Созданные ответы форума
-
Сообщения
-
Здравствуйте, Добро пожаловать на Spyware-ru форум.
Запустите программу Блокнот и вставьте в открытое окно следующий текст
CreateRestorePoint:
HKUS-1-5-21-1573865328-3615463135-1480589829-1001...Run: [poowqdfnde] => explorer "hxxp://tutsifi.ru/?utm_source=uoua03&utm_content=71939b02451863c8fba27634e3b849e6&utm_term=8432BFE8A8C3DBDA91535F402865FEF5&utm_d=20160406" <===== ATTENTION
HKUS-1-5-21-1573865328-3615463135-1480589829-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0...Run: [poowqdfnde] => explorer "hxxp://tutsifi.ru/?utm_source=uoua03&utm_content=71939b02451863c8fba27634e3b849e6&utm_term=8432BFE8A8C3DBDA91535F402865FEF5&utm_d=20160406" <===== ATTENTION
HKLMSOFTWAREPoliciesMicrosoftInternet Explorer: Restriction <======= ATTENTION
S3 ASUSProcObsrv; ??F:I386AsPrOb64.sys [X]
S3 BtAudioBusSrv; SystemRootSystem32DriversBtAudioBus.sys [X]
S3 BthL2caScoIfSrv; SystemRootSystem32DriversBtL2caScoIf.sys [X]
S3 btUrbFilterDrv; SystemRootSystem32DriversIvtUrbBtFlt.sys [X]
Task: {FF212210-C831-448A-A97B-C301D41AAD30} - System32TasksSearchGo Task => C:UsersRusyaAppDataLocalSearchGosearchgo.exe
EmptyTemp:
Reboot:Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.Кроме этого:
1. выполните новую проверку программой FRST и получившийся лог прикрепите к вашему ответу.В вашем случае AdwCleaner удалил троян, которые создавал локальный прокси сервер. Поэтому и не удавалось открыть какой-либо сайт.
Если используете несколько браузеров, то сбросьте настройки каждого из них.И ещё, в самой программе AdwCleaner есть возможность сбросить настройки прокси сервера. Для этого нужно открыть меню Настройки и выбрать пункт Сброс настроек прокси.
В этой статье подробнее: Как использовать AdwCleaner для удаления рекламы.Несколько завершающих действий.
1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и проверьте наличие обновлений для Windows.2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать новые версии их заново.
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Оставьте программу Malwarebytes Anti-malware. Обновляйте эту программу время от времени, и выполняйте полное сканирование компьютера раз в неделю.
3. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
Лог выглядит нормально.
Для убыстрения работы компьютера попробуйте удалить все программы и игры, которые не используются.
Здравствуйте, Добро пожаловать на Spyware-ru форум.
Посое перезагрузки доступ в интернет пропал.
Что происходит при попытке открыть любой сайт ?
Пробовали пинговать ? Нажмите клавиши Windows и R (русская К) одновременно.
В открывшемся окне, в строке ввода наберитеcmdНажмите Enter.
Откроется черное окно — Командная строка. В ней введитеping google.comНажмите Enter.
Какой результат ? Есть ли ответ от гугла ?
Проверьте компьютер программой Malwarebytes Anti-malware снова, но после завершения сканирования нажмите Удалить выбранное.
Выполним дополнительную проверку.
Скачайте программу Combofix.
Закройте все открытые окна и запустите эту программу.После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.
@Mertyk4917 wrote:
после сканирования там даже не высветилась кнопка очистить.
Откройте папку C:AdwCleaner, если там есть файл AdwCleaner[C1], то вставьте его в ваш ответ.
@Mertyk4917 wrote:
Реклама ушла, но комп стал тяжелее думать.
Как это проявляется ?
Скачайте программу Malwarebytes Anti-malware (MBAM). Запустите и выполните сканирование вашего компьютера. Когда сканирование будет завершено не нажимайте кнопку Удалить выбранное. Справа от неё кликните по надписи Сохранить результаты, откроется небольшое меню. Выберите Текстовой файл. Введите имя файла и сохраните его на ваш рабочий стол. Содержимое этого файла вставьте в ваше следующее сообщение.
@Mertyk4917 wrote:
АдвКлинер не нашел никаких вредоносных программ
Вы в этой программе нажимали кнопку Очистить ?
Как сейчас работает компьютер ?
Запустите AdwCleaner снова. Выполните сканирование, когда этот процесс завершиться нажмите Очистка.
После окончания очистки закройте программу.Перезагрузите компьютер. Запустите AdwCleaner, кликнув по ней правой клавишей мыши и выбрав «Запустить от имени администратора».
Нажмите кнопку «Сканировать» и дождитесь окончания процесса. Когда сканирование закончиться, закройте программу и найдите отчет о сканировании.
Он находиться в папке C:AdwCleaner и имеет имя AdwCleaner[S3]. Так же в папке будет находиться файл с результатами лечения компьютера. Он имеет имя вида AdwCleaner[C1].
Прикрепите оба отчета к своему следующему сообщению.Скачайте программу ClearLNK кликнув по этой ссылке.
Скопируйте в буфер обмена следующий текст (выделите его и нажмите CTRL + C)
>>> [MASK] "C:UsersЮраAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBarGооglе Сhrоmе.lnk" -> ["C:WindowsSystem32cmd.exe"] -> (302592 байт) (MD5: AD7B9C14083B52BC532FBA5948342B98) -> (PE EXE) -> (Автор: Microsoft Corporation) (ЭЦП: сертификат. Легитимна? да)
>>> [MASK] "C:UsersЮраAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBarОреrа.lnk" -> ["C:WindowsSystem32cmd.exe"] -> (302592 байт) (MD5: AD7B9C14083B52BC532FBA5948342B98) -> (PE EXE) -> (Автор: Microsoft Corporation) (ЭЦП: сертификат. Легитимна? да)
>>> [script][MASK] "C:ProgramDataMicrosoftWindowsStart MenuProgramsGoogle ChromeGооglе Сhrоmе.lnk" -> ["C:Program FilesGoogleChromechrome.bat"] -> start "" /I /B /D "c:PROGRA~1googlechromeAPPLIC~1" "c:PROGRA~1googlechromeAPPLIC~1chrome.exe" hxxp://searclhs-pak.ru (MD5:724A7F52E1042D94E966F936A52E9A52)
>>> [script] "C:UsersЮраDesktopИгрыStаr Wаrs - Thе Оld Rерubliс.lnk" -> ["D:OldGAMESStar Wars-The Old Republiclauncher.bat"] -> start "" /I /B /D "d:oldgamesSTARWA~1" "d:oldgamesSTARWA~1launcher.exe" hxxp://searclhs-pak.ru (MD5:11DC6C92A00BC8A58FF72D7195CE1E8D)
>>> [script] "C:ProgramDataMicrosoftWindowsStart MenuProgramsEABioWareStar Wars - The Old RepublicStаr Wаrs - Thе Оld Rерubliс.lnk" -> ["D:OldGAMESStar Wars-The Old Republiclauncher.bat"] -> start "" /I /B /D "d:oldgamesSTARWA~1" "d:oldgamesSTARWA~1launcher.exe" hxxp://searclhs-pak.ru (MD5:11DC6C92A00BC8A58FF72D7195CE1E8D)
Запустите ClearLNK и нажмите кнопку Вставить из буфера обмена. Затем нажмите кнопку Лечить. Когда лечение ярлыков будет завершено откроется каталог в котором находится лог файл ClearLNK-[Дата-время]. Щелкните по нему дважды и его содержимое откроется в Блокноте, скопируйте и вставьте его в ваше следующее сообщение.
Запустите AdwCleaner снова, выполните сканирование, а затем нажмите кнопку Очистка. Когда процесс удаления зловредов завершиться, перезагрузите компьютер и заново запустите эту программу. Выполните новую проверку. Откройте папку C:AdwCleaner и найдите файл AdwCleaner[S2]. Прикрепите этот отчет к своему следующему сообщению.
Скачайте программу Check Browsers LNK кликнув по этой ссылке.
Запустите. Когда сканирование будет завершено откроется каталог в котором находится лог файл Check_ Browsers_LNK. Щелкните по нему дважды и его содержимое откроется в Блокноте, скопируйте и вставьте его в ваше следующее сообщение.И заново проверьте компьютер программой FRST, получившийся лог то же добавьте к вашему ответу.
Здравствуйте, Добро пожаловать на Spyware-ru форум.
Троян, которым заражён ваш компьютер нацелен на браузер Хром. Поэтому временно им не пользуйтесь.
Судя по содержимому лога вы ранее использовали антивирус Касперского, его части остались в системе.
Скачайте «Утилиту удаления продуктов Лаборатории Касперского (kavremover)» http://media.kaspersky.com/utilities/ConsumerUtilities/kavremvr.exe
Запустите и следуйте указаниям.Запустите программу Блокнот и вставьте в открытое окно следующий текст
CreateRestorePoint:
HKLM-x32...Run: [LManager] => [X]
HKLM-x32...Run: [sun21] => [X]
CHR HKLMSOFTWAREPoliciesGoogle: Restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-976431788-3078866539-2970655778-1002] ATTENTION => Default URLSearchHook is missing
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKUS-1-5-21-976431788-3078866539-2970655778-1002 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
FF HKLM-x32...ThunderbirdExtensions: [msktbird@mcafee.com] - C:Program FilesMcAfeeMSK => not found
R2 HSystem; C:Program Files (x86)HpDefQHC2DK.exe [181704 2016-03-06] () [File not signed]
S3 ApfiltrService; SystemRootsystem32DRIVERSApfiltr.sys [X]
S3 esgiguard; ??C:UsersAcer-1AppDataLocalTempRar$EXa0.704SpyHunter 4.20.9.4533 Portableesgiguard.sys [X]
Task: {23CA9679-1C9C-44C5-AEDC-42C1F701B9D3} - System32Tasks{A531A62A-49D7-4C4E-9366-7FFC248F64EF} => pcalua.exe -a "C:UsersAcer-1AppDataRoaming�D0S1L2Z1P1B0T1P1B2ZMipony Download Accelerator Packagesuninstaller.exe" -c /Uninstall /NM="Mipony Download Accelerator Packages" /AN="0D0S1L2Z1P1B0T1P1B2Z" /MBN="Mipony Download Accelerator Packages"
Task: {D524244E-6190-44CA-A103-BB5BCD99AC88} - Обновление Браузера Яндекс -> No File <==== ATTENTION
Task: {DCE4ADF7-8BF8-45B8-9BE2-FFFBD686BEFE} - System32TasksSpyHunter4Startup => C:UsersAcer-1AppDataLocalTempRar$EXa0.704SpyHunter 4.20.9.4533 PortableSpyHunter4.exe <==== ATTENTION
Shortcut: C:UsersAcer-1AppDataRoamingMicrosoftInternet ExplorerQuick LaunchGoogle Chrome.lnk -> C:ProgramDataxZQQUHiqMZvnx0.exe ()
Shortcut: C:UsersAcer-1AppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBarGoogle Chrome.lnk -> C:ProgramDataxZQQUHiqMZvnx0.exe ()
Shortcut: C:ProgramDataMicrosoftWindowsStart MenuProgramsGoogle Chrome.lnk -> C:ProgramDataxZQQUHiqMZvnx0.exe ()
Shortcut: C:UsersPublicDesktopGoogle Chrome.lnk -> C:ProgramDataxZQQUHiqMZvnx0.exe ()
AlternateDataStreams: C:UsersAcer-1Local Settings:wa [178]
AlternateDataStreams: C:UsersAcer-1AppDataLocal:wa [178]
AlternateDataStreams: C:UsersAcer-1AppDataLocalApplication Data:wa [178]
EmptyTemp:
Reboot:Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.Кроме этого выполните новую проверку программой FRST, только в главном меню поставьте галочку в пунктах Shortcut.txt и Addtion.txt, затем нажмите Scan. У вас откроется три лога FRST.txt, Shortcut.txt и Addtion.txt. Прикрепите их к вашему ответу.
Кроме этого проверьте на сайте virustotal следующие два файла:
C:ProgramDataxZQQUHiqMZvnx0.exe
C:Program Files (x86)HpDefQHC2DK.exeВставьте в ваш ответ результаты сканирования или ссылки на них.
Запустите программу Блокнот и вставьте в открытое окно следующий текст
CHR HKUS-1-5-21-2060737710-1981992819-119070258-1000SOFTWAREPoliciesGoogle: Restriction <======= ATTENTION
HKLMSOFTWAREPoliciesMicrosoftInternet Explorer: Restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-2060737710-1981992819-119070258-1000] ATTENTION => Default URLSearchHook is missing
Toolbar: HKUS-1-5-21-2060737710-1981992819-119070258-1000 -> No Name - {4B4D5056-3700-A76A-76A7-7A786E7484D7} - No File
Toolbar: HKUS-1-5-21-2060737710-1981992819-119070258-1000 -> No Name - {1C4D6E93-BFFF-496C-887D-FD3223999279} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
S1 qutmipc; C:Windowssystem32driversqutmipc.sys [53960 2015-09-06] (360.cn)
S3 cpuz134; ??C:Users6EDA~1AppDataLocalTempcpuz134cpuz134_x32.sys [X]
S3 EagleXNt; ??C:Windowssystem32driversEagleXNt.sys [X]
S3 npkcrypt; ??D:OldGAMESЛ2 Интераsystemnpkcrypt.sys [X]
S3 npkcusb; ??D:OldGAMESЛ2 Интераsystemnpkcusb.sys [X]
S3 Synth3dVsc; System32driverssynth3dvsc.sys [X]
S3 tsusbhub; system32driverstsusbhub.sys [X]
S3 VGPU; System32driversrdvgkmd.sys [X]
Task: {32616139-BB3B-4C7F-9992-C94D5C06A227} - LaunchSignup -> No File <==== ATTENTION
Task: {3B30B817-277D-42CB-8A49-730334E18181} - {1B529BFC-1D99-E5B5-8A4C-1B8135CE3F2A} -> No File <==== ATTENTION
Task: {637D95A9-1436-473F-B2E6-D2BC39EE3042} - RocketTab -> No File <==== ATTENTION
Task: {64BA7930-D80D-40EC-B51C-E52A2960B717} - {090E0547-7D05-0F0A-0411-05040B081105} -> No File <==== ATTENTION
Task: {6764B663-3EFB-4238-9D76-58ED82F74B05} - MicrosoftWindowsWindows Activation TechnologiesValidationTaskDeadline -> No File <==== ATTENTION
Task: {6EFCA284-C823-4E73-BE2E-15FA9D34C6D6} - nethost task -> No File <==== ATTENTION
Task: {A0557040-6056-4158-859C-B69B909D478A} - MicrosoftWindowsWindows Activation TechnologiesValidationTask -> No File <==== ATTENTION
Task: {AF520B83-944E-4491-ACB4-1ABC39C07C1B} - Dealply -> No File <==== ATTENTION
Task: {BED92BC2-3E7E-440F-865F-393B893518C8} - System32TasksQtraxPlayer => 2397307950.portal.qtrax.com
Task: {E549F1E3-35AB-4A80-88D6-75D1119B3518} - newSI_4396 -> No File <==== ATTENTION
Task: {F65FDFF7-027C-47DF-888A-A469B127D13B} - {BC3FC698-7E6C-4520-AE1E-8A7C6E8B76C7} -> No File <==== ATTENTION
Task: {FB9979AD-D9B3-4CF9-B7E2-92496BE87BA3} - System32TasksDSite => C:Users6EDA~1AppDataRoamingDSiteUPDATE~1UPDATE~1.EXE <==== ATTENTION
EmptyTemp:
Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.Запустите FRST, в главном меню поставьте галочку в пункте Addtion.txt, затем нажмите Scan.
По-окончании сканирования будет создано снова два лога. Пожалуйста приложите их к вашем следующему сообщению.Скачайте AdwCleaner.
Запустите программу, кликнув по ней правой клавишей мыши и выбрав «Запустить от имени администратора».
Нажмите кнопку «Сканировать» и дождитесь окончания процесса. Когда сканирование закончиться, закройте программу и найдите отчет о сканировании.
Он находиться в папке C:AdwCleaner и имеет имя AdwCleaner[S1].
Прикрепите этот отчет к своему следующему сообщению.И, последнее.
Программа FRST показала, что некоторые программы запускаются не напрямую, а через bat файлы:Shortcut: C:UsersЮраDesktopИгрыStаr Wаrs — Thе Оld Rерubliс.lnk -> D:OldGAMESStar Wars-The Old Republiclauncher.bat ()
Shortcut: C:ProgramDataMicrosoftWindowsStart MenuProgramsGoogle ChromeGооglе Сhrоmе.lnk -> C:Program FilesGoogleChromechrome.bat ()
ShortcutWithArgument: C:UsersЮраAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBarGооglе Сhrоmе.lnk -> C:WindowsSystem32cmd.exe (Microsoft Corporation) -> /C «c:program filesgooglechromechrome.bat«
ShortcutWithArgument: C:UsersЮраAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBarОреrа.lnk -> C:WindowsSystem32cmd.exe (Microsoft Corporation) -> /C «c:program filesoperalauncher.bat«Это было сделано вами или нет ?
Здравствуйте, Добро пожаловать на Spyware-ru форум.
Выполните сканирование компьютера программой FRST.
Скачайте программу FRST с этой страницы.
Запустите её. Ничего не меняйте в настройках, просто нажмите кнопку Scan.Когда сканирование будет завершено откроется блокнот с первым отчетом (frst.txt) вставьте его содержимое в ваш ответ. Чуть позже откроется второй отчёт Addition.txt.
Второй отчёт просто присоедините к вашему сообщению используя вкладку Добавить вложения.Здравствуйте, Добро пожаловать на Spyware-ru форум.
Запустите программу Блокнот и вставьте в открытое окно следующий текст
HKLM-x32...Run: [Adobe Flash Player SU] => C:WindowsSystem32cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20130531 (exit) else (start hxxp://lyll.net && exit)
EmptyTemp:Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix. Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.Кроме этого выполните новую проверку программой FRST и получившийся лог прикрепите к вашему сообщению.
