Полечите от вирусов, пожалуйста

[Gopnik987]

Полечите от вирусов, пожалуйста

Доброго времени суток уважаемые специалисты по лечению зловредов. Прошу полечить от вирусов и лишнего хлама нетбук, а так же убрать всплывающие окна при запуске системы. Вот логи.

 

[mike 1]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.12 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   breg
   
   exec C:\Users\Tz\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
   delref HTTP://LNK.DO/0CKN7
   delref HTTP://LNK.DO/26BAU
   delref HTTP://LNK.DO/ATGET
   delref HTTP://LNK.DO/BLCW3
   delref HTTP://LNK.DO/HV36N
   delref HTTP://LNK.DO/LLVBI
   delref HTTP://LNK.DO/PRNNU
   delref HTTP://LNK.DO/VOZPJ
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
   delall %SystemDrive%\PROGRAM FILES\COMMON FILES\3FB4E6F1-AD45-4322-A458-48AD9AFFC6DB\D1C6F8DA-5AAC-4B90-AE1F-72E4F7160026.EXE
   delall %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.EXE
   delall %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
   delall %SystemDrive%\PROGRAMDATA\KRB UPDATER UTILITY\KRBUPDATER.EXE
   delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CONTENTPROTECTOR\SETTINGS.LNK
   delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ZAXARGAMEBROWSER\ZAXARGAMEBROWSER.LNK
   delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ZAXARGAMEBROWSER\ZAXARUPDATE.LNK
   delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
   delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE
   delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\TEMP\NSPD50B.TMP\REGISTRY.DLL
   delall %SystemDrive%\USERS\TZ\APPDATA\LOCAL\TEMP\NSPD50B.TMP\SYSTEM.DLL
   delall %SystemDrive%\USERS\TZ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
   delall %SystemDrive%\USERS\TZ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE\CONFIGURE.LNK
   deltmp
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен..

1. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
2. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
3. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
4. Прикрепите отчет к своему следующему сообщению.

 

[Gopnik987]

Скрипт выполнил. Лог от ADWCleaner выкладываю.

 

[mike 1]

1. Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
2. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
3. Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

[Gopnik987]

Вот лог после очистки.

 

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[Gopnik987]

Вот логи после запуска программы и сканирования.

 

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПO.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   

   CreateRestorePoint:
   CloseProcesses:
   HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
   HKU\S-1-5-21-3681392356-865694560-1067368633-1000\...\MountPoints2: {119c1685-75aa-11e5-93cd-001e3d8af96c} - F:\AUTORUN.EXE
   HKU\S-1-5-21-3681392356-865694560-1067368633-1000\...\MountPoints2: {d97ae6c9-0597-11e7-8114-001e3d8af96c} - D:\Startme.exe
   GroupPolicy: Restriction ? <==== ATTENTION
   GroupPolicy\User: Restriction ? <==== ATTENTION
   CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
   ProxyServer: [S-1-5-21-3681392356-865694560-1067368633-1000] => dm12935403:80
   AutoConfigURL: [S-1-5-21-3681392356-865694560-1067368633-1000] => dm12935403:80
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\ihmgiclibbndffejedjimfjmfoabpcke
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\johjcheghocokbkhacbfbhojoangkpcb
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\npknnddabjhdijgmmbocdicnknegobkm
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\oghkljobbhapacbahlneolfclkniiami
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ihmgiclibbndffejedjimfjmfoabpcke
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\johjcheghocokbkhacbfbhojoangkpcb
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\npknnddabjhdijgmmbocdicnknegobkm
   C:\Users\Tz\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oghkljobbhapacbahlneolfclkniiami
   OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2017-03-01]
   OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2018-08-03]
   OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2018-06-20]
   OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2018-06-29]
   OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\jolakggdcbngpflcjfaencffnenhlddl [2017-03-10]
   OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2018-01-30]
   OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2018-05-09]
   OPR Extension: (No Name) - C:\Users\Tz\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2018-04-11]
   R2 privoxy; C:\Users\Tz\AppData\Roaming\privoxy\privoxy.exe [339968 2015-10-28] () [File not signed] <==== ATTENTION
   Folder: C:\Program Files\Common Files\{E0B8BAAA-972F-7B22-34B7-94DBD78B5BF7}
   virustotal: C:\Users\Tz\exe.exe
   2016-01-26 19:23 - 2016-01-26 19:23 - 000000000 _____ () C:\Users\Tz\AppData\Roaming\smw_inst
   Task: {1D8F0150-F6C6-438E-B711-0782EC17DC60} - \Microsoft\C3B627D0BD1F9647D45166FCF4EC1FADSB -> No File <==== ATTENTION
   Task: {317BCE52-8344-47FE-B435-A19F3229176A} - System32\Tasks\{CE2E493D-3354-42EB-A8A8-3D3AD4396257} => C:\Program Files\Google\Chrome\Application\chrome.exe 
   Task: {373BD228-2707-48D2-89D9-9C809E9B2E89} - System32\Tasks\{86962F71-DBAA-49F1-899F-E8E8E1062471} => C:\Program Files\Google\Chrome\Application\chrome.exe 
   Task: {42365D6A-4789-4408-8A36-C154EC6DE2E1} - \Microsoft\Windows\AD1C6F8DA-5AAC-4B90-AE1F-72E4F7160026 -> No File <==== ATTENTION
   Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\nethost task" /ENABLE
   Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\{1E379201-3693-4F3C-8616-E914C7209658}" /ENABLE
   Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\{709E1FF4-F681-4E65-9B87-ACC181D9A622}" /ENABLE
   Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\{86962F71-DBAA-49F1-899F-E8E8E1062471}" /ENABLE
   Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\{9DA59391-81D7-4FF0-ACE2-2AF5F489064C}" /ENABLE
   Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\{AAB11705-984F-42B8-9E95-16E8A81EA946}" /ENABLE
   Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\{B806273F-A02B-4AEF-A4BD-F3E6A9483F3C}" /ENABLE
   Task: {65E0140D-1C32-4184-9CA5-CCBAD705C67B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\{CE2E493D-3354-42EB-A8A8-3D3AD4396257}" /ENABLE
   Task: {688C4044-A826-4CA1-89DD-54835DF20105} - System32\Tasks\{709E1FF4-F681-4E65-9B87-ACC181D9A622} => C:\Program Files\Google\Chrome\Application\chrome.exe 
   Task: {759F5F1C-67F7-4E57-80B0-E7F1181EBACE} - \Microsoft\extsetupSB -> No File <==== ATTENTION
   Task: {898F029D-C85F-4746-8AB4-3D3F3A0F1F83} - \Microsoft\Windows\C3B627D0BD1F9647D45166FCF4EC1FAD -> No File <==== ATTENTION
   Task: {9AE0C99E-7AA6-4D2E-8098-07341E7054FC} - \Microsoft\Windows\C3B627D0BD1F9647D45166FCF4EC1FADSB -> No File <==== ATTENTION
   Task: {A8CF0733-B0D6-4F70-85A9-CCE8EB1966AE} - \Microsoft\Windows\extsetupSB -> No File <==== ATTENTION
   Task: {D38EDF47-DBEB-48D5-8308-F197B30BB876} - \Microsoft\C3B627D0BD1F9647D45166FCF4EC1FAD -> No File <==== ATTENTION
   C:\Users\Tz\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
   EmptyTemp:

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.

 

[mike 1]

+

1. Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите Check Browsers LNK.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да​
4. После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
5. Прикрепите этот отчет в вашей теме.

 

[Gopnik987]

Вот логи после сканирования утилитами.

 

[mike 1]

1. Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
2. Распакуйте архив с утилитой в отдельную папку.
3. Перенесите Check_Browsers_LNK.log на ClearLNK
4. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
5. Прикрепите этот отчет к своему следующему сообщению.

 

[Gopnik987]

Вот лог после запуска скрипта.

 

[mike 1]

Что с проблемой?

 

[Gopnik987]

Ну так то после 8 поста я проблемы уже перестал замечать. Всё отлично. Я так понимаю остался выполнить скрипт по утранению уязвимостей?

 

[mike 1]

1. Удалите AdwCleaner по инструкции https://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-157905.

2. Удалите FRST. Переименуйте FRST/FRST64 в Uninstall и запустите.

3. Воспользуемся другим инструментом по устранению уязвимостей.

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[Gopnik987]

Хорошо. Спасбо за помощь.

 

[mike 1]

Лог прикрепите

 

[Gopnik987]

Спасибо, но я все уязвимости закрыл через AVZ. Тему можно закрывать.