Профилактическая проверка

vladmc · 21 Апр 2016

Профилактическая проверка

Есть подозрения на вирусы, так как браузеры активно спамят рекламой, плюс одноклассники не хотят релог делать и т.п. Пожалуйста проверьте на подозрительные объекты UVS

safety · 22 Апр 2016

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62D78D5F7B 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEONDEMAND.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2CF4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEBROKER.EXE
zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD9274CC7A9A2 64 Win32:DealPly-A [PUP]

delref FILES\BONANZADEALS\BONANZADEALSUPDATE.EXE
delall %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\BONANZADEALSLIVE.EXE
;------------------------autoscript---------------------------

chklst
delvir

regt 27
; Bonanza Deals (remove only)
exec C:\Program Files\BonanzaDeals\uninst.exe" /uninstall
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

vladmc · 22 Апр 2016

malwarebytes

safety · 22 Апр 2016

это оставьте в мбам,

Файлы: 61
HackTool.Agent, C:\Windows\Loader.exe, , [8159a20fefaa3204aec358ea9d64c13f],

остальное все удаляем,
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

vladmc · 22 Апр 2016

оставить тоесть не удалять?

vladmc · 22 Апр 2016

FRST Addition

safety · 22 Апр 2016

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

 GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-992233508-2496267281-2766587545-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (friGate CDN - доступ к сайтам) - C:\Users\Владислав\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbacbcfdfaapbcnlnbmciiaakomhkbkb [2016-02-08]
OPR Extension: (AdBlock) - C:\Users\Владислав\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2016-03-01]
EmptyTemp:
Reboot:

vladmc · 22 Апр 2016

fixlog

safety · 22 Апр 2016

если проблемы решены, завершаем профилактику
http://www.tehnari.ru/f150/t83677/

vladmc · 22 Апр 2016

спасибо за помощь

Профилактическая проверка

vladmc

Ученик

safety

Ученик

vladmc

Ученик

safety

Ученик

vladmc

Ученик

vladmc

Ученик

safety

Ученик

vladmc

Ученик

safety

Ученик

vladmc

Ученик