Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Тормозит комп, нахватал вирусов (http://forum.oszone.net/showthread.php?t=325090)

vildan1 21-03-2017 15:42 2721742
Тормозит комп, нахватал вирусов
 
готов предоставить все логи, предыдущую тему закрыл, потому что не сделал все до логического конца и только усугубил

Sandor 22-03-2017 12:04 2722010
Здравствуйте!

Почему же не предоставили? :)

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.
Утилиты скачайте заново.

vildan1 13-04-2017 23:27 2729108
Вложений: 3
Файл 144978

Файл 144979

Файл 144980

Sandor 14-04-2017 09:49 2729170
1. Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
RegHunter
SpyHunter 4
YAC(Yet Another Cleaner!)
Что не получится удалить стандартно, удалите через Revo Uninstall.

2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe', '');
 QuarantineFile('C:\Users\villi_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\villi_000\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\villi_000\Favorites\Links\Интернет.url', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.



3. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


4. Файл CheckBrowserLnk.log
из папки
Цитата:
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.



5. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

vildan1 14-04-2017 13:15 2729219
Вложений: 1
Файл 144986

Sandor 14-04-2017 13:28 2729221
Жду п.4

vildan1 14-04-2017 13:30 2729222
Вложений: 1
новый лог
Файл 144987

vildan1 14-04-2017 13:31 2729224
п 4 сделал же

Sandor 14-04-2017 13:34 2729226
Виноват, имелся ввиду п.5 :)

Продолжаем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

vildan1 14-04-2017 13:54 2729233
Вложений: 1
Файл 144988

Sandor 14-04-2017 14:16 2729240
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

vildan1 14-04-2017 19:40 2729340
прикрепил, что дальше?упс, пардон не видел вторую страницу

vildan1 14-04-2017 22:36 2729393
Вложений: 2
Файл 145000

Файл 145002

Sandor 15-04-2017 18:58 2729617
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Edge HomeButtonPage: HKU\S-1-5-21-1079846064-3688175298-3292213628-1001 -> hxxp://www.ourluckysites.com/?type=hp&ts=1492075784&z=7e24b87b93ddeb358fd59d1gdzatco4e3mawambb2z&from=che0812&uid=HGSTXHTS541010A9E680_JA1009C02X5JPP2X5JPPX
FF Extension: (anticenz) - C:\Users\villi_000\AppData\Roaming\Mozilla\Firefox\Profiles\fk7r05u1.default-1490122784896\Extensions\jid1-rCu3Ux9O2URXBg@jetpack.xpi [2017-03-21]
OPR Extension: (No Name) - C:\Users\villi_000\AppData\Roaming\Opera Software\Opera Stable\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-09-21]
OPR Extension: (No Name) - C:\Users\villi_000\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-09-21]
OPR Extension: (Quick Searcher) - C:\Users\villi_000\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecnphlgnajanjnkcmbpancdjoidceilk [2016-02-14]
OPR Extension: (No Name) - C:\Users\villi_000\AppData\Roaming\Opera Software\Opera Stable\Extensions\hcmdpeobfoppdkhcneogcflfmfceenlf [2016-09-21]
OPR Extension: (No Name) - C:\Users\villi_000\AppData\Roaming\Opera Software\Opera Stable\Extensions\khmiehpkiedpkpifcpeplghoibfhhigo [2017-01-03]
OPR Extension: (No Name) - C:\Users\villi_000\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-09-21]
OPR Extension: (Smart Browser™) - C:\Users\villi_000\AppData\Roaming\Opera Software\Opera Stable\Extensions\mnodmjdgoadhalodifblaaikgcfgchfb [2016-01-29]
S2 Zikacultthojerly; C:\Program Files (x86)\Plrerch\coerdakckoferghupdate.dll [X]
2017-04-14 22:25 - 2017-04-14 22:25 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2017-03-21 10:12 - 2017-03-21 10:12 - 0000001 _RHOT () C:\Program Files (x86)\Gubed
2017-03-21 10:12 - 2017-03-21 10:12 - 0000001 _RHOT () C:\Program Files (x86)\UvConverter
2017-03-21 10:12 - 2017-03-21 10:12 - 0000001 _RHOT () C:\Users\villi_000\AppData\Roaming\MyDesktop
2017-03-21 10:12 - 2017-03-21 10:12 - 0000001 _RHOT () C:\ProgramData\hdtask
2017-03-21 10:12 - 2017-03-21 10:12 - 0000001 _RHOT () C:\ProgramData\Hotfreshs
2017-03-21 10:12 - 2017-03-21 10:12 - 0000001 _RHOT () C:\ProgramData\WinSAPSvc
Task: {2C1C94D2-4AA8-4DF4-806E-7428C60CC923} - \Milimili -> No File <==== ATTENTION
Task: {F3909C24-10EB-48D7-A73A-4F19B23631D5} - \Milimili -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
HKU\S-1-5-21-1079846064-3688175298-3292213628-1001\Software\Classes\.scr: scrfile =>  <===== ATTENTION
FirewallRules: [{B2597D42-0D19-45D0-B8E0-4C9F59F5765A}] => (Allow) C:\Program Files (x86)\Yeahship\Application\chrome.exe
FirewallRules: [{424E5ACF-C16E-478D-9C2B-B830F544B37A}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{181AF3FE-7BA9-4DD4-A61D-4EE2B6051676}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Сообщите что с проблемой.

vildan1 17-04-2017 09:36 2730003
Вложений: 1
Файл 145037

vildan1 17-04-2017 14:59 2730116
файрфокс выдает опять непонятные поисковики, удаляет самостоятельно закладки яндекса и яндексэлемент, тормозит неистово...

vildan1 17-04-2017 19:46 2730167
ауууу, у вас там пасха до сих пор что ли)))

Sandor 17-04-2017 19:49 2730169
Цитата:
Цитата vildan1
файрфокс выдает опять непонятные поисковики »
С другими браузерами, например, в IE - нормально?

vildan1 17-04-2017 20:15 2730175
открыл ишака, все норм, с вашего сайта выбрасывает на сайт с казино(((

Sandor 17-04-2017 20:32 2730178
Не ёрничайте, пожалуйста. Т.е. через IE то же самое?

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

vildan1 17-04-2017 22:44 2730206
Вложений: 1
Файл 145049

Sandor 18-04-2017 09:07 2730259
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\firefox\bin\firefoxupdate.exe');
 TerminateProcessByName('c:\program files (x86)\firefox\firefox.exe');
 TerminateProcessByName('c:\users\villi_000\appdata\local\kitty\cat.exe');
 StopService('FirefoxU');
 StopService('Kitty');
 QuarantineFile('C:\Users\villi_000\appdata\roaming\winsapsvc\winsap.dll','');
 QuarantineFile('C:\windows\Update\psgo\psgo.ps1','');
 QuarantineFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe','');
 QuarantineFile('c:\program files (x86)\firefox\firefox.exe','');
 QuarantineFile('c:\users\villi_000\appdata\local\kitty\cat.exe','');
 QuarantineFile('"C:\Program Files (x86)\MIO\MIO.exe"', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
 DeleteFile('c:\users\villi_000\appdata\local\kitty\cat.exe','32');
 DeleteFile('c:\program files (x86)\firefox\firefox.exe','32');
 DeleteFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe','32');
 DeleteFile('C:\windows\Update\psgo\psgo.ps1','32');
 DeleteFile('C:\Users\villi_000\appdata\roaming\winsapsvc\winsap.dll','32');
 DeleteFile('"C:\Program Files (x86)\MIO\MIO.exe"', '32');
 DeleteService('FirefoxU');
 DeleteService('Kitty');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите еще раз логи по правилам. Для повторной диагностики запустите снова Autologger.

vildan1 18-04-2017 10:10 2730279
Вложений: 3
Файл 145058

Файл 145059

Файл 145060

Sandor 18-04-2017 10:13 2730280
Еще раз, пожалуйста, соберите и прикрепите свежие логи FRST.txt и Addition.txt

vildan1 18-04-2017 10:58 2730290
Вложений: 1
Файл 145062

Sandor 18-04-2017 11:17 2730296
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
CloseProcesses:
FF Extension: (SimilarWeb) - C:\Users\villi_000\AppData\Roaming\Firefox\Firefox\Profiles\fk7r05u1.default-1490122784896\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-04-17] [not signed]
FF Extension: (HSearch) - C:\Users\villi_000\AppData\Roaming\Firefox\Firefox\Profiles\fk7r05u1.default-1490122784896\Extensions\@E97YHOMI-FU8L-IM23-VUT9-RVDZT7M8XL8H.xpi [2017-04-17] [not signed]
FF Extension: (FF Adr) - C:\Users\villi_000\AppData\Roaming\Firefox\Firefox\Profiles\fk7r05u1.default-1490122784896\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-04-17] [not signed]
R2 SNARE; C:\Users\villi_000\AppData\Local\SNARE\Snarer.dll [793600 2017-04-17] (InterSect Alliance Pty Ltd) [File not signed]
2017-04-17 13:59 - 2017-04-17 13:59 - 00000000 ____D C:\Users\villi_000\AppData\Local\Yeahship
2017-04-17 13:55 - 2017-04-17 13:55 - 00000000 ____D C:\Users\villi_000\AppData\Roaming\Firefox
2017-04-17 13:55 - 2017-04-17 13:55 - 00000000 ____D C:\Users\villi_000\AppData\Local\Firefox
2017-04-17 13:54 - 2017-04-18 09:50 - 00000000 ____D C:\Program Files (x86)\Firefox
2017-04-17 13:54 - 2017-04-18 02:46 - 00000000 _____ C:\Users\Public\Documents\report.dat
2017-04-17 13:54 - 2017-04-17 13:54 - 00000000 _____ C:\Users\Public\Documents\temp.dat
2017-04-17 13:53 - 2017-04-18 09:52 - 00000000 ____D C:\Users\villi_000\AppData\Roaming\WinSAPSvc
2017-04-17 13:53 - 2017-04-17 13:53 - 00000000 ____D C:\WINDOWS\Update
2017-04-17 13:48 - 2017-04-17 13:48 - 00000000 ____D C:\Program Files (x86)\p00eid1m
2017-04-13 12:27 - 2017-04-13 12:27 - 00000000 ____D C:\Program Files (x86)\Yeahship
2017-04-13 12:26 - 2017-04-18 09:50 - 00000000 ____D C:\Users\villi_000\AppData\Local\Kitty
2017-04-13 12:26 - 2017-04-17 13:53 - 00000000 ____D C:\Users\villi_000\AppData\Local\SNARE
2017-04-13 12:04 - 2017-04-13 12:04 - 00100481 _____ C:\Users\villi_000\Desktop\index.html
2017-04-13 10:27 - 2017-04-13 10:27 - 00000000 _____ C:\WINDOWS\SysWOW64\1
2017-04-13 10:26 - 2017-04-17 13:53 - 00000000 ____D C:\Program Files (x86)\MIO
2017-04-13 10:26 - 2017-04-13 12:46 - 00000000 ____D C:\Users\villi_000\AppData\Local\AMD
2017-04-13 10:26 - 2017-04-13 10:26 - 00000000 ____D C:\Update
2017-04-13 10:10 - 2017-04-13 10:10 - 00004562 _____ C:\WINDOWS\System32\Tasks\Adobe Acrobat Update Task
Task: {F01AF12F-0736-49FE-BBD2-5879C4430F1E} - \Microsoft\Windows\Multimedia\MailruSetup -> No File <==== ATTENTION
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Yeahship\Application\chrome.exe (Google Inc.)
FirewallRules: [{74D40BC1-95F0-4C86-9158-F4BE6D49A6A3}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{B43A0FEB-6E29-4EE9-B2EB-0976D1DE2E73}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

vildan1 18-04-2017 12:49 2730313
Вложений: 1
http://forum.oszone.net/attachment.p...1&d=1492508963

Sandor 18-04-2017 13:02 2730317
Что сейчас с проблемой?

vildan1 18-04-2017 13:05 2730318
у вас интерфейс поменялся на сайте, или это последствия моих действий? пока вроде без экцсессов, но firefox не выбирается по умолчанию на Windows10,только через классическую панель управления, и пропало изображения ярлыка мозиллы

Sandor 18-04-2017 13:13 2730322
Цитата:
Цитата vildan1
firefox не выбирается по умолчанию »
Удалите его, скачайте и установите заново.

vildan1 18-04-2017 19:16 2730439
спасибо, пока полет нормальный)))

Sandor 19-04-2017 08:40 2730605
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


Время: 20:27.

Время: 20:27.
© OSzone.net 2001-