~1\appdata\local\temp\is-est3t.tmp\ixcynhtlkw3.tmp', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-JT3LN.tmp\_isetup\_isdecmp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-JT3LN.tmp\idp.dll', '');
     QuarantineFile('c:\users\0982~1\appdata\local\temp\is-m9hd2.tmp\pt0rp2kgxhp.tmp', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-OR5M4.tmp\_isetup\_isdecmp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-OR5M4.tmp\idp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-P2ULT.tmp\_isetup\_isdecmp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-P2ULT.tmp\idp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-RKIUU.tmp\_isetup\_isdecmp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-RKIUU.tmp\idp.dll', '');
     QuarantineFile('c:\users\0982~1\appdata\local\temp\is-rlr67.tmp\1g5nrcjsnkn.tmp', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-RO3MM.tmp\_isetup\_isdecmp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-RO3MM.tmp\idp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-UON8P.tmp\_isetup\_isdecmp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-UON8P.tmp\idp.dll', '');
     QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\rcdll.exe', '');
     QuarantineFile('c:\users\Женя\appdata\roaming\002ejuwlyrd\pt0rp2kgxhp.exe', '');
     QuarantineFile('c:\users\Женя\appdata\roaming\bidfl1prcca\l045jjx0cxi.exe', '');
     QuarantineFile('c:\users\Женя\appdata\roaming\byxvokhwjlo\lczuaazddk1.exe', '');
     QuarantineFile('c:\users\Женя\appdata\roaming\czmtnotjlx2\awhtrevkxf0.exe', '');
     QuarantineFile('c:\users\Женя\appdata\roaming\ezx1g2keys5\ixcynhtlkw3.exe', '');
     QuarantineFile('c:\users\Женя\appdata\roaming\j45trjrrnxu\1g5nrcjsnkn.exe', '');
     QuarantineFile('c:\users\Женя\appdata\roaming\ly1zn1dznpz\zhtnfrcltd2.exe', '');
     QuarantineFile('c:\users\Женя\appdata\roaming\n4vz3enxmkl\1bei5fvhd3b.exe', '');
     QuarantineFile('c:\users\Женя\appdata\roaming\sbznvpi10sk\khmgohgycfm.exe', '');
     DeleteFile('C:\Program Files (x86)\Rotation\428190386.exe', '');
     DeleteFile('C:\Program Files (x86)\Rotation\612377947.exe', '');
     DeleteFile('C:\Program Files (x86)\Rotation\428190386.exe', '64');
     DeleteFile('C:\Program Files (x86)\Rotation\612377947.exe', '64');
     DeleteFile('C:\Program Files (x86)\yXYMSblVdIE\kf9eOEHK.dll', '');
     DeleteFile('C:\Program Files\Hewlett-Packard\3XVSILJ8P53GRG\#gRYDWjxe4.exe', '64');
     DeleteFile('C:\Program Files\Hewlett-Packard\3XVSILJ8P53GRG\kXLHCink8w.exe', '');
     DeleteFile('c:\users\0982~1\appdata\local\temp\is-13qpb.tmp\awhtrevkxf0.tmp', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-4JTGL.tmp\_isetup\_isdecmp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-4JTGL.tmp\idp.dll', '');
     DeleteFile('c:\users\0982~1\appdata\local\temp\is-51mhv.tmp\1bei5fvhd3b.tmp', '');
     DeleteFile('c:\users\0982~1\appdata\local\temp\is-9oea2.tmp\khmgohgycfm.tmp', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-A4FHR.tmp\_isetup\_isdecmp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-A4FHR.tmp\idp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-BHLB3.tmp\_isetup\_isdecmp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-BHLB3.tmp\idp.dll', '');
     DeleteFile('c:\users\0982~1\appdata\local\temp\is-da6rb.tmp\lczuaazddk1.tmp', '');
     DeleteFile('c:\users\0982~1\appdata\local\temp\is-ddnj3.tmp\l045jjx0cxi.tmp', '');
     DeleteFile('c:\users\0982~1\appdata\local\temp\is-ds1bb.tmp\zhtnfrcltd2.tmp', '');
     DeleteFile('c:\users\0982~1\appdata\local\temp\is-est3t.tmp\ixcynhtlkw3.tmp', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-JT3LN.tmp\_isetup\_isdecmp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-JT3LN.tmp\idp.dll', '');
     DeleteFile('c:\users\0982~1\appdata\local\temp\is-m9hd2.tmp\pt0rp2kgxhp.tmp', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-OR5M4.tmp\_isetup\_isdecmp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-OR5M4.tmp\idp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-P2ULT.tmp\_isetup\_isdecmp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-P2ULT.tmp\idp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-RKIUU.tmp\_isetup\_isdecmp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-RKIUU.tmp\idp.dll', '');
     DeleteFile('c:\users\0982~1\appdata\local\temp\is-rlr67.tmp\1g5nrcjsnkn.tmp', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-RO3MM.tmp\_isetup\_isdecmp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-RO3MM.tmp\idp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-UON8P.tmp\_isetup\_isdecmp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-UON8P.tmp\idp.dll', '');
     DeleteFile('C:\Users\0982~1\AppData\Local\Temp\rcdll.exe', '');
     DeleteFile('c:\users\Женя\appdata\roaming\002ejuwlyrd\pt0rp2kgxhp.exe', '');
     DeleteFile('c:\users\Женя\appdata\roaming\bidfl1prcca\l045jjx0cxi.exe', '');
     DeleteFile('c:\users\Женя\appdata\roaming\byxvokhwjlo\lczuaazddk1.exe', '');
     DeleteFile('c:\users\Женя\appdata\roaming\czmtnotjlx2\awhtrevkxf0.exe', '');
     DeleteFile('c:\users\Женя\appdata\roaming\ezx1g2keys5\ixcynhtlkw3.exe', '');
     DeleteFile('c:\users\Женя\appdata\roaming\j45trjrrnxu\1g5nrcjsnkn.exe', '');
     DeleteFile('c:\users\Женя\appdata\roaming\ly1zn1dznpz\zhtnfrcltd2.exe', '');
     DeleteFile('c:\users\Женя\appdata\roaming\n4vz3enxmkl\1bei5fvhd3b.exe', '');
     DeleteFile('c:\users\Женя\appdata\roaming\sbznvpi10sk\khmgohgycfm.exe', '');
     DeleteFile('C:\Users\Женя\Favorites\Links\Интернет.url');
     DeleteService('gupdate');
     DeleteService('gupdatem');
     DeleteService('rcdll');
     DeleteFileMask('c:\program files (x86)\yxymsblvdie', '*', true);
     DeleteFileMask('c:\program files\hewlett-packard\3xvsilj8p53grg', '*', true);
     DeleteFileMask('c:\users\женя\appdata\roaming\002ejuwlyrd', '*', true);
     DeleteFileMask('c:\users\женя\appdata\roaming\bidfl1prcca', '*', true);
     DeleteFileMask('c:\users\женя\appdata\roaming\byxvokhwjlo', '*', true);
     DeleteFileMask('c:\users\женя\appdata\roaming\czmtnotjlx2', '*', true);
     DeleteFileMask('c:\users\женя\appdata\roaming\ezx1g2keys5', '*', true);
     DeleteFileMask('c:\users\женя\appdata\roaming\j45trjrrnxu', '*', true);
     DeleteFileMask('c:\users\женя\appdata\roaming\ly1zn1dznpz', '*', true);
     DeleteFileMask('c:\users\женя\appdata\roaming\n4vz3enxmkl', '*', true);
     DeleteFileMask('c:\users\женя\appdata\roaming\sbznvpi10sk', '*', true);
     DeleteDirectory('c:\program files (x86)\yxymsblvdie');
     DeleteDirectory('c:\program files\hewlett-packard\3xvsilj8p53grg');
     DeleteDirectory('c:\users\женя\appdata\roaming\002ejuwlyrd');
     DeleteDirectory('c:\users\женя\appdata\roaming\bidfl1prcca');
     DeleteDirectory('c:\users\женя\appdata\roaming\byxvokhwjlo');
     DeleteDirectory('c:\users\женя\appdata\roaming\czmtnotjlx2');
     DeleteDirectory('c:\users\женя\appdata\roaming\ezx1g2keys5');
     DeleteDirectory('c:\users\женя\appdata\roaming\j45trjrrnxu');
     DeleteDirectory('c:\users\женя\appdata\roaming\ly1zn1dznpz');
     DeleteDirectory('c:\users\женя\appdata\roaming\n4vz3enxmkl');
     DeleteDirectory('c:\users\женя\appdata\roaming\sbznvpi10sk');
     DelBHO('{0A11C8B7-2333-42A8-8DB1-9A7A91832C55}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', '4zsdsc4g3x3');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'novmvun3z0l');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(21);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Удалите Spybot - Search & Destroy.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    18.04.2019
    Сообщений
    9
    Вес репутации
    18
    Всё сделала, карантин загрузила, образ прикрепляю.
    Только вот в "HijackThis" не было этой строки - "O17 - DHCP DNS 1: 116.202.1.65". Несколько раз проверила.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.1.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v400c
    OFFSGNSAVE
    zoo %SystemDrive%\USERS\ЖЕНЯ\APPDATA\LOCAL\APP\CSRSS.EXE
    addsgn A1BA20CF1DE77997662151F9E9761295D775B47B0E0EAC6E853CF57B50F4756A27479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Trojan.Win32.Fsysna.fbvf [Kaspersky] 7
    
    zoo %SystemDrive%\PROGRAM FILES (X86)\SMCQOZNMU\YFTCGA.DLL
    addsgn A7679B1928664D070E3C228964C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D9D742F906C18491649C9BD9F6307595F4659214E91A75C02327C 16 Win32.AdWare.Neoreklami.CW [Comodo] 7
    
    chklst
    delvir
    
    delall %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\{5C3FD6D1-9185-4195-B5E1-FAB622427F59}\INSTALL.RDF
    delall %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\{430144B3-1DBC-4C4B-925E-8A7A98AEEBC8}\INSTALL.RDF
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\EZX1G2KEYS5\IXCYNHTLKW3.EXE
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\SBZNVPI10SK\KHMGOHGYCFM.EXE
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\BIDFL1PRCCA\L045JJX0CXI.EXE
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\BYXVOKHWJLO\LCZUAAZDDK1.EXE
    delref %SystemDrive%\USERS\0982~1\APPDATA\LOCAL\TEMP\IS-L1DS7.TMP\PARSERHRML.EXE
    delref %SystemDrive%\USERS\0982~1\APPDATA\LOCAL\TEMP\IS-2NNCB.TMP\PARSERHRML.EXE
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\002EJUWLYRD\PT0RP2KGXHP.EXE
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\GERPRIL\PYTHON\PYTHONW.EXE
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\N4VZ3ENXMKL\1BEI5FVHD3B.EXE
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\J45TRJRRNXU\1G5NRCJSNKN.EXE
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\CZMTNOTJLX2\AWHTREVKXF0.EXE
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\LY1ZN1DZNPZ\ZHTNFRCLTD2.EXE
    deldir %SystemDrive%\PROGRAM FILES (X86)\ONESYSTEMCARE
    zoo %SystemDrive%\PROGRAM FILES\RENDERAPP\APP\RENDERAPP.EXE
    delref %SystemRoot%\SYSWOW64\INTELCPHECISVC.EXE
    deldir %SystemDrive%\PROGRAM FILES (X86)\SMCQOZNMU
    delref %SystemDrive%\PROGRAM FILES\HEWLETT-PACKARD\3XVSILJ8P53GRG\KXLHCINK8W.EXE
    delref HTTP://SECUREDSEARCH.LAVASOFT.COM/?PR=VMN&ID=WEBCOMPA&ENT=HP_WCYID10092__190417
    delref HTTPS://SEARCH.NORTON.COM/?PRT=NS&CHN=1000&GEO=US&VER=22.9.3.13&LOCALE=RU_US&DOI=2017-07-04&GUID=CAE6A47B-14EB-4731-98F5-DEFBDF3ECDDB
    delref %SystemDrive%\PROGRAMDATA\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.0.0.136\COFFPLGN
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\1DZJ9QDU.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\NPGOOGLEUPDATE3.DLL
    delref %SystemRoot%\SYSWOW64\MACROMED\FLASH\NPSWF32_32_0_0_171.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
    delref %SystemDrive%\PROGRAMDATA\GARBAGE CLEANER\GARBAGE CLEANER.EXE
    zoo %SystemDrive%\PROGRAMDATA\ORIDTCDQOAEDDYVB\INTYUDO.WSF
    delall %SystemDrive%\PROGRAMDATA\ORIDTCDQOAEDDYVB\INTYUDO.WSF
    zoo %SystemDrive%\PROGRAM FILES (X86)\TCTALZJVVWVVC\JSHHUWH.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\TCTALZJVVWVVC\JSHHUWH.DLL
    delref LOAD.PYC
    delref %SystemDrive%\PROGRAMDATA\{4712D351-ACD5-211A-ADB1-99ADAD56C0FC}\{4712D351-ACD5-211A-ADB1-99ADAD56C0FC}.TMP
    delref %SystemDrive%\PROGRAMDATA\{BAA18C41-F3C5-DCA9-BDEE-2A50BD097301}\{BAA18C41-F3C5-DCA9-BDEE-2A50BD097301}.TMP
    zoo %SystemDrive%\PROGRAM FILES (X86)\FLCKDQUDXGVU2\XYEFCTGCLGBAV.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\FLCKDQUDXGVU2\XYEFCTGCLGBAV.DLL
    zoo %SystemDrive%\PROGRAM FILES (X86)\YLHWHTQCDIYVIQTSTTR\WHHHTUD.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\YLHWHTQCDIYVIQTSTTR\WHHHTUD.DLL
    delref %SystemRoot%\TEMP\OFFICEC2R2698B915-1343-4A65-9ED6-1A3DCE45EB22\V32.CAB
    delref %SystemRoot%\TEMP\OFFICEC2R9C26778D-59BA-46E0-98E7-D871EF079E6D\V32.CAB
    delref %SystemRoot%\TEMP\OFFICEC2R65C381C4-4C22-4B8E-8A2D-BF01BB2D0786\V32.CAB
    delref %SystemRoot%\TEMP\OFFICEC2R8A7399DA-8ED8-4FE6-9763-9B9204F708FC\V32.CAB
    delref %SystemDrive%\USERS\27C6~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_16912_21666\RESPONSE
    delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
    delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
    delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
    delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
    delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
    delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
    delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
    delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
    delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
    delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
    delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
    delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
    delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
    delref %SystemRoot%\SYSWOW64\LSM.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE\20.6.0.27\IPS\IPSBHO.DLL
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE\20.6.0.27\EXTS\CHROME.CRX
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\LOCAL\MAIL.RU\DISK-O\CLOUDSHELL32.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\YXYMSBLVDIE\TDEVPVT9.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\YXYMSBLVDIE\KF9EOEHK.DLL
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6743.1212\AMD64\FILECOAUTHLIB64.DLL
    delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6743.1212\FILECOAUTHLIB.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 17.0.0\X64\MCOUAS.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE64\20.6.0.27\MCSTATUS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\YXYMSBLVDIE\WPOEDLKFMU.EXE
    delref %SystemRoot%\SYSWOW64\DNSSDX.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\GOOGLEUPDATEONDEMAND.EXE
    delref %SystemRoot%\SYSWOW64\IGFXEXPS32.DLL
    delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\RTCOM\RTDATAPROC.DLL
    delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\XAUDIO2_7.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\GOOGLEUPDATEBROKER.EXE
    delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
    delref %SystemRoot%\SYSWOW64\IGFXDV32.DLL
    delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
    delref %SystemRoot%\SYSWOW64\RTCOM\RTCOMDLL.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
    delref %SystemRoot%\SYSWOW64\GPSVC.DLL
    delref %SystemRoot%\SYSWOW64\RTCOM\RTKCFG.DLL
    delref %SystemRoot%\SYSWOW64\XACTENGINE3_7.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE\20.6.0.27\OFFICEAV.DLL
    delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE\20.6.0.27\SYMDGNHC.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE\20.6.0.27\UIWEBHST.DLL
    uidel  "C:\Program Files (x86)\OneSystemCare\unins000.exe" /VERYSILENT
    apply
    deltmp
    czoo
    restart
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Компьютер перезагрузится.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Удалите YoutubeAdBlock.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    18.04.2019
    Сообщений
    9
    Вес репутации
    18
    Всё сделано.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-2559523857-1015711801-1493674037-1006\User: Restriction <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-2559523857-1015711801-1493674037-1005\User: Restriction <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-2559523857-1015711801-1493674037-1002\User: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Toolbar: HKU\S-1-5-21-2559523857-1015711801-1493674037-1002 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
    FF NewTab: Mozilla\Firefox\Profiles\1dzj9qdu.default -> hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10092__190417
    CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    2019-04-19 15:10 - 2019-04-19 15:10 - 000000000 ____D C:\Program Files\OMSVBGI6J0
    2019-04-18 23:17 - 2019-04-18 23:18 - 000000000 ____D C:\Program Files\J7TK3EXFT6
    2019-04-18 23:17 - 2019-04-18 23:17 - 000000000 ____D C:\Program Files\7IM5VEREUA
    2019-04-18 11:54 - 2019-04-18 11:54 - 000000000 ____D C:\Program Files\TMHZBKG4IB
    2019-04-18 11:21 - 2019-04-19 15:26 - 000000294 _____ C:\WINDOWS\Tasks\One System CarePeriod.job
    2019-04-18 11:21 - 2019-04-18 11:21 - 000002842 _____ C:\WINDOWS\System32\Tasks\One System CarePeriod
    2019-04-18 11:16 - 2019-04-19 15:12 - 000003318 _____ C:\WINDOWS\System32\Tasks\One System Care Monitor
    2019-04-18 11:16 - 2019-04-19 15:12 - 000003310 _____ C:\WINDOWS\System32\Tasks\One System Care Delayed
    2019-04-18 11:14 - 2019-04-18 11:14 - 000000000 ____D C:\Program Files\SUKI6223RY
    2019-04-18 11:13 - 2019-04-18 11:14 - 000000000 ____D C:\Program Files\9D8OPLYDC2
    2019-04-17 23:01 - 2019-04-17 23:01 - 000000000 ____D C:\Spybot - Search & Destroy
    2019-04-17 22:57 - 2019-04-17 22:59 - 000000000 ____D C:\AdwCleaner
    2019-04-17 22:36 - 2019-04-17 23:00 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
    2019-04-17 22:36 - 2019-04-17 22:50 - 000000000 ____D C:\Users\Женя\AppData\Local\Lavasoft
    2019-04-17 22:35 - 2019-04-17 23:00 - 000000000 ____D C:\Program Files (x86)\Lavasoft
    2019-04-17 22:34 - 2019-04-19 23:07 - 000000000 ____D C:\Users\Женя\AppData\Local\App
    2019-04-17 22:34 - 2019-04-19 15:22 - 000000000 ____D C:\Program Files (x86)\Rotation
    2019-04-17 22:34 - 2019-04-17 22:34 - 000722944 _____ C:\Users\Женя\AppData\Local\sha.db
    2019-04-17 22:34 - 2019-04-17 22:34 - 000140800 _____ C:\Users\Женя\AppData\Local\installer.dat
    2019-04-19 15:30 - 2017-08-01 20:35 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2019-04-19 15:29 - 2017-08-01 20:35 - 000000000 ____D C:\Users\Все пользователи\Spybot - Search & Destroy
    2019-04-19 15:29 - 2017-08-01 20:35 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2019-04-19 15:21 - 2017-07-05 21:13 - 000000000 ____D C:\WINDOWS\System32\Tasks\Norton Internet Security
    2017-06-06 20:41 - 2017-06-06 20:41 - 000000000 _____ () C:\Program Files\360
    Task: {0262F914-CA88-430E-985E-B6E3FDA91862} - \Command Root Helper -> No File <==== ATTENTION
    Task: {158B54A1-EC32-4827-9585-BF64A982BD08} - \gerpril2 -> No File <==== ATTENTION
    Task: {2BA58AD2-A649-4B07-909D-75C84A6F3911} - \Account Solution Helper -> No File <==== ATTENTION
    Task: {30EB5FE5-ECE0-40C3-BACB-45F92FB71158} - \gerpril -> No File <==== ATTENTION
    Task: {4364AA18-4112-47F1-87B8-4ACEDC488169} - \ComDev -> No File <==== ATTENTION
    Task: {578DC316-8FDE-4C57-9927-3152ED346E32} - \Render Root Manager -> No File <==== ATTENTION
    Task: {6D3BA0B8-0FBA-4258-B5A2-5EA168D8A9C2} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION
    Task: {A577D386-01AE-4144-8A6F-7960A0133A2B} - System32\Tasks\One System Care Delayed => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== ATTENTION
    Task: {E38DB1E3-C094-44E7-99C9-A3A9E6FFEC0E} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe <==== ATTENTION
    Task: {E956EDC8-FAE9-4507-A6F4-F4B2C5673290} - \Microsoft\Windows\MobilePC\HotStart -> No File <==== ATTENTION
    Task: {F19EC056-3B15-4B1A-8B5C-8B48186838C5} - \MSI -> No File <==== ATTENTION
    Task: {FD3B8417-BDC6-4244-8BA1-F11B9352C5DD} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== ATTENTION
    Task: C:\WINDOWS\Tasks\One System CarePeriod.job => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== ATTENTION
    FirewallRules: [{4A40140F-FA08-4870-A31C-CAF041A60E65}] => (Allow) C:\Users\Руслан\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{F7ECCB36-F0A4-4140-8A6B-9FAF6C117BC4}] => (Allow) C:\Users\Руслан\AppData\Local\MediaGet2\mediaget.exe No File
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    18.04.2019
    Сообщений
    9
    Вес репутации
    18
    Выполнила.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C01].txt, прикрепите к своему следующему сообщению.

    Очистите кеш и cookie:
    в Хроме.
    Как очистить кэш Firefox.
    Удаление недавней истории веб-сёрфинга, поиска и загрузок.

    Сообщите, что с проблемой.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    18.04.2019
    Сообщений
    9
    Вес репутации
    18
    Сделала.

    Вроде всё хорошо. В "Программах и компонентах" чисто. Вкладки не открываются. "Левые" приложения тоже.
    Однако до и после последнего прогона "AdwCleaner`ом" всё ещё выскакивает окно с предупреждением о невозможности установить одно из тех зловредных приложений (скриншот не прикрепляется ввиду лимита вложений). Там написано: в шапке - "reader_sl.exe-системная ошибка", в теле - Запуск программы невозможен, так как на компьютере отсутствует MSVCP140.dll. Попробуйте переустановить программу".
    То есть, наверное, где-то всё ещё сидят остатки вирусов...
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Это уже не вирусы.
    Переустановите Adobe Acrobat Reader DC.

    Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    18.04.2019
    Сообщений
    9
    Вес репутации
    18
    Файл не прикрепляется, потому что лимит вложений достигнут.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Упакуйте в архив, или удалите часть вложений.
    WBR,
    Vadim

  17. #16
    Junior Member Репутация
    Регистрация
    18.04.2019
    Сообщений
    9
    Вес репутации
    18
    Спасибо!
    Прикрепляю лог SecurityCheck.
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Уведомлять о загрузке и установке обновлений
    Дата установки обновлений: 2017-10-17 19:17:44
    Система очень давно не обновлялась, это плохо.
    7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления
    ^Удалите старую версию, скачайте и установите новую.^
    Критический баг в 7-Zip приводит к выполнению произвольного кода.
    Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    Удалите эту программу, обновите систему и 7-Zip - и всё на этом.
    WBR,
    Vadim

  19. #18
    Junior Member Репутация
    Регистрация
    18.04.2019
    Сообщений
    9
    Вес репутации
    18
    Сделано!

    Спасибо вам ОГРОМНОЕ!!! Как хорошо, что есть этот форум

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    =C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

    =D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
    =E5=F7=E5=ED=E8=FF:
    • =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 3
    • =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 121
    • =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
      =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
      1. c:\program files (x86)\rotation\428190386.exe - not-a-virus:=
        HEUR:AdWare.MSIL.Csdi.gen
        ( AVAST4: Win32:Adware-gen [Adw] )
      2. c:\program files (x86)\rotation\612377947.exe - not-a-virus:=
        HEUR:AdWare.MSIL.Csdi.gen
        ( AVAST4: Win32:Adware-gen [Adw] )
      3. c:\program files (x86)\yxymsblvdie\kf9eoehk.dll - not-a-viru=
        s:HEUR:AdWare.Win32.Neoreklami.gen
        ( BitDefender: Gen:Heur.Kelios.=
        1, AVAST4: Win32:AdwareX-gen [Adw] )
      4. c:\program files\hewlett-packard\3xvsilj8p53grg\#grydwjxe4.exe=
        - HEUR:Trojan-Downloader.MSIL.Agent.gen ( BitDefender: Gen:Var=
        iant.Barys.50791, AVAST4: Win32:Trojan-gen )
      5. c:\program files\hewlett-packard\3xvsilj8p53grg\kxlhcink8w.exe=
        - HEUR:Trojan-Clicker.MSIL.DOTHETUK.gen ( BitDefender: Gen:Var=
        iant.Barys.50280, AVAST4: Win32:Trojan-gen )
      6. \csrss.exe._e152c0881ad4703df73092719ffd0706d2d523 2a - HEUR:Tr=
        ojan.Win32.Agent.gen
        ( AVAST4: Win64:Trojan-gen )
      7. c:\users\=E6=E5=ED=FF\appdata\roaming\bidfl1prcca\ l045jjx0cx=
        i.exe - Trojan-Clicker.MSIL.Agent.coea ( AVAST4: Win32:Adware-g=
        en [Adw] )
      8. c:\users\=E6=E5=ED=FF\appdata\roaming\byxvokhwjlo\ lczuaazddk=
        1.exe - Trojan-Clicker.MSIL.Agent.coea ( AVAST4: Win32:Adware-g=
        en [Adw] )
      9. c:\users\=E6=E5=ED=FF\appdata\roaming\czmtnotjlx2\ awhtrevkxf=
        0.exe - Trojan-Clicker.MSIL.Agent.coea ( AVAST4: Win32:Adware-g=
        en [Adw] )
      10. c:\users\=E6=E5=ED=FF\appdata\roaming\ezx1g2keys5\ ixcynhtlkw=
        3.exe - Trojan-Clicker.MSIL.Agent.coea ( AVAST4: Win32:Adware-g=
        en [Adw] )
      11. c:\users\=E6=E5=ED=FF\appdata\roaming\j45trjrrnxu\ 1g5nrcjsnk=
        n.exe - Trojan-Clicker.MSIL.Agent.coea ( AVAST4: Win32:Adware-g=
        en [Adw] )
      12. c:\users\=E6=E5=ED=FF\appdata\roaming\ly1zn1dznpz\ zhtnfrcltd=
        2.exe - Trojan-Clicker.MSIL.Agent.coea ( AVAST4: Win32:Adware-g=
        en [Adw] )
      13. c:\users\=E6=E5=ED=FF\appdata\roaming\n4vz3enxmkl\ 1bei5fvhd3=
        b.exe - Trojan-Clicker.MSIL.Agent.coea ( AVAST4: Win32:Adware-g=
        en [Adw] )
      14. c:\users\=E6=E5=ED=FF\appdata\roaming\sbznvpi10sk\ khmgohgycf=
        m.exe - Trojan-Clicker.MSIL.Agent.coea ( AVAST4: Win32:Adware-g=
        en [Adw] )
      15. c:\users\=E6=E5=ED=FF\appdata\roaming\002ejuwlyrd\ pt0rp2kgxh=
        p.exe - Trojan-Clicker.MSIL.Agent.coea ( AVAST4: Win32:Adware-g=
        en [Adw] )
      16. \intyudo.wsf._68e23a41ba346ef504884cd96aec1c4676cd cc83 - HEUR:=
        Trojan.Script.Generic
        ( AVAST4: VBS:Adware-A [Adw] )
      17. \yftcga.dll._4e5b24b57582da4c0d3259b04f645cca7032d 075 - not-a-=
        virus:HEUR:AdWare.Win32.Neoreklami.gen
        ( AVAST4: Win32:Adware-gen =
        [Adw] )

  • Уважаемый(ая) EwGene, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 15
      Последнее сообщение: 14.04.2019, 23:25
    2. Ответов: 8
      Последнее сообщение: 18.09.2017, 22:17
    3. Ответов: 20
      Последнее сообщение: 24.05.2017, 23:23
    4. Ответов: 7
      Последнее сообщение: 18.03.2015, 23:12
    5. Ответов: 11
      Последнее сообщение: 15.03.2015, 22:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00867 seconds with 17 queries