Подозрение на вирусы

Sandor · Отправлено: **08:03, 23-09-2015** | #2

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

SmartAdverts for Google Chrome™

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\PSYCHO\AppData\Local\Kometa\kometaup.exe','');
 QuarantineFile('C:\Users\PSYCHO\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
 QuarantineFile('C:\Users\PSYCHO\AppData\Roaming\newSI_658\s_inst.exe', '');
 DeleteFile('C:\Users\PSYCHO\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
 DeleteFile('C:\Users\PSYCHO\AppData\Local\Kometa\kometaup.exe','32');
 DeleteFile('C:\Users\PSYCHO\AppData\Roaming\newSI_658\s_inst.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "newSI_658.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "newSI_658" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\PSYCHO\AppData\Roaming\newSI_658\', '*', true);
 DeleteDirectory('C:\Users\PSYCHO\AppData\Roaming\newSI_658\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

NuclearBomber · CollectionLog-2015.10.11-21.03.zip

Здравствуйте!
Надо было уехать, поэтому так долго.
SmartAdverts for Google Chrome™ не удаляется через панель управления, принудительным удаление через Uninstall Tool находит более 4000 файлов; удалять не стал.
Скрипт выполнил, архив отправил.

Sandor · Отправлено: **08:13, 12-10-2015** | #4

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

NuclearBomber · CollectionLog-2015.11.19-15.31.zip

появляются процессы, которые грузят систему

Sandor · Отправлено: **16:51, 19-11-2015** | #6

NuclearBomber, повторный CollectionLog пока не нужен. Нужны отчеты AdwCleaner и FRST.

NuclearBomber · Отправлено: **17:12, 19-11-2015** | #7

AdwCleaner и FRST

Sandor · Отправлено: **17:20, 19-11-2015** | #8

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start
CreateRestorePoint:
OPR Extension: (Сайдекс-сканнер Цен) - C:\Users\PSYCHO\AppData\Roaming\Opera Software\Opera Stable\Extensions\aamfmnhcipnbjjnbfmaoooiohikifefk [2015-05-04]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\PSYCHO\AppData\Roaming\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2015-01-13]
OPR Extension: (SL for Google Chrome™) - C:\Users\PSYCHO\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-04-12]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\PSYCHO\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-02-03]
S4 Update Service for advPlugin; C:\Program Files (x86)\advPlugin\Basement\ExtensionUpdaterService.exe [X]
2015-11-14 19:39 - 2015-04-15 18:04 - 00000080 _____ C:\Users\PSYCHO\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦
2015-05-04 01:36 - 2015-05-04 01:36 - 0099678 _____ () C:\Users\PSYCHO\AppData\Roaming\Играть в Prime World.ico
2015-05-04 01:36 - 2015-05-04 01:36 - 0370070 _____ () C:\Users\PSYCHO\AppData\Roaming\Играть в Войны Престолов.ico
Task: {F0374889-65D9-414F-A80B-C777C51FAA4B} - System32\Tasks\appdistrib => C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe
AlternateDataStreams: C:\Users\Пользователь\Local Settings:wa
AlternateDataStreams: C:\Users\Пользователь\AppData\Local:wa
AlternateDataStreams: C:\Users\Пользователь\AppData\Local\Application Data:wa
FirewallRules: [{6BE1D764-F8F1-42DD-9980-AB40E1F2E157}] => (Allow) C:\Users\Пользователь\AppData\Local\Temp\is-A8TSA.tmp\thorn_setup.tmp
FirewallRules: [{20FC9573-FA00-401F-B2CF-37D9889EEA6E}] => (Allow) C:\Users\Пользователь\AppData\Local\Temp\is-A8TSA.tmp\thorn_setup.tmp
FirewallRules: [{862D733A-73AA-4EB6-916E-6CF8C417873A}] => (Allow) C:\Users\PSYCHO\AppData\Local\Temp\is-DANDP.tmp\setup21555.tmp
FirewallRules: [{CA0B4529-9E0C-4A40-B78D-04167B1B936D}] => (Allow) C:\Users\PSYCHO\AppData\Local\Temp\is-DANDP.tmp\setup21555.tmp
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

regist · Отправлено: **17:40, 19-11-2015** | #9

Skype Click to Call - деинсталируйте http://safezone.cc/threads/kak-sdela...to-call.25023/

Zona - также рекомендую удалить.

Код:

"C:\Users\Пользователь\AppData\Local\Phoenix\Application\Интернет браузер Phoenix.lnk"          -> ["C:\Users\PSYCHO\AppData\Local\Phoenix\Application\chrome.exe"]

этот браузер также удалите.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

C:\Users\PSYCHO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\dc250f244423430d\Google Chrome.lnk
C:\Users\PSYCHO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\790a9b09c70e855d\Google Chrome.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera 25.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
C:\Users\PSYCHO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Гость\Desktop\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 29.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Пользователь\AppData\Local\Microsoft\Windows\GameExplorer\{00251C11-02A1-420C-96A1-1366251EB01D}\PlayTasks\0\Играть.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zona.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Castle Crashers\Удалить Castle Crashers.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\La2Crystal\Uninstall La2Crystal.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\La2Crystal\Играть на La2Crystal.com.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uninstall.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplay.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Warframe\Warframe.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Длинные нарды 2.0\Деинсталляция Длинные нарды 2.0.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Длинные нарды 2.0\Длинные нарды 2.0.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Длинные нарды 2.0\Справка по Длинным нардам 2.0.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Длинные нарды 2.0\Файл readme.txt.lnk
C:\Users\Пользователь\Desktop\BorderlandsPreSequel_original - Ярлык.lnk
C:\Users\Пользователь\Desktop\La2Crystal - Ярлык.lnk
C:\Users\Пользователь\Desktop\Terraria.lnk
C:\Users\Пользователь\Desktop\TerrariViewer (1) - Ярлык.lnk
C:\Users\PSYCHO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Tunngle.lnk
C:\Users\PSYCHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft - Start.lnk
C:\Users\PSYCHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft - WWW.lnk
D:\game\minecrafted.su.url
C:\Users\PSYCHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Удалитьl Minecraft.lnk
C:\Users\PSYCHO\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета\Панель запуска.lnk
C:\Users\PSYCHO\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета\Удалить панель запуска.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\World of Tanks - Common Test.lnk
C:\Users\Гость\Desktop\MiPony.lnk
C:\Users\Гость\Desktop\nardy20.lnk
C:\Users\Гость\Desktop\PokerWin.lnk
C:\Users\Гость\Desktop\Yamb.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Borderlands GOTY\Borderlands GOTY.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Borderlands GOTY\Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Borderlands GOTY\Pandora Map.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Borderlands GOTY\Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Borderlands GOTY\Удалить.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Borderlands GOTY\Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Borderlands GOTY\Pandora Map.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Borderlands GOTY\Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Borderlands GOTY\Удалить.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Saints Row The Third\Деинсталлировать L.A.Noire.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\About Java.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\Check For Updates.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\Configure Java.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft 1.7.4 - Minecraft-GoldMods.ru\minecraft-goldmods.ru.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony\MiPony.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Napoleonic Wars\Mount&Blade Napoleonic Wars.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Napoleonic Wars\Uninstall Napoleonic Wars.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Games\Terraria.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Games\Деинсталлировать  Terraria.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Games\Деинсталлировать Terraria.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim\The Elder Scrolls V Skyrim.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim\Деинсталлировать The Elder Scrolls V Skyrim.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The SIMS 4\The SIMS 4.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tunngle\Tunngle.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tunngle\Деинсталлировать Tunngle.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks - Common Test\World of Tanks - Common Test.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks - Common Test\Деинсталлировать World of Tanks - Common Test.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\µTorrent\µTorrent.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\µTorrent\Удалить µTorrent.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\АудиоМАСТЕР\АудиоМАСТЕР.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\АудиоМАСТЕР\Справочная система.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\АудиоМАСТЕР\Удалить программу.lnk

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Цитата NuclearBomber:

появляются процессы, которые грузят систему »

на скрине системные процессы.

regist · Отправлено: **18:04, 19-11-2015** | #10

Код:

SmartAdverts for Google Chrome™ (HKLM-x32\...\SmartAdvertsGC) (Version: 0.8 - )

- это обязательно деинсталируйте.