• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о проекте и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Ещё одна тема про sd-steam

Статус
В этой теме нельзя размещать новые ответы.
P

Pavel1596

Ученик
Регистрация
25 Авг 2016
Сообщения
9
Реакции
0
Баллы
0
Ещё одна тема про sd-steam

Добрый день, пробовал удалить самостоятельно, удалял из реестра, из автозагрузки, удалял с помощью Grindin Anti-Malware, результат один - перезагрузка и всё восстанавливается... читал такие же темы на вашем сайте, и я так понял, что скрипт для каждого разный и без создания новой темы не обойтись...
образ автозагрузки прилогаю
Посмотреть вложение ORIGAMI012_2016-08-25_10-09-21.rar
 
образ я посмотрю, напишите, каким образом вы получили заражение этой страницей?
 
я сам и не знаю... возможно при установке movavi video converter, до этого с таким не сталкивался...
 
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код: 
;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SD-STEAM.INFO

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
добавьте новый образ автозапуска
http://www.tehnari.ru/f150/t81269/
и
сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/
 
да, в образе пока все чисто, но проблема может вернуться после нескольких перезагрузок,
поэтому:

1. сделайте из regedit импорт этих ключей из реестра в отдельные файлы:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{38E62C4F-F12E-4A61-82E9-194934BFFB3F}
Нажмите для раскрытия...
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{38E62C4F-F12E-4A61-82E9-194934BFFB3F}
Нажмите для раскрытия...
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Origami012
Нажмите для раскрытия...
2
далее,
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код: 
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
Task: {38E62C4F-F12E-4A61-82E9-194934BFFB3F} - \Origami012 -> No File <==== ATTENTION
EmptyTemp:
Reboot:
 
сейчас нашёл его в реестре
HKEY_USERS\S-1-5-21-2796159674-487656957-3052101905-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
здесь и ниже надо будет убрать пробелы,
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{38E62C4F-F12E-4A61-82E9-194934BFFB3F}
 
это сделали перед выполнением скрипта в FRST?

1. сделайте из regedit импорт этих ключей из реестра в отдельные файлы:
.....
Нажмите для раскрытия...

если да, то добавьте эти файлы на форум в ваше сообщение.
 
сделайте теперь еще раз проверку в FRST
 
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код: 
HKU\S-1-5-21-2796159674-487656957-3052101905-1001\...\Run: [Origami012] => explorer.exe hxxp://sd-steam.info <===== ATTENTION
CHR StartupUrls: Default -> "hxxp://worldoftanks.ru/","hxxp://badapps.ru/","hxxp://torba.ws/","hxxp://battlelog.battlefield.com/bf3/ru/servers/?post-check-sum=9a33cc3b25&filtered=1&expand=1&gameexpansions=0&q=&gamepresets=1&premium=-1&ranked=1&punkbuster=1&mapRotation=-1&modeRotation=-1&password=-1&gameSize=32&gamemodes=64&maps=MP_012&settings=&regions=&country=","hxxp://tera.by/index.php","hxxp://www.youtube.com/?gl=RU&hl=ru","hxxp://torba.ws/","hxxp://wot-news.com/","hxxp://www.yandex.ru/?win=103&clid=2052585"
Task: {38E62C4F-F12E-4A61-82E9-194934BFFB3F} - \Origami012 -> No File <==== ATTENTION
EmptyTemp:
Reboot:
 
выполнил, всё норм, написало только одно-отключён контроль учётных записей(уже включил). спасибо за помощь!)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху