• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о проекте и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Вирусы и реклама

Статус
В этой теме нельзя размещать новые ответы.
P

petrovich233

Новые
Регистрация
21 Окт 2011
Сообщения
45
Реакции
0
Баллы
0
Вирусы и реклама

Доброго времени суток. проблема с explorer и chrome. Во всех браузерах поиск mail.ru. В хроме например в настройках стоит поиск гугл пишешь запрос и появляются ответы гугла буквально на секунду и редирект на поиск mail.ru. В расширениях есть какой-то salesbar который невозможно удалить пишет "Установлено в соответствии с корпоративным правилом". проверил Каспером. вирусы удалил. AdwCleaner[C1] проверил и удалил много заразы(лог прикладываю), но только ноль проблема не уходит+ плюс на компе стоит китайский архиватор (kuaizip) который тоже не удаляется. Помогите пожалуйста
вот логи uvs ИВАН-ПК_2016-05-31_01-39-50.7z — RGhost — файлообменник
AdwCleaner AdwCleaner[C1].txt — RGhost — файлообменник
 

Вложения

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код: 
;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\REOGICH\REOGICHLAUNCHERSERVICE.EXE
addsgn 1AC5299A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B25639E7BB87DDE9B7FDE9694207AFCD80BCFF58898 8 Trojan.StartPage1.24172 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\PPTASSIST\ASSISTUPDATE.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\CHEWASHQIGUSP\CHWCONFIGURATIONTASK.EXE

deldirex %SystemDrive%\USERS\ИВАН\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\PROGRAM FILES (X86)\CHEWASHQIGUSP\CHWCONFIGURATIONSERVICE.EXE32

deldirex %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
 
скрипт не запускается пишет "текст скрипта содержит ошибки, либо не содержит команд uvs, выполнение таких скриптов запрещено" что делать?
 
Проверил скрипт в программе. вот скрин. видимо вирус в буфере обмена добавляе какие то скрытые символы. Создайте пожалуйста файл со скриптом
 
Вот сам скрин

Вот скрин экрана.
 

Вложения

  • скрипт.webp
    скрипт.webp
    1.7 KB · Просмотры: 163
убрал заглушку в скрипте, пробуйте еще раз его выполнить
 
лог malware

Сделал лог malware
 

Вложения

Удалите все найденое.
Сделайте чистку в AdwCleaner. После окончания сканирования снимите галочки с записей Mail.ru и Yandex если таковые будут и вы ими пользуетесь. И нажмите Очистить
После перезагрузки выполните и выложите логи Farbar Recovery Scan Tool
 
Логи

Вот логи сделал
 

Вложения

Скопируйте код ниже в Блокнот
Код: 
ShellExecuteHooks:  - {7AD1C0F5-07A2-40E5-8608-C6EAA0FF362F} - C:\Users\Иван\AppData\Roaming\Microsoft\Windows\Cookies\x64explibss.dll No File [ ]
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll [2016-05-27] ()
ShellIconOverlayIdentifiers: [VeriFace Enc] -> {771C7324-DA80-49D3-8017-753B0AF60951} => C:\windows\system32\IcnOvrly.dll [2011-12-21] ()
Tcpip\..\Interfaces\{46BC8709-15D3-4823-B614-B58839B51910}: [DhcpNameServer] 172.168.130.2
FF Homepage: hxxp://mail.ru/cnt/10445?gp=789182
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7BA8C55295-707E-4C9A-B3D0-E78B380C3685%7D&gp=789233
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
R2 KuaizipUpdateChecker; C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll [219072 2016-05-27] ()
U3 BcmSqlStartupSvc; no ImagePath
U2 CLKMSVC10_3A60B698; no ImagePath
U2 CLKMSVC10_C3B3B687; no ImagePath
U2 DriverService; no ImagePath
U2 IAStorDataMgrSvc; no ImagePath
U2 iATAgentService; no ImagePath
U2 idealife Update Service; no ImagePath
U3 IGRS; no ImagePath
U2 IviRegMgr; no ImagePath
U2 nvUpdatusService; no ImagePath
U2 Oasis2Service; no ImagePath
U2 PCCarerService; no ImagePath
U2 ReadyComm.DirectRouter; no ImagePath
U2 RichVideo; no ImagePath
U2 RtLedService; no ImagePath
U2 SeaPort; no ImagePath
U2 SoftwareService; no ImagePath
U3 SQLWriter; no ImagePath
Task: {08B68DDB-2B8B-471A-BCA5-D02767BFFFF2} - System32\Tasks\KuaiZip_Update => C:\Program Files\їмС№\X86\Update.exe [2016-05-27] (Shanghai Guangle Network Technology Ltd)
Task: {1A0C5BC0-0ADD-4338-BCC6-485F9FF33581} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-05-27] (AVAST Software)
Task: {4FA411DF-D988-4CCD-A629-2EAFA63A1E49} - \ttwifi -> No File <==== ATTENTION
Task: {5EEEF196-B6BD-4806-9197-F5CE642A228A} - \Anqhsttask -> No File <==== ATTENTION
Task: {8D1129CF-34D6-496C-92C8-8BEC494D19FB} - \Anaqatoch Host -> No File <==== ATTENTION
Task: {D488548D-D9B7-4FFB-A770-35FF561C6382} - \Chewashqigusp Configuration -> No File <==== ATTENTION
2016-05-27 09:41 - 2016-05-27 09:41 - 00338368 _____ () C:\Program Files\їмС№\X64\KZipShell.dll
EmptyTemp:
Reboot:
Сохраните его как файл fixlist.txt в папку откуда запускали Farbar Recovery Scan Tool. Запустите Farbar Recovery Scan Tool и нажмите Fix.
После чего откроется файл лога fixlog.txt выложите его сюда

П.С.
У вас есть остатки антивирусов Аваст и DrWeb в системе. Зачистите их с помощью спец утилит DrWeb и Аваст
 
Сделал

Всё сделал. Часть проблем ушло. Комп перестал тормозить. Расширение salesbar в хроме осталось и редирект на поиск mail.ru остался. реклама вроде не лезит. Вот лог
 

Вложения

petrovich233 написал(а):
Расширение salesbar в хроме осталось и редирект на поиск mail.ru остался.
Нажмите для раскрытия...
Выполните скрипт в UVS
Код: 
;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\HMCCKDBGCFPGPLJPHMIMKNCAIJCGMMEK\1.0.15_0\SALESBAR
delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\7.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
regt 27
deltmp
delnfr
restart
Проверьте проблему
 
не выполняется

Ошибка скрипта такая же как и была в первом скрипте
 
не выполняется

скрипт не запускается пишет "текст скрипта содержит ошибки, либо не содержит команд uvs, выполнение таких скриптов запрещено"
 
Подправил. Еще раз попробуйте
 
Сделал

Всё осталось как было. в других браузерах Всё нормально.
 
Последний скрипт еще раз подправил. Попробуйте.
После перезагрузки в папке с UVS будт файл типа: дата_log.txt. ВЫложите самый свежий
 
Заработало

Всё отлично. Расширение удалилось и редирект пропал. Спасибо огромное за помощь.
 

Вложения

Всё сделал. Спасибо большое за помощь
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху