[SQx]

Здравствуйте,

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

[Antarktik]

Цитата SQx:

Здравствуйте, Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. »

вот лог из логгера

[SQx]

Здравствуйте,

Удалите Lavasoft(Web Companion), YoutubeAdBlock, Zaxar через установку программ в панели управления.


Сами прописывали в автозагрузку?

Код:

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\debug.nfo (2018/10/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfanevents.cfg (2018/06/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfanparams.cfg (2018/06/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfansens.cfg (2018/06/23)

HiJackThis профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
O2 - HKLM\..\BHO: YoutubeAdBlock - {984AFA40-4BEC-457F-AEDE-FE3404A646FA} - C:\Program Files (x86)\VKkhWVSisIE\tYcpbNg.dll (file missing)
O2-32 - HKLM\..\BHO: YoutubeAdBlock - {984AFA40-4BEC-457F-AEDE-FE3404A646FA} - C:\Program Files (x86)\VKkhWVSisIE\kHoGPiheO.dll (file missing)
O4 - HKCU\..\StartupApproved\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing) (2019/01/03)
O22 - Task: DvwLFWwXutwLxJgmB2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\ooxzIAzTqruiVIszQdR\qmPklob.dll",#1
O22 - Task: SOVqgpLsuXhFCxp2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\fHDlqDVwU\MVvwqu.dll",#1
O22 - Task: UXshqEpiPQcXH2 - C:\WINDOWS\system32\wscript.exe "C:\ProgramData\BuHcEEPgNwocAWVB\MpeHOhW.wsf"
O22 - Task: iYMvCriySoqaGgPjbmR2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\qUgzYKxVLnesC\DKniSRP.dll",#1
O22 - Task: mMzvDpxKxjJVUr - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\hUmbquBpttZU2\BMbVXvAwwqLuG.dll",#1

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 DelBHO('{984AFA40-4BEC-457F-AEDE-FE3404A646FA}');
 QuarantineFile('C:\Program Files (x86)\VKkhWVSisIE\tYcpbNg.dll','');
 QuarantineFile('C:\Program Files (x86)\VKkhWVSisIE\kHoGPiheO.dll','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\WINDOWS\system32\Chanlaiwzheng.sys','');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','64');
 DeleteFile('C:\Program Files (x86)\VKkhWVSisIE\kHoGPiheO.dll','32');
 DeleteFile('C:\Program Files (x86)\VKkhWVSisIE\tYcpbNg.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.zip не нужно!



- Подготовьте и прикрепите лог сканирования AdwCleaner.

[Antarktik]

Цитата SQx:

Сами прописывали в автозагрузку? Код: O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\debug.nfo (2018/10/23) O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfanevents.cfg (2018/06/23) O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfanparams.cfg (2018/06/23) O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\P »

да,сам,кроме первого

Цитата SQx:

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина »

у меня не 7z,а zip
имя карантина: 2019.07.07_quarantine_76cdb2bad9582d23c1f6f4d868218d6c.zip

[Antarktik]

вот лог adwcleaner

[SQx]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.





AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SetServiceStart('RemoteRegistry', 4);
ExecuteRepair(14);
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

После выполнения скрипта компьютер перезагрузится.

Файл fystemRoot.log из папки AVZ прикрепите в следующем сообщение.

[Antarktik]

Цитата SQx:

После выполнения скрипта компьютер перезагрузится. »

компьютер не перезагрузился..

[SQx]

Приложите пожалуйста новые логи согласно правилам раздела.
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.
Необходимо убедиться, что исправление службы Windows Update прошло удачно.

Цитата Antarktik:

компьютер не перезагрузился.. »

Спасибо за детали, можно это проигнорировать, так как этот пункт был исключен из фикса.

[Antarktik]

вот