[решено] Кажется поймал adware

akok · Отправлено: **13:06, 23-07-2017** | #2

Удалите программу yeuaskie и Tencent
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\yeuaskie\aqmssoxhyu.exe');
 QuarantineFile('c:\program files (x86)\yeuaskie\aqmssoxhyu.exe', '');
 QuarantineFile('C:\Program Files (x86)\YeuAskIE\ky0BDkDjG.dll', '');
 QuarantineFile('C:\Program Files (x86)\YeuAskIE\KhzOe4o.dll', '');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\lidnkghmpmbmkjalooojbaefceoolghb\ml.py', '');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "lidnkghmpmbmkjalooojbaefceoolghb" /F', 0, 15000, true);
 DeleteFile('C:\Users\Admin\AppData\Roaming\lidnkghmpmbmkjalooojbaefceoolghb\ml.py');
 DeleteFile('c:\program files (x86)\yeuaskie\aqmssoxhyu.exe', '32');
 DeleteFile('C:\Program Files (x86)\YeuAskIE\ky0BDkDjG.dll', '32');
 DeleteFile('C:\Program Files (x86)\YeuAskIE\KhzOe4o.dll', '32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\msi.exe', '32');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ubvpljuilp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lidnkghmpmbmkjalooojbaefceoolghb');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

И последнее

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

setwolk · Отправлено: **18:51, 23-07-2017** | #3

По первому по форме отправил.
По второму направляю лог

setwolk · Отправлено: **18:52, 23-07-2017** | #4

Вот

setwolk · Отправлено: **19:02, 23-07-2017** | #5

Когда запускаю adwcleaner_7.0.0.0 идет сканирование, а затем ПО закрывается, как будто ошибка explorer.exe
Как быть?

akok · Отправлено: **19:21, 23-07-2017** | #6

MediaGet- рекомендую деинсталировать, рекламное ПО.

Цитата setwolk:

огда запускаю adwcleaner_7.0.0.0 идет сканирование, а затем ПО закрывается, как будто ошибка explorer.exe »

Тогда пойдем по более сложному пути. Давайте воспользуемся старой версией
https://safezone.cc/resources/malwar...-adwcleaner.13

Нажмите "отмена" когда предложит скачать новую версию.

Sandor · Отправлено: **19:49, 23-07-2017** | #7

Цитата setwolk:

Как быть? »

Либо попробуйте запустить и собрать лог этой тестовой версией AdwCleaner.

setwolk · Отправлено: **20:43, 23-07-2017** | #8

Собрал лог по совету akok, только файл называется по другому...

akok · Отправлено: **20:50, 23-07-2017** | #9

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

setwolk · Отправлено: **23:46, 23-07-2017** | #10

Сделал все логи