Непонятный файл, который не хочет удаляться

SQ · 11.09.2019, 20:11

Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
Start::
CreateRestorePoint:
CloseProcesses:
DeleteKey: HKLM\Software\Wow6432Node\Microsoft\MediaPlayer\ShimInclusionList\browser.exe
Reboot:
End::
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Phi login89** · 12.09.2019, 22:06

Кажется, помогло

Очень Вам признателен.. Спасибо!!

SQ · 12.09.2019, 23:02

понаблюдайте пару дней и сообщите если проблема решена.

**Phi login89** · 16.09.2019, 15:56

Ключ больше не появляется.. Но я раньше пробовал удалить его вручную из реестра. За две недели пару сканирований ADW ничего не выявили, а в какой-то момент он возник снова.. Но, буду надеяться, что на этот раз всё сработало как надо. Ещё раз Спасибо ( ! ), денежку закину обязательно

SQ · 17.09.2019, 00:22

Рады были вам помочь.

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.
Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

**Phi login89** · 19.09.2019, 21:48

Добрый день! Извините, но этот browser.exe вновь появился в реестре.. (( Что сделать, прописать предыдущий скрипт в FRST, а потом сразу удалить все эти программы, как вы сказали? И если удалить, то какие именно? Только FRST и ADW, или ещё логи, связанные с ними?

SQ · 19.09.2019, 22:33

Пришлите новые лог утилиты FRST. и вспомнте пожалуйста, что запускали на момент появления ключа, какое приложние или расширение?

**Phi login89** · 20.09.2019, 15:19

Из приложений - только You Tube, да пару сайтов с кино ( обычно http:// ivi.ru, http://http://2.1hdlava.com ). Но вчера зашёл на http://filmix.co.. За пару часов до этого ключа не было, а потом - появился.. А так, никаких других приложений, кроме AdGuard'а не иcпользую; из расширений - только FastProxy, friGateCDN и Avast Online Security. Два последних - отключены, а первый стоит уже давно, ещё до того, как появилась эта проблема.
Логи FRST:

SQ · 20.09.2019, 16:11

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
File: C:\Program Files\AMD\CIM\Bin64\InstallManagerApp.exe
File: C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
Zip: C:\Users\User\AppData\Local\UserProducts.xml;C:\Users\User\AppData\Local\WMI.ini;C:\Windows\uninstall Bismilla.exe;C:\Windows\uninstall Islamic_.exe;C:\Windows\uninstall Muhammad.exe
2019-03-12 23:10 - 2019-03-12 23:10 - 000000425 _____ () C:\Users\User\AppData\Local\UserProducts.xml
2018-03-14 17:26 - 2018-03-14 17:26 - 000000002 _____ () C:\Users\User\AppData\Local\WMI.ini
ExportKey: HKLM\Software\Wow6432Node\Microsoft\MediaPlayer\ShimInclusionList
Reboot:
End::

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**Phi login89** · 24.09.2019, 16:16

Прикрепляю лог:

SQ · 24.09.2019, 19:20

Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
Start::
CreateRestorePoint:
CloseProcesses:
DeleteKey: HKLM\Software\Wow6432Node\Microsoft\MediaPlayer\ShimInclusionList\browser.exe
Reboot:
End::
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Phi login89** · 24.09.2019, 21:36

Готово:

SQ · 25.09.2019, 03:49

Вам удалось вычислить приложение, которое создает данный ключ в реестре?

**Phi login89** · 25.09.2019, 22:43

Нет... Но те программы, что были отправлены в карантине, не должны быть заражены, так как это - трёхмерные заставки для рабочего стола. Я скачал их, как мне казалось, с надёжного сайта http://www.3dmekanlar.com/ ещё лет шесть назад. По крайней мере антивирус ничего подозрительного не заметил. Вобщем, даже не знаю, на что ещё подумать. За последний год, когда появилась эта проблема, пробовал переустанавливать и Chrome, и Yandex несколько раз, но это не помогло.

SQ · 26.09.2019, 04:47

Chrome ваш синхронизирован?

**Phi login89** · 26.09.2019, 21:28

Да, синхронизация включена.

SQ · 27.09.2019, 03:26

Сообщение от Phi login89

Да, синхронизация включена.

Если ее временно отключить и неделю понаблюдать, проблема воспроизведеться?

**Phi login89** · 01.10.2019, 21:41

...Снова появился ключ этот

Причём, за минуту до того, как он появился - ничего не было в реестре; потом решил включить один за другим все три браузера. Не знаю, в этом ли причина или нет, но снова в реестр заскочил, а он тут как тут... Кроме You Tube'а и одного футбольного сайта, доступ на который обеспечивает приложение FastProxy, вообще никуда не заходил, ничего не скачивал и никакими сторонними приложениями не пользовался. Ну просто загадка какая-то... Может это вовсе и не вирус и ADW ошибается?

SQ · 02.10.2019, 03:53

Тяжело что-то сказать по детекту AdWCleaner, а могли бы удалить этот ключ и после этого открыть только один браузер и понаблюдать если ключ появиться еще раз?

**CyberHelper** · 02.10.2019, 04:03

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 5
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB

Непонятный файл, который не хочет удаляться (заявка № 223554)

Опции темы

Это понравилось:

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

Похожие темы

Здравствуйте, поймала вирус который не хочет удаляться

virus - не хочет удаляться

Net-Worm.Win32.Kido.ih не хочет удаляться

Помогите! Троян,не желающий удаляться!

W32.Mancsyn - не хочет удаляться

Ваши права в разделе