THG.RU | \"Поиск\" Поиск \"Поиск\" | Новости | Видеокарты | Процессоры | Материнские платы | Мониторы | Аудио/видео | HDD и CD/DVD | Собери сам | Игры | Софт | Домашний ПК


Клуб экспертов THG.ru   

Вернуться   Клуб экспертов THG.ru > Софт > Антивирусная защита, Malware (вредоносное ПО) > Лечение компьютерных вирусов

Регистрация Правила форума FAQ форума Справка Пользователи Поиск Сообщения за день Все разделы прочитаны

Лечение компьютерных вирусов В данном разделе можно обратиться за бесплатной профессиональной помощью для очистки вашей системы от зловредного ПО

Закрытая тема
 
Опции темы Опции просмотра
Старый 25.09.2017, 14:43   #1
Меню пользователя HotBeer
Старожил
 
Аватар для HotBeer
  
Давно я столько адвари не видел...

Как обычно всё в названии треда. Логи прикреплены.
Вложения
Тип файла: zip CollectionLog-2017.09.25-14.22.zip (68.5 Кб, 16 просмотров)
HotBeer вне форума  
Старый 25.09.2017, 15:05   #2
Меню пользователя Sandor
Модератор
Консультант VN
 
Аватар для Sandor
  
Привет!

Через Панель управления - Удаление программ (или через Your Uninstaller) - удалите нежелательное ПО:
Цитата:
Video and Audio Plugin UBar
Если программа YouTubeByClick незнакома, тоже удалите.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код:
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Users\Володя\AppData\Roaming\Microsoft\msi.exe', '');
     ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
     DeleteFile('C:\Users\Володя\AppData\Roaming\Microsoft\msi.exe', '32');
    ExecuteSysClean;
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteRepair(21);
     ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
     ExecuteWizard('SCU',2,2,true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


  3. Подготовьте новый CollectionLog.
Sandor вне форума  
Старый 25.09.2017, 15:07   #4
Меню пользователя Sandor
Модератор
Консультант VN
 
Аватар для Sandor
  
Можно все чистить, но таким образом:
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Повторный CollectionLog сделай после очистки.
Sandor вне форума  
Старый 25.09.2017, 16:26   #6
Меню пользователя Sandor
Модератор
Консультант VN
 
Аватар для Sandor
  
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Sandor вне форума  
Старый 25.09.2017, 16:29   #7
Меню пользователя HotBeer
Старожил
 
Аватар для HotBeer
  
При запуске от имени администратора FRST вылетает со следующим логом
Цитата:
Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 24-09-2017
Ran by Володя (administrator) on PC (25-09-2017 16:09:35)
Running from C:\FRST
Loaded Profiles: Володя (Available Profiles: Юляшка & Володя)
Platform: Windows 7 Home Premium Service Pack 1 (X64) Language: Русский (Россия)
Internet Explorer Version 11 (Default browser not detected!)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic...ery-scan-tool/

================================================== ======
HotBeer вне форума  
Старый 25.09.2017, 16:38   #8
Меню пользователя HotBeer
Старожил
 
Аватар для HotBeer
  
done
Вложения
Тип файла: txt Addition.txt (35.8 Кб, 235 просмотров)
Тип файла: txt FRST.txt (27.5 Кб, 223 просмотров)
Тип файла: txt Shortcut.txt (118.8 Кб, 254 просмотров)
HotBeer вне форума  
Старый 25.09.2017, 16:43   #9
Меню пользователя Sandor
Модератор
Консультант VN
 
Аватар для Sandor
  
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2120692617-761501319-2242756276-1003\...\Run: [ycAutoLaunch_73432C1EBCD985A9E6B813393DC0163C] => C:\Users\Володя\AppData\Local\yc\Application\yc.exe [850432 2017-06-21] (The Chromium Authors)
    BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\4cpdq6gk.default -> Поиск@Mail.Ru
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\4cpdq6gk.default -> Поиск@Mail.Ru
    FF Keyword.URL: Mozilla\Firefox\Profiles\4cpdq6gk.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B51D4EFEC-F227-4350-B0CC-78A240A1F981%7D&gp=811014
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Володя\AppData\Roaming\Mozilla\Firefox\Profiles\4cpdq6gk.default\Extensions\homepage@mail.ru [2017-07-27]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\Володя\AppData\Roaming\Mozilla\Firefox\Profiles\4cpdq6gk.default\Extensions\search@mail.ru [2017-07-27]
    FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Володя\AppData\Roaming\Mozilla\Firefox\Profiles\4cpdq6gk.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-07-27]
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811009"
    Task: {37A9A886-8889-4B75-A5FB-8A7D974203BB} - System32\Tasks\MSI => C:\Users\Володя\AppData\Roaming\Microsoft\msi.exe <==== ATTENTION
    AlternateDataStreams: C:\Users\Юляшка\Desktop\15 лет суду.doc:AFP_AfpInfo [130]
    AlternateDataStreams: C:\Users\Юляшка\Desktop\15 лет суду.doc:Mac_Metadata [42]
    FirewallRules: [{B8DBB553-2BD8-4999-8369-BC162A8EC9F1}] => (Allow) C:\Program Files\UBar\ubar.exe
    FirewallRules: [{C0D84D3C-FDA1-4FF9-80B3-0B8FC2AAC424}] => (Allow) C:\Users\Володя\AppData\Local\yc\Application\yc.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В Хроме вручную удалите расширения:
Цитата:
Mail.Ru
Стартовая — Яндекс
Визуальные Закладки Mail.Ru
Домашняя страница Mail.Ru
Rutube
MeSafe
Sandor вне форума  
Старый 25.09.2017, 16:53   #11
Меню пользователя Sandor
Модератор
Консультант VN
 
Аватар для Sandor
  
Что с проблемой?
Sandor вне форума  
Закрытая тема


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Справочник словарей
Словари русского языка - www.gramota.ru Яndex - Словари Википедия - ru.wikipedia.org

Часовой пояс GMT +4, время: 00:43.


Powered by: vBulletin, ©2000 - 2007, Jelsoft Enterprises Limited.
Перевод: zCarot
Распространение информации возможно только с письменного разрешения администрации издания.

THG.ru ("Русский Tom's Hardware Guide") входит в международную сеть TG Publishing

РЕКЛАМА

Rambler's Top100 Рейтинг@Mail.ru