Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Поймал что-то странное и рекламу. (заявка № 226365)

  1. #1
    Junior Member Репутация
    Регистрация
    02.05.2017
    Сообщений
    49
    Вес репутации
    15

    Поймал что-то странное и рекламу.

    Добрый день!

    Обнаружил у себя на пк странную папку по адресу C:\ProgramData\Flock.
    Заблокировал ей права доступа и на следующий день увидел вот такой адрес C:\ProgramData\Flock2.
    Касперский определяет их как вирусы и в файле Flock(2).exe находи трояны, если удалить файлы касперским и/или удалить папку, то они восстанавливаются с перезагрузкой.
    Браузер Flock я никогда не ставил.

    Периодически открываются вкладки в хроме с "странными" новостями, как в песне "Конь людоед" группы "Кирпичи".

    Прошу помочь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,303
    Вес репутации
    362
    Уважаемый(ая) Dooban, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,329
    Вес репутации
    975
    Деинсталлируйте программы:

    AdShield 1.0.0.0
    Chedot
    YoutubeDownloader

    Выполните скрипт в AVZ из папки Autologger:
    Код:
    begin
     TerminateProcessByName('C:\ProgramData\Flock2\Flock2.exe');
     QuarantineFile('C:\Program Files (x86)\AdShield\updater.exe', '');
     QuarantineFile('C:\ProgramData\Flock2\Flock2.exe', '');
     DeleteFile('C:\Program Files (x86)\AdShield\updater.exe', '');
     DeleteFile('C:\ProgramData\Flock2\Flock2.exe', '');
     DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\rempl\shell-usoscan', '64');
     DeleteFile('C:\WINDOWS\system32\Tasks\OneDrive Standalone Update Task-S-1-5-21-784732282-4158786857-316941376-1001', '64');
     DeleteFile('C:\WINDOWS\system32\Tasks\OneDrive Standalone Update Task-S-1-5-21-784732282-4158786857-316941376-1005', '64');
     DeleteFile('C:\WINDOWS\system32\Tasks\OneDrive Standalone Update Task-S-1-5-21-784732282-4158786857-316941376-500', '64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Opera scheduled assistant Autoupdate 1573933115', '64');
     DeleteFile('C:\WINDOWS\system32\Tasks\Opera scheduled Autoupdate 1573933110', '64');
     ExecuteFile('schtasks.exe', '/delete /TN "AdShield scheduled autoupdate" /F', 0, 15000, true);
     DeleteFileMask('c:\program files (x86)\adshield', '*', true);
     DeleteFileMask('c:\programdata\flock2', '*', true);
     DeleteDirectory('c:\program files (x86)\adshield');
     DeleteDirectory('c:\programdata\flock2');
     DelBHO('{C9423817-5DA7-494E-87E4-111F1B49A1FD}');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

    Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
    Код:
    >>>  "C:\Users\Юзер\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Brave.lnk"    -> ["C:\Program Files\BraveSoftware\Brave-Browser\Application\brave.exe"]
    >>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"     -> ["C:\Users\Yasha Ponchik\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VКDJ\D-J_VK.lnk"      -> ["C:\ProgramData\VКDJ\VКDJ.exe"]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VКDJ\Деинсталлировать D-J_VK.lnk"         -> ["C:\ProgramData\VКDJ\unins000.exe"]
    >>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Chedot.lnk"    -> ["C:\Users\Yasha Ponchik\AppData\Local\Chedot\Application\chedot.exe"]
    >>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chedot.lnk"       -> ["C:\Users\Yasha Ponchik\AppData\Local\Chedot\Application\chedot.exe"]
    >>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discord Inc\Discord.lnk"    -> ["C:\Users\Yasha Ponchik\AppData\Local\Discord\Update.exe"  =>> --processStart Discord.exe]
    >>>  "C:\ProgramData\Microsoft\Windows\GameExplorer\{8D987987-6C09-4F8D-B0F0-2446AABC99ED}\PlayTasks\1\Удалить.lnk"      -> ["C:\Program Files (x86)\InstallShield Installation Information\{05DF82D5-A77E-47B6-9770-55A259B09744}\setup.exe"  =>> -runfromtemp -l0x0019 -removeonly]
    >>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DBeaver Community\Uninstall.lnk"      -> ["C:\Program Files\DBeaver\Uninstall.exe"]
    >>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DBeaver Community\DBeaver.lnk"        -> ["C:\Program Files\DBeaver\dbeaver.exe"  =>> -nl ru]
    Отчёт о работе прикрепите.

    Удалите полностью устаревшую версию Autologger (с одноимённой папкой).
    Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте новые логи.
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    02.05.2017
    Сообщений
    49
    Вес репутации
    15
    Добрый вечер!

    Прошу уточнить по удалению программ.
    Программа AdShield 1.0.0.0 удалилась нормально.
    Программа Chedot указала на отсутствие файла setup.exe в папке, я зашёл по пути и не нашёл вообще эту папку, после чего удалил через панель управления и программа исчезла из раздела "Приложения и возможности"(Win 10)
    При попытке удалить зловред YoutubeDownloader выдаёт ошибку (скриншот во вложении в архиве). Я прошёл по указанному пути и обнаружил, что папка пуста, удалил её сочетанием клавиш "Shift+Del", запустил ещё раз удаление через Панель управления. Но ошибка так и не ушла, программа числится на ПК. Может имеет смысл удалить данные из реестра если они там есть? Или может каким-нибудь скриптиком через PowerShell прежде, чем приступать к дальнейшим действиям, описанным в Вашем посте выше.

    - - - - -Добавлено - - - - -

    [QUOTE=Удалите полностью устаревшую версию Autologger (с одноимённой папкой).
    Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте новые логи.[/QUOTE]

    Как не пытался скачать по ссылке с вашего сайта, у меня не открывается она, клацаю и ничего. Может попробовать через другой браузер? Я пробую через Google Chrome 88.0.4324.150 (Официальная сборка), (64 бит).
    По этому скачал с вроде как "офф сайта" производителя.

    - - - - -Добавлено - - - - -

    Или может вы мне актуальный сюда можете добавить в архиве? или не знаю ссылкой на я.диск или гугл.диск с доступом по ссылке?
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,329
    Вес репутации
    975
    Отсюда по любой ссылке пробуйте, в режиме инкогнито, или через Edge.
    С остальным позже разберёмся.
    WBR,
    Vadim

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    02.05.2017
    Сообщений
    49
    Вес репутации
    15
    Сделал новый файл Autologger'a.
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,329
    Вес репутации
    975
    А скрипт в AVZ выполняли? Лечение в ClearLink?
    WBR,
    Vadim

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    02.05.2017
    Сообщений
    49
    Вес репутации
    15
    А, нет, я думал сначала с удалением зловредов разберёмся. Хорошо. Сейчас запущу скрипты.

    - - - - -Добавлено - - - - -

    Загрузил файл карантина через форму загрузки в верху страницы.

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,329
    Вес репутации
    975
    Так скрипт, в т. ч. и удаляет зловредов.

    Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    02.05.2017
    Сообщений
    49
    Вес репутации
    15
    Логи.
    Вложения Вложения

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,329
    Вес репутации
    975
    А теперь перечитайте, что я просил в предыдущем сообщении и сделайте.
    WBR,
    Vadim

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    02.05.2017
    Сообщений
    49
    Вес репутации
    15
    Лог автозапуска от программы Universal Virus Sniffer вышел слишком большим для загрузки на Ваш сайт, разделенные 7z'пы он тоже не захотел принимать, так что что загрузил на диск https://disk.yandex.ru/d/0Q7lr-DNUdzilw.

    - - - - -Добавлено - - - - -

    Вроде все пункты выполнил.

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,329
    Вес репутации
    975
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\CHEDOT\APPLICATION\CHEDOT.EXE
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\SVC\DLLHOST.EXE
    addsgn 98C41F2A476A4D9ACED5AEB102492F05258AFDBBD38F37D9B9C3C5BDD16E714C231693123E55E85E24370C874616487B84D4E97255AE91ADD47CA62FC77224F0 8 lsm.exe 7
    
    chklst
    delvir
    deldir  %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\SVC
    uidel  rundll32 "C:\Program Files (x86)\phqXUqlapMUn\XYvrlOq.dll",#1
    deltmp
    delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.169.0823.0008\FILECOAUTH.EXE
    delref %SystemDrive%\USERS\ЯША ПОНЧИК\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
    delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.169.0823.0008\MICROSOFTLISTSYNC.EXE
    delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\CHEDOT\APPLICATION\81.0.4044.930\NOTIFICATION_HELPER.EXE
    delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
    delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLMENURIGHT.DLL
    delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
    delref %SystemDrive%\PROGRAM FILES\REMPL\REMSH.EXE
    delref HTTP://SEARCH-CDN.NET/FIP/?Q={SEARCHTERMS}
    delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
    delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.169.0823.0008\FILECOAUTHLIB.DLL
    delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.169.0823.0008\FILESYNCSHELL.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\FOXITREADERBROWSERAX.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
    delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MEEJMCFBIAPIJDFAADACKOBLFFMIDLIG\1.0.0.5_0\FIND-IT.PRO ПОИСК
    delref %SystemDrive%\PROGRAMDATA\FLOCK2\FIND.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES\REMPL\DISKTOAST.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.443\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES\REMPL\STRGSNSADDONS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.303\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.18\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\VELKAMEBPIE\BMRKQOM.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.443\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
    delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE 15\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\FILTERS\OFFFILTX.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.303\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE 15\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\FILTERS\MSGFILT.DLL
    delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE 15\ROOT\OFFICE15\OSFPROXY.DLL
    delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE 15\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\FILTERS\ODFFILT.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.18\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_ABA80042ACA9C3C9\NVENCMFTH264.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_ABA80042ACA9C3C9\NVENCMFTHEVC.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE 15\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE15\MSOXEV.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
    apply
    czoo
    restart
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Компьютер перезагрузится.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  20. Это понравилось:


  21. #14
    Junior Member Репутация
    Регистрация
    02.05.2017
    Сообщений
    49
    Вес репутации
    15
    Загрузил файл карантина ZOO_2021-02-14_20-19-55.zip
    Во вложении Логи UVZ (2021-02-14_20-19-56_log.rar) и AdwCleaner (AdwCleaner[S00].txt)
    Вложения Вложения

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,329
    Вес репутации
    975
    Если Вы уже закрыли приложение, запустите повторное сканирование в Malwarebytes AdwCleaner, установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies". В разделе "Предустановленные программы" ничего не отмечайте.
    Затем нажмите Карантин (Quarantine) и по окончании очистки перезагрузите систему.

    После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    WBR,
    Vadim

  23. Это понравилось:


  24. #16
    Junior Member Репутация
    Регистрация
    02.05.2017
    Сообщений
    49
    Вес репутации
    15
    Во вложении лог AdwCleaner.
    Во вложение не влез лог от TDSSKiller, он вроде как ничего не обнаружил, но лог на всякий случай загрузил на я.диск, ссылка: https://disk.yandex.ru/d/dyeMapxsdYCKWg.
    Вложения Вложения

  25. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,329
    Вес репутации
    975
    Пока, что касается рекламы, сделайте и проверьте.
    Очистите кеш и cookie:
    в Хроме.
    в Opera: Настройки -> Безопасность -> Очистить историю посещений. Поставьте галочки "Файлы сookie и прочие данные сайтов", "Кэшированные изображения и файлы" и выберите "Уничтожить указанные элементы за следующий период:" "За последнюю неделю".

    Что касается "странного" - в системе очень живучий майнер. Есть возможность загрузиться с WinPE диска, Hiren's BootCD или что-то подобное?

    Пока сделайте такой лог.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  26. Это понравилось:


  27. #18
    Junior Member Репутация
    Регистрация
    02.05.2017
    Сообщений
    49
    Вес репутации
    15
    Рекламы вроде как больше нет, ничего не вылезает по крайней мере.

    Могу зайти с Сергея Стрельца WinPE

    При переходе по Вашей ссылке получаю ошибку "Error 1005".

    - - - - -Добавлено - - - - -

    скачал через тор, сейчас сделаю.

  28. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,329
    Вес репутации
    975
    Цитата Сообщение от Dooban Посмотреть сообщение
    Могу зайти с Сергея Стрельца WinPE
    Скачайте утилиту Universal Virus Sniffer отсюда.
    Загрузитесь с WinPE.
    Запустите файл start.exe из папки с uVS, выберите каталог Windows для анализа автозапуска вашей системы на HDD/SSD. Внимание, по умолчанию выбрана системная папка с WinPE, что бесполезно для анализа.
    Используйте диалог выбора каталога Windows (выбрать из дерева каталогов системную папку), затем - "Запустить под текущим пользователем".
    В главном меню программы выберите пункт: Файл - сохранить полный образ автозапуска. По запросу программы сохраните файл образа автозапуска на съемный диск для последующей загрузки во вложения к теме. Файл образа автозапуска автоматически будет упакован в архив с расширением .7z, прикрепите его к своему следующему сообщению, либо выложите на облачном сервисе и дайте ссылку.

    Цитата Сообщение от Dooban Посмотреть сообщение
    При переходе по Вашей ссылке получаю ошибку "Error 1005".
    Пробуйте отсюда.
    WBR,
    Vadim

  29. Это понравилось:


  30. #20
    Junior Member Репутация
    Регистрация
    02.05.2017
    Сообщений
    49
    Вес репутации
    15
    https://disk.yandex.ru/d/NU8SoyDi4SBjXA
    Опять не влезло, сохранил на я.диск, 2 файла в одном архиве.

    - - - - -Добавлено - - - - -

    Да, этот файл тоже вышел слишком велик https://disk.yandex.ru/d/yXuObcM56Fu1iA.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 14
    Последнее сообщение: 10.09.2015, 15:08
  2. Ответов: 19
    Последнее сообщение: 22.04.2015, 23:26
  3. Ответов: 4
    Последнее сообщение: 15.11.2014, 18:36
  4. появляется странное окно в браузере. очень странное (заявка №95186)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 2
    Последнее сообщение: 08.07.2011, 17:00
  5. поймал "Дистрибутивную рекламу" :(
    От Paniker в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 09.07.2007, 21:18

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00962 seconds with 18 queries