Полечите от вирусов, пожалуйста

Gopnik987 · 01.10.2018, 22:21

Доброго времени суток уважаемые специалисты по лечению зловредов. Прошу полечить от вирусов и лишнего хлама нетбук, а так же убрать всплывающие окна при запуске системы. Вот логи.

mike 1 · 04.10.2018, 00:06

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
breg

exec C:\Users\Tz\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
delref HTTP://LNK.DO/0CKN7
delref HTTP://LNK.DO/26BAU
delref HTTP://LNK.DO/ATGET
delref HTTP://LNK.DO/BLCW3
delref HTTP://LNK.DO/HV36N
delref HTTP://LNK.DO/LLVBI
delref HTTP://LNK.DO/PRNNU
delref HTTP://LNK.DO/VOZPJ
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\3FB4E6F1-AD45-4322-A458-48AD9AFFC6DB\D1C6F8DA-5AAC-4B90-AE1F-72E4F7160026.EXE
delall %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.EXE
delall %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
delall %SystemDrive%\PROGRAMDATA\KRB UPDATER UTILITY\KRBUPDATER.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CONTENTPROTECTOR\SETTINGS.LNK
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ZAXARGAMEBROWSER\ZAXARGAMEBROWSER.LNK
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ZAXARGAMEBROWSER\ZAXARUPDATE.LNK
delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE
delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\TEMP\NSPD50B.TMP\REGISTRY.DLL
delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\TEMP\NSPD50B.TMP\SYSTEM.DLL
delall %SystemDrive%\USERS\TZ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
delall %SystemDrive%\USERS\TZ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE\CONFIGURE.LNK
deltmp
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен..

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
Прикрепите отчет к своему следующему сообщению.

Gopnik987 · 04.10.2018, 21:14

Скрипт выполнил. Лог от ADWCleaner выкладываю.

mike 1 · 05.10.2018, 21:16

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Gopnik987 · 05.10.2018, 22:50

Вот лог после очистки.

mike 1 · 05.10.2018, 23:05

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Gopnik987 · 05.10.2018, 23:17

Вот логи после запуска программы и сканирования.

mike 1 · 06.10.2018, 01:11

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПO.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3681392356-865694560-1067368633-1000\...\MountPoints2: {119c1685-75aa-11e5-93cd-001e3d8af96c} - F:\AUTORUN.EXE
HKU\S-1-5-21-3681392356-865694560-1067368633-1000\...\MountPoints2: {d97ae6c9-0597-11e7-8114-001e3d8af96c} - D:\Startme.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
ProxyServer: [S-1-5-21-3681392356-865694560-1067368633-1000] => dm12935403:80
AutoConfigURL: [S-1-5-21-3681392356-865694560-1067368633-1000] => dm12935403:80
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\ihmgiclibbndffejedjimfjmfoabpcke
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\johjcheghocokbkhacbfbhojoangkpcb
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\npknnddabjhdijgmmbocdicnknegobkm
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\oghkljobbhapacbahlneolfclkniiami
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ihmgiclibbndffejedjimfjmfoabpcke
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\johjcheghocokbkhacbfbhojoangkpcb
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\npknnddabjhdijgmmbocdicnknegobkm
C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oghkljobbhapacbahlneolfclkniiami
OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2017-03-01]
OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2018-08-03]
OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2018-06-20]
OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2018-06-29]
OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\jolakggdcbngpflcjfaencffnenhlddl [2017-03-10]
OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2018-01-30]
OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2018-05-09]
OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2018-04-11]
R2 privoxy; C:\Users\Tz\AppData\Roaming\privoxy\privoxy.exe [339968 2015-10-28] () [File not signed] <==== ATTENTION
Folder: C:\Program Files\Common Files\{E0B8BAAA-972F-7B22-34B7-94DBD78B5BF7}
virustotal: C:\Users\Tz\exe.exe
2016-01-26 19:23 - 2016-01-26 19:23 - 000000000 _____ () C:\Users\Tz\AppData\Roaming\smw_inst
Task: {1D8F0150-F6C6-438E-B711-0782EC17DC60} - \Microsoft\C3B627D0BD1F9647D45166FCF4EC1FADSB -> No File <==== ATTENTION
Task: {317BCE52-8344-47FE-B435-A19F3229176A} - System32\Tasks\{CE2E493D-3354-42EB-A8A8-3D3AD4396257} => C:\Program Files\Google\Chrome\Application\chrome.exe 
Task: {373BD228-2707-48D2-89D9-9C809E9B2E89} - System32\Tasks\{86962F71-DBAA-49F1-899F-E8E8E1062471} => C:\Program Files\Google\Chrome\Application\chrome.exe 
Task: {42365D6A-4789-4408-8A36-C154EC6DE2E1} - \Microsoft\Windows\AD1C6F8DA-5AAC-4B90-AE1F-72E4F7160026 -> No File <==== ATTENTION
Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\nethost task" /ENABLE
Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\{1E379201-3693-4F3C-8616-E914C7209658}" /ENABLE
Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\{709E1FF4-F681-4E65-9B87-ACC181D9A622}" /ENABLE
Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\{86962F71-DBAA-49F1-899F-E8E8E1062471}" /ENABLE
Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\{9DA59391-81D7-4FF0-ACE2-2AF5F489064C}" /ENABLE
Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\{AAB11705-984F-42B8-9E95-16E8A81EA946}" /ENABLE
Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\{B806273F-A02B-4AEF-A4BD-F3E6A9483F3C}" /ENABLE
Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\{CE2E493D-3354-42EB-A8A8-3D3AD4396257}" /ENABLE
Task: {688C4044-A826-4CA1-89DD-54835DF20105} - System32\Tasks\{709E1FF4-F681-4E65-9B87-ACC181D9A622} => C:\Program Files\Google\Chrome\Application\chrome.exe 
Task: {759F5F1C-67F7-4E57-80B0-E7F1181EBACE} - \Microsoft\extsetupSB -> No File <==== ATTENTION
Task: {898F029D-C85F-4746-8AB4-3D3F3A0F1F83} - \Microsoft\Windows\C3B627D0BD1F9647D45166FCF4EC1FAD -> No File <==== ATTENTION
Task: {9AE0C99E-7AA6-4D2E-8098-07341E7054FC} - \Microsoft\Windows\C3B627D0BD1F9647D45166FCF4EC1FADSB -> No File <==== ATTENTION
Task: {A8CF0733-B0D6-4F70-85A9-CCE8EB1966AE} - \Microsoft\Windows\extsetupSB -> No File <==== ATTENTION
Task: {D38EDF47-DBEB-48D5-8308-F197B30BB876} - \Microsoft\C3B627D0BD1F9647D45166FCF4EC1FAD -> No File <==== ATTENTION
C:\Users\Tz\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

mike 1 · 06.10.2018, 01:12

+

Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите Check Browsers LNK.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
Прикрепите этот отчет в вашей теме.

Gopnik987 · 06.10.2018, 23:01

Вот логи после сканирования утилитами.

04.10.2018, 00:06	#2 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: Код: ;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c breg exec C:\Users\Tz\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser delref HTTP://LNK.DO/0CKN7 delref HTTP://LNK.DO/26BAU delref HTTP://LNK.DO/ATGET delref HTTP://LNK.DO/BLCW3 delref HTTP://LNK.DO/HV36N delref HTTP://LNK.DO/LLVBI delref HTTP://LNK.DO/PRNNU delref HTTP://LNK.DO/VOZPJ delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC delall %SystemDrive%\PROGRAM FILES\COMMON FILES\3FB4E6F1-AD45-4322-A458-48AD9AFFC6DB\D1C6F8DA-5AAC-4B90-AE1F-72E4F7160026.EXE delall %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.EXE delall %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE delall %SystemDrive%\PROGRAMDATA\KRB UPDATER UTILITY\KRBUPDATER.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CONTENTPROTECTOR\SETTINGS.LNK delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ZAXARGAMEBROWSER\ZAXARGAMEBROWSER.LNK delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ZAXARGAMEBROWSER\ZAXARUPDATE.LNK delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\TEMP\NSPD50B.TMP\REGISTRY.DLL delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\TEMP\NSPD50B.TMP\SYSTEM.DLL delall %SystemDrive%\USERS\TZ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE delall %SystemDrive%\USERS\TZ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE\CONFIGURE.LNK deltmp restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt. Прикрепите отчет к своему следующему сообщению.

05.10.2018, 21:16	#4 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

05.10.2018, 23:05	#6 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

06.10.2018, 01:12	#9 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	+ Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите Check Browsers LNK.exe Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log Прикрепите этот отчет в вашей теме.

01.10.2018, 22:21
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Можете посмотреть обсуждаемые темы, которые уже создавались ранее Полечите комп пожалуйста!!! Помогите пожалуйста с лечением от вирусов. проверьте пожалуйста на наличие вирусов

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070