Подозрение на вирусы - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Подозрение на вирусы (http://forum.oszone.net/showthread.php?t=305777)

Подозрение на вирусы

Медленнее стал включаться, странные проги в автозагрузке.

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

SmartAdverts for Google Chrome™

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 QuarantineFile('C:\Users\PSYCHO\AppData\Local\Kometa\kometaup.exe','');

 QuarantineFile('C:\Users\PSYCHO\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');

 QuarantineFile('C:\Users\PSYCHO\AppData\Roaming\newSI_658\s_inst.exe', '');

 DeleteFile('C:\Users\PSYCHO\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');

 DeleteFile('C:\Users\PSYCHO\AppData\Local\Kometa\kometaup.exe','32');

 DeleteFile('C:\Users\PSYCHO\AppData\Roaming\newSI_658\s_inst.exe', '32');

 ExecuteFile('schtasks.exe', '/delete /TN "newSI_658.job" /F', 0, 15000, true);

 ExecuteFile('schtasks.exe', '/delete /TN "newSI_658" /F', 0, 15000, true);

 DeleteFileMask('C:\Users\PSYCHO\AppData\Roaming\newSI_658\', '*', true);

 DeleteDirectory('C:\Users\PSYCHO\AppData\Roaming\newSI_658\');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');

ExecuteSysClean;

 ExecuteWizard('SCU', 2, 3, true);

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

RebootWindows(true);

end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Здравствуйте!
Надо было уехать, поэтому так долго.
SmartAdverts for Google Chrome™ не удаляется через панель управления, принудительным удаление через Uninstall Tool находит более 4000 файлов; удалять не стал.
Скрипт выполнил, архив отправил.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

появляются процессы, которые грузят систему

NuclearBomber, повторный CollectionLog пока не нужен. Нужны отчеты AdwCleaner и FRST.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start

CreateRestorePoint:

OPR Extension: (Сайдекс-сканнер Цен) - C:\Users\PSYCHO\AppData\Roaming\Opera Software\Opera Stable\Extensions\aamfmnhcipnbjjnbfmaoooiohikifefk [2015-05-04]

OPR Extension: (SocialLife for Google Chrome™) - C:\Users\PSYCHO\AppData\Roaming\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2015-01-13]

OPR Extension: (SL for Google Chrome™) - C:\Users\PSYCHO\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-04-12]

OPR Extension: (SocialLife for Google Chrome™) - C:\Users\PSYCHO\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-02-03]

S4 Update Service for advPlugin; C:\Program Files (x86)\advPlugin\Basement\ExtensionUpdaterService.exe [X]

2015-11-14 19:39 - 2015-04-15 18:04 - 00000080 _____ C:\Users\PSYCHO\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦

2015-05-04 01:36 - 2015-05-04 01:36 - 0099678 _____ () C:\Users\PSYCHO\AppData\Roaming\Играть в Prime World.ico

2015-05-04 01:36 - 2015-05-04 01:36 - 0370070 _____ () C:\Users\PSYCHO\AppData\Roaming\Играть в Войны Престолов.ico

Task: {F0374889-65D9-414F-A80B-C777C51FAA4B} - System32\Tasks\appdistrib => C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe

AlternateDataStreams: C:\Users\Пользователь\Local Settings:wa

AlternateDataStreams: C:\Users\Пользователь\AppData\Local:wa

AlternateDataStreams: C:\Users\Пользователь\AppData\Local\Application Data:wa

FirewallRules: [{6BE1D764-F8F1-42DD-9980-AB40E1F2E157}] => (Allow) C:\Users\Пользователь\AppData\Local\Temp\is-A8TSA.tmp\thorn_setup.tmp

FirewallRules: [{20FC9573-FA00-401F-B2CF-37D9889EEA6E}] => (Allow) C:\Users\Пользователь\AppData\Local\Temp\is-A8TSA.tmp\thorn_setup.tmp

FirewallRules: [{862D733A-73AA-4EB6-916E-6CF8C417873A}] => (Allow) C:\Users\PSYCHO\AppData\Local\Temp\is-DANDP.tmp\setup21555.tmp

FirewallRules: [{CA0B4529-9E0C-4A40-B78D-04167B1B936D}] => (Allow) C:\Users\PSYCHO\AppData\Local\Temp\is-DANDP.tmp\setup21555.tmp

EmptyTemp:

Reboot:

end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

Skype Click to Call - деинсталируйте http://safezone.cc/threads/kak-sdela...to-call.25023/

Zona - также рекомендую удалить.

Код:

"C:\Users\Пользователь\AppData\Local\Phoenix\Application\Интернет браузер Phoenix.lnk"          -> ["C:\Users\PSYCHO\AppData\Local\Phoenix\Application\chrome.exe"]

этот браузер также удалите.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

C:\Users\PSYCHO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\dc250f244423430d\Google Chrome.lnk

C:\Users\PSYCHO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\790a9b09c70e855d\Google Chrome.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera 25.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk

C:\Users\PSYCHO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

C:\Users\Гость\Desktop\Google Chrome.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 29.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

C:\Users\Пользователь\AppData\Local\Microsoft\Windows\GameExplorer\{00251C11-02A1-420C-96A1-1366251EB01D}\PlayTasks\0\Играть.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zona.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Castle Crashers\Удалить Castle Crashers.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\La2Crystal\Uninstall La2Crystal.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\La2Crystal\Играть на La2Crystal.com.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uninstall.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplay.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Warframe\Warframe.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Длинные нарды 2.0\Деинсталляция Длинные нарды 2.0.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Длинные нарды 2.0\Длинные нарды 2.0.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Длинные нарды 2.0\Справка по Длинным нардам 2.0.lnk

C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Длинные нарды 2.0\Файл readme.txt.lnk

C:\Users\Пользователь\Desktop\BorderlandsPreSequel_original - Ярлык.lnk

C:\Users\Пользователь\Desktop\La2Crystal - Ярлык.lnk

C:\Users\Пользователь\Desktop\Terraria.lnk

C:\Users\Пользователь\Desktop\TerrariViewer (1) - Ярлык.lnk

C:\Users\PSYCHO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Tunngle.lnk

C:\Users\PSYCHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft - Start.lnk

C:\Users\PSYCHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft - WWW.lnk

D:\game\minecrafted.su.url

C:\Users\PSYCHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Удалитьl Minecraft.lnk

C:\Users\PSYCHO\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета\Панель запуска.lnk

C:\Users\PSYCHO\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета\Удалить панель запуска.lnk

C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\World of Tanks - Common Test.lnk

C:\Users\Гость\Desktop\MiPony.lnk

C:\Users\Гость\Desktop\nardy20.lnk

C:\Users\Гость\Desktop\PokerWin.lnk

C:\Users\Гость\Desktop\Yamb.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Borderlands GOTY\Borderlands GOTY.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Borderlands GOTY\Manual.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Borderlands GOTY\Pandora Map.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Borderlands GOTY\Readme.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Borderlands GOTY\Удалить.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Borderlands GOTY\Manual.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Borderlands GOTY\Pandora Map.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Borderlands GOTY\Readme.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Borderlands GOTY\Удалить.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Saints Row The Third\Деинсталлировать L.A.Noire.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\About Java.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\Check For Updates.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\Configure Java.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft 1.7.4 - Minecraft-GoldMods.ru\minecraft-goldmods.ru.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony\MiPony.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Napoleonic Wars\Mount&Blade Napoleonic Wars.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Napoleonic Wars\Uninstall Napoleonic Wars.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Games\Terraria.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Games\Деинсталлировать  Terraria.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Games\Деинсталлировать Terraria.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim\The Elder Scrolls V Skyrim.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim\Деинсталлировать The Elder Scrolls V Skyrim.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The SIMS 4\The SIMS 4.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tunngle\Tunngle.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tunngle\Деинсталлировать Tunngle.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks - Common Test\World of Tanks - Common Test.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks - Common Test\Деинсталлировать World of Tanks - Common Test.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\µTorrent\µTorrent.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\µTorrent\Удалить µTorrent.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\АудиоМАСТЕР\АудиоМАСТЕР.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\АудиоМАСТЕР\Справочная система.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\АудиоМАСТЕР\Удалить программу.lnk

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Цитата:

Цитата NuclearBomber

появляются процессы, которые грузят систему »

на скрине системные процессы.

Код:

SmartAdverts for Google Chrome™ (HKLM-x32\...\SmartAdvertsGC) (Version: 0.8 - )

- это обязательно деинсталируйте.

SmartAdverts for Google Chrome - удалил.