windows 10 64

[rambler87]

в последнее время начались открываться черные окошки cmd при старте (или как эти процессы назвать? Чего это признак?)
Постоянно открывается рекламные страницы в браузерах и прочая хрень
Из защиты раньше использовал только windows defender 10 винды - говорили неплохой - но видно, стал теперь слабоват
Помогите пожалуйст: что тут делать? И вообще для винды - переустановка системы (раз в пару лет) - это нормальное дело для владельцев винды или это косорукость? Или у винды вот так вот эффективность падает со временем использования?
PS
Кстати на вирусинфо изменился формат подачи логов и архивов - это давно произошло - есть ли темка на эту тему, когда по новому логи собирать стали через AutoLogger? Просто интересуюсь историей этого ресурса (много нового появилось тут - относительно долгое время винда 10 64 была вроде стабильной и нареканий не вызывала ())не реклама, но теперь и до нее дошли видно неприятности)

[Info_bot]

Уважаемый(ая) rambler87, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\PROGRA~3\9b4725f9\b5dbb4b2.dll', '');
 DeleteFile('C:\Users\A4C8~1\AppData\Local\A42934~1\{B5DBB~1.', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{14DC1FC2-77EF-D3E5-8442-7B864C17E82A}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{349DAB86-A7A7-8627-D0B1-424A201B590B}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "C7CE3528-10F5-80C7-F84A-C7730CA08935" /F', 0, 15000, true);
 DeleteFileMask('c:\progra~3\9b4725f9', '*', true);
 DeleteFileMask('c:\users\a4c8~1\appdata\local\a42934~1', '*', true);
 DeleteDirectory('c:\progra~3\9b4725f9');
 DeleteDirectory('c:\users\a4c8~1\appdata\local\a42934~1');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[rambler87]

Безымянный.jpg

- - - - -Добавлено - - - - -

Безымянный.jpg
Продолжают открываться вкладки и подозрительно себ компьютер ведет. Например, отключается и включается интернет соединение (с можемом вроде все нормально), иногда в поле ввода текста в браузере не могу ввести текст - серое поле.

- - - - -Добавлено - - - - -

По моему еще у оперы моей какой-то плагин "Блокировка рекламы" вредит - часто не дает открываться рабочим диалогам (например, на этом форуме - блокировал мне открытия менеджера загрузок).

То сообщение про поврежденную корзину на диске D (хотя у меня там нет корзины - это раздел диска жесткого) постоянно возникает - это тоже какой-то вирус активировался?

- - - - -Добавлено - - - - -

после вторичной перезагрузки пк - перестали появляться всплывающие окна и страницы в браузере, как буд-то бы, но те сообщения с папкаи теперь возникают периодически. А как цзнать подробности, что это за тип вируса был и можно ли установить: из отчетов или журналов событий или гипотетически откуда он пришел?

[Vvvyg]

От вируса только хвосты были, определить что было, невозможно.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {49226B95-726B-43F4-A57A-5DDE25F6C020} - System32\Tasks\GameNet => C:/Program Files (x86)/QGNA/qGNA.exe
Task: {5AFAC8A6-5CA1-4620-B625-D0BA8D3AE5C9} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
SearchScopes: HKU\S-1-5-21-1167386513-1057613585-3598575291-1001 -> {5CC69239-5226-4C71-BBFD-3F2CEC123EA0} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433
Toolbar: HKU\S-1-5-21-1167386513-1057613585-3598575291-1001 -> No Name - {B74FDAA9-64AF-4510-A903-967F1CDB24EE} -  No File
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
d:\$RECYCLE.BIN 
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте лог Malwarebytes AdwCleaner.

[rambler87]

Извините, а код выполнять в AVZ утилите?

- - - - -Добавлено - - - - -

нашлись объекты - это и есть причина?

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

Очистите кеш и cookie:
в Opera: Настройки -> Безопасность -> Очистить историю посещений. Поставьте галочки "Файлы сookie и прочие данные сайтов", "Кэшированные изображения и файлы" и выберите "Уничтожить указанные элементы за следующий период:" "За последнюю неделю".
Как очистить кэш Firefox.
Удаление недавней истории веб-сёрфинга, поиска и загрузок.

Сообщите, что с проблемами.

[rambler87]

Спасибо. А у меня не firefox - у меня опера?

[Vvvyg]

Так и для Opera дал рекомендации. А FF есть тоже: Mozilla Firefox 58.0.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[rambler87]

Реклама пока в опере вроде не появляется и все работает нормально! Огромное спасибо. После скрипта сразу какие-то обновления поступили при перезагрузки - вирус мог что-то блокировать или это удаление предустанновленного ПО через adwcleaner_7.4.1 повлияло на активацию обновления в винде?

А можно оценить - это был один вирус или онивсегда вот такой кучкой идут со всякими рекламными вирусными страницами и отметками в реестре? Такой тип заражения происходит - при активировании разных сайтов (типа adobe flash плагинов на траницах и так далее) или идет только с какими-то пиратскими продуктами - то есть, требует установку.

ps
1. SecurityCheck это что вообще за утилита? где о ней почитать можно?
2. Какой бы вы браузер и настройки рекомендовали, для безопасного серфинга - компьютером пользуются разные люди - есть ли какой-то браузер или плагин для браузера гле, скажем, подозрительные и небезопасные страницы (с плохой репутацией) как-то отмечались или помечались бы (или же такого рода плагины идут с антивирусными утилитами?).
3. Достаточно ли встроенного защитника от микрософт - для винды 10 64?
4. Чисто теоретически - что первый скрипт в AVZ дал выполнить и почему это не помогло - помогло и исчезла реклама только после работы adwcleaner_7.4.1? - virusinfo еще ведет курсы-издает учебники по теории практики борьбы с вирусами и поддержания надежности системы - раньше вроде это было - где теперь найти информацию такого рода?
5. недавно устанавливали какой-то левый daemon tools - могло с него попасть? Вообще, правда ли, что программы типа daemon tools, alcohol и аналогичные - если и не несут в себе вирусов намеренно, то могут делать систему нестабильной и уязвимой к вирусам?

- - - - -Добавлено - - - - -

Удалите всё найденное в AdwCleaner"Уничтожить указанные элементы за следующий период:" "За последнюю неделю".

А почему именно за неделю, а не за весь период?

А та папка с удалением которой какая-то проблема возникала Enigma и сообщение о поврежденной корзине в разделе жесткого диска - это работа вируса все-таки была?

- - - - -Добавлено - - - - -

От вируса только хвосты были, определить что было, невозможно.

Чисто теоретически:
Но этот вирус функционировал или он был поврежден и не работал - "только хвосты": это предположительно, надо более глубокий анализ проводить (в ручную) - чтобы точно его классифицировать и понять источник заражения?

[Vvvyg]

AdwСleaner удалил левые DNS сервера в сетевых настройках, на обновление системы могло повлиять.

Какие именно были вирусы, что делали, как получили - теперь уже понять сложно, слишком много сейчас различного adware, чтобы его можно было точно идентифицировать.

1. Гуглите - и найдёте Рекомендация от программы по сути одна:

TunnelBear v.3.0.36.9 Внимание! Это приложение может отображать рекламу на посещаемых страницах.

2. Без левых расширений и обновлённые - все неплохи, выбирайте по вкусу. Рекламируют, как безопасный Yandex браузер, но судя по клиентам этого раздела, как-то не очень помогает Работу различных расширений, предупреждающих о небезопасных сайтах, оценить не могу, поскольку не пользуюсь.

3. Мне - достаточно. Некоторым и Kaspersky Internet Security не хватает.

4. AVZ удалил остатки одного adware, он ориентирован больше на классические трояны, а AdwCleaner, о чём его название и говорит - на adware.

5. Многие программы изначально несут в себе рекламу, а взломанные, загруженные с левых ресурсов - почти всегда, а то и что похуже, майнеры, шифровальщики и пр.

Про папку Enigma сказать ничего не могу сразу, права на неё смотреть нужно.
Корзину на диске D: починили её полным удалением, что с ней было, теперь уже не понять.

На что мог - ответил.

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[rambler87]

Спасибо за инфу и помощь)


Про папку Enigma - а как на нее "посмотреть" какими средствами можно? Как она вообще была скрыта - если ее и при настройках показывать скрытые файлы и папки не видно? И узнал я о ней только после выполнение тех скриптов в #3 - то есть, после читки остатков " удалил остатки одного adware" - и именно это привело к появлению сообщений о какой-то поврежденной корзине (она после скриптов появилась почему-то?) - какими средствами можно найти эту папку - или она удалилась вместе с той таинственной корзиной в d разделе?

Кстати, вспомнил, я не один пользуюсь компом: проблема началась, когда я увидел несколько ярлыков оперы на рабочем столе (сразу понял, что быть беде))) - это верный симптом вируса, как правило)

Скрытый текст

А в диагностики компьютера - помогают ли журналы событий винды? И можно ли из них, например, установить точный момент времени когда начал проявлять себя вирус? Например, когда эти адреса липовые и как и с чем в реестр попали?

Касаемо встроенной защиты винды - читал обзор-статью популярную (не специальную) где говорилось, что винда 10 имеет гораздо лучшую встроенную защиту чем прошлые версии винды и имеет меньше нареканий - это так? Или вы всегда пользовались только встроенными средствами защиты идущими с осями винды?

PS вообще, сейчас можно ли полностью вручном режиме очистить компьютер и следы вируса без эвристических методов и алгоритмов поиска? Чисто с основой на изучение вот этих журналов событий? Или слишком много мест где может и как может прятаться вирус и легче тогда (если не прибегать к эвристики) переустанавливать ось? А касаемо теории вирусов - они живут (и в носят изменения) в разделе оси, в основном, и разделе куда приложения устанавливаются? Есть ли какой-то способ создания-управления разделами диска житейский, чтобы предотвращать заражение определенных разделов? Типа как настройка на определенный раздел особых параметров защиты, кодов и так далее: конечно, в такой раздел приложение будет не установить, но если на этом разделе хранится текстовые документы, фотографии и видео работа с которыми осуществляется официальными приложениями лицензионными - можно ли их защитить от несанкционированного изменения? Или проблема в том, что сами программы-приложения (пусть и лицензионные) могут быть заражены вирусом как и ось, а через них и, скажем, зашифрованы каким-то вирусом?

Если сравнивать вирусы по своей опасности угрозы потере данных, утечки (разного рода ворующие коды вирусы) и их искажения - то шифровальщики, самые вредные? Но заразиться таким вирусом сложнее чем adw вирусом - есть какие-то первые симптомы его и какие первые действия надо выполнить чтобы не потерять какие-то данные?

"Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите." удивительно, никогда не знал, что аткой способ существует) это в программе записано в коде данной, что если ее исполняющий файл с таким именем запустит - это к самоуничтожению приведет? Главное, и в корзинке не остается

Скрыть