[iskander-k]

postoronim, https://safezone.cc/threads/kak-udal...7/#post-256138

[postoronim]

iskander-k,
Вы рекомендуете мне избавиться от 360 Total Security? Он зловреден? Или не справляется с задачами антивирусной защиты?

[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

MediaGet

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

[postoronim]

Цитата Sandor:

удалите нежелательное ПО: »

Удалил.

Цитата Sandor:

Отчёт прикрепите к сообщению. »

Выполнил.

[Sandor]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками все, кроме указанной ниже строчки - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

Подробнее читайте в руководстве.

Код:

Раздел реестра: 

Generic.Malware/Suspicious, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AAct, Проигнорировано пользователем, [0], [392686],1.0.3699

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[postoronim]

Цитата Sandor:

кроме указанной ниже строчки »

Насчет этого не вполне уверен, т.к. в отчете строка местоположения файла очень длинная и вся не помещалась, и прокрутки нету, чтоб конец увидеть. А таких файлов с идентичным началом местоположения в отчете было три. Я отчет распечатал в "блокнот" и посмотрел там. Но вид текста там иной (не такой как отчет). Пришлось просто методом догадывания считать, что первый файл в "блокноте" похожий на тот, что вы написали и есть первым из трех файлов в отчете. И с него я снял галочку.

Цитата Sandor:

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. »

Выполнил

Цитата Sandor:

Нажмите кнопку Scan. »

Выполнил

[postoronim]

Очистка от вирусов порадовала - возобновились остро необходимые функции браузера, по которым причину подозревал в другом.

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Toolbar: HKLM - No Name - {A13C2648-91D4-4bf3-BC6D-0079707C4389} -  No File
  CHR HomePage: Default -> mail.ru/cnt/11956636?gp=789169
  S3 4F95809EACC61876; \??\C:\Windows\TEMP\589C7B2.sys [X]
  S3 4F9583ED1D1EA4F6; \??\C:\Windows\TEMP\5B8BED9.sys [X]
  S3 4F9584D87FCBADF6; \??\C:\Windows\TEMP\7C1AA20.sys [X]
  S3 4F95898BB9CC34F6; \??\C:\Windows\TEMP\6ADB5C9.sys [X]
  S3 4F958A75AF14CC76; \??\C:\Windows\TEMP\668B2DE.sys [X]
  S3 4F958A762C55C876; \??\C:\Windows\TEMP\5C1201B.sys [X]
  S3 4F958B373DA66A76; \??\C:\Windows\TEMP\5629B6C.sys [X]
  S3 4F958E04ECE90176; \??\C:\Windows\TEMP\4C863E0.sys [X]
  S3 4F959069F1E39C76; \??\C:\Windows\TEMP\6C4DF2B.sys [X]
  S3 4F959288CD4FAED3; \??\C:\Windows\TEMP\169121AE7.sys [X]
  S3 4F95988606A4EEF6; \??\C:\Windows\TEMP\46FBEB1.sys [X]
  S3 4F959886F7CD8976; \??\C:\Windows\TEMP\61B6A29.sys [X]
  S3 4F959BD4AC033776; \??\C:\Windows\TEMP\48A7C20.sys [X]
  S3 4F959BD543801DF6; \??\C:\Windows\TEMP\57564A7.sys [X]
  S3 4F959CC61D5C5BF6; \??\C:\Windows\TEMP\7CFFFE3.sys [X]
  S3 4F959D37E9C4C1F6; \??\C:\Windows\TEMP\5A8CE25.sys [X]
  S3 4F95B138EC034BF6; \??\C:\Windows\TEMP\59798C4.sys [X]
  S3 4F95B1EA8AA87676; \??\C:\Windows\TEMP\4C72BA5.sys [X]
  S3 4F95B1F35472DAC4; \??\C:\Windows\TEMP\756B2E915.sys [X]
  S3 4F95B370CC6D47F6; \??\C:\Windows\TEMP\51CBE8D.sys [X]
  S3 4F95FCE8F78E52F6; \??\C:\Users\Александр\AppData\Local\Temp\7C5BDB18.sys [X]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[postoronim]

Sandor,
Сделал. Вы не сообщили куда вставить скопированный код. При запуске FRST Fix он оставался в буфере обмена. Может так и надо?