Комп без антивируса больше года

Bilal · 14.04.2018, 14:47

Добрый день

Очень давно не был на вашем форуме. Дело в том, что на ноутбуке больше года не работал антивирус, за это время он наполнился все чем можно из интернета.

Сделал предварительно сканирование с помощью Dr Web Cure it, находок более 100, большую часть удалил.

Думаю еще остались следы, так как запускаются реклама в браузере, выдает ошибку Microsoft NET (кажется так).

Сделал скрипт uVS и AVZ по FAQ.

Помогите, пожалуйста, очистить от ереси ноутбук.

mike 1 · 15.04.2018, 23:43

Выполните скрипт в uVS:

Код:

;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
breg

delref HTTP://GRANENA.RU/?UTM_CONTENT=31B5CEBD524A9AF6C7A772DCA81815E9&UTM_SOURCE=STARTPM&UTM_TERM=7FDF8D0351A68FBDE9C9AD34F955F818&UTM_D=20170817
delref HTTP://GO-SEARCH.RU/SEARCH?Q={SEARCHTERMS}
delref HTTP://SHAVGUTI.RU
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=6B60CFE834CB57F4CF37D59A2D1A7AB6&TEXT=
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=6B60CFE834CB57F4CF37D59A2D1A7AB6&TEXT={SEARCHTERMS}
delref KERNCAP.VBS
restart

Компьютер перезагрузится.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

Bilal · 19.04.2018, 21:45

Привет,

Спасибо за помощь!

Сделал все по инструкции, дополнительно скачал CCleaner и почистил ненужный файлики и регистр на ошибки.

Лог с AdvCleaner (не стал нажимать "Очистить и ремонт"):

Гризлик · 19.04.2018, 21:58

Все удалить.
Далее
сделайте проверку в FRST
Как создать логи FRST

Bilal · 19.04.2018, 22:43

Удалил.

Выкладываю логи farbar

Гризлик · 19.04.2018, 23:58

Скачайте файл fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! И проверьте проблему

Bilal · 20.04.2018, 20:30

добрый вечер, сделал, высылаю лог

запускал по новой AdvCleaner , нашел 9, но удалил только 1.
Вы через farbar удалили то, что Adv Cleaner не смог? потому что открывался сайт granena, который не смог удать Adv Cleaner.

Можете, пожалуйста, пройтись по запущенным процессам на наличие ненужных

В целом всплывающих окон не замечаю. Загрузил и поставил обновления, чтобы закрыть уязвимости, по логу от AVZ.

И еще вылазит окно с ошибкой и просит обновить adobe, прикрепил скрин.

Спасибо

Bilal · 20.04.2018, 22:05

запускал сканер AVZ, выдал 2 подозрения:

Цитата:

>>> C:\Windows\taskmgr.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Users\Гульназ\appdata\roaming\adobe\gfxm\sfx3\s clomer.exe ЭПС: подозрение на Файл с подозрительным именем (CH)

что это? и что с этим делать?

Гризлик · 20.04.2018, 23:29

Не все удалилось и коечто пропустили. Выполните еще скрипт в UVS

Код:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
zoo %SystemDrive%\Windows\SVCHOST.EXE
zoo %SystemDrive%\Windows\taskmgr.exe
delall %SystemDrive%\Windows\SVCHOST.EXE
delall %SystemDrive%\Windows\taskmgr.exe
deldir %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\ROAMING\VOFER2
deldir %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\ROAMING\BESTSALESPROFIT
delall %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\ROAMING\ADOBE\GFXM\MSN.VBS
delref %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CAGDMHBDJNIBCAJCAEGHEOMBGFFLMCGK\0.0.0.9_0\ONSALEPROFIT
delref %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EALIFLGFBEJHMJKNMBBHEDOCAGGILNGO\0.0.0.7_1\VOFER
delref %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NFIFBEPIADLFFIOOANDNAMBIOJDGCCDO\0.0.0.3_0\BESTSALESPROFIT
delref %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.1.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref HTTP://GRANENA.RU/?UTM_CONTENT=31B5CEBD524A9AF6C7A772DCA81815E9&UTM_SOURCE=STARTPM&UTM_TERM=7FDF8D0351A68FBDE9C9AD34F955F818&UTM_D=20170817
delref %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK\3.3.36_0\ПУЛЬС
delref %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PBDPAJCDGKNPENDPMECAFMOPKNEFAFHA\1.1.3\FAST SEARCH
delref %SystemDrive%\USERS\ГУЛЬНАЗ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OPJEBAOMFFHBEBMKANBENNMAGKDJKCLO\140.5_0\OOVOO TOOLBAR
deltmp
delnfr
restart

Цитата:

Сообщение от Bilal

>>> C:\Users\Гульназ\appdata\roaming\adobe\gfxm\sfx3\s clomer.exe

Проверьте файл на Virustotal и результат сюда выложите

Цитата:

Сообщение от Bilal

И еще вылазит окно с ошибкой и просит обновить adobe, прикрепил скрин.

Обновите.
И сообщите текущую ситуацию с ПК. (после вышеуказаных действий)

Bilal · 21.04.2018, 14:39

добрый день,

сделал все, прикрепил файл со скринами результатов проверки файла (не разобрался как скачать результаты)

И еще, когда запускаю uVS, он кажется проверяет то, что на автозапуске стоит, там подозрительные файлы, включая игрушки всякие. прикрепил список, который он выдал. Посмотрите, пожалуйста, что там на автозапуске.

И можете еще по запущенным процессам пройтись?

15.04.2018, 23:43	#2 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Выполните скрипт в uVS: Код: ;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c breg delref HTTP://GRANENA.RU/?UTM_CONTENT=31B5CEBD524A9AF6C7A772DCA81815E9&UTM_SOURCE=STARTPM&UTM_TERM=7FDF8D0351A68FBDE9C9AD34F955F818&UTM_D=20170817 delref HTTP://GO-SEARCH.RU/SEARCH?Q={SEARCHTERMS} delref HTTP://SHAVGUTI.RU delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=6B60CFE834CB57F4CF37D59A2D1A7AB6&TEXT= delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=6B60CFE834CB57F4CF37D59A2D1A7AB6&TEXT={SEARCHTERMS} delref KERNCAP.VBS restart Компьютер перезагрузится. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению. __________________ Антивирусная школа по подготовке консультантов https://safezone.cc/training (если хотите самостоятельно лечить компьютеры от вирусов)

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

19.04.2018, 21:58	#4 (permalink)
Гризлик Мимо проходил Регистрация: 06.04.2008 Сообщений: 13,130 Сказал(а) спасибо: 21 Поблагодарили 18 раз(а) в 5 сообщениях Репутация: 15356	Все удалить. Далее сделайте проверку в FRST Как создать логи FRST

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070