В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

suvandre: плановая проверка

отредактировано December 2016 Раздел: Форум лечения заражений
здесь
Плановая проверка
логи uVS 1ый компьютер http://rgho.st/8VpTl5hBk
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
«13

Комментарии

  • выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v3.87.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    chklst
    delvir
    
    delref %SystemDrive%\PROGRAM FILES (X86)\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref D:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHOLIHDLDFGEKMJFDHDINPFJBFNHCPHIA%26INSTALLSOURCE%3DONDEMAND%26UC
    
    REGT 27
    REGT 28
    REGT 29
    
    deltmp
    delnfr
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните сканирование (угроз) в Malwarebytes
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Плановая проверка
    логи uVS 2ой компьютер http://rgho.st/8bsb6f5tv
  • по 2 компу:
    этот скрипт надо выполнить из безопасного режима системы. (Safe mode)

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v3.87.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    OFFSGNSAVE
    
    sreg
    
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QQPCRTP.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\PLUGINS\QQREPAIR262E
    delref %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\QB\TSSERVICE.EXE
    delref %SystemDrive%\PROGRAM FILES\CEZURITY\ANTIVIRUS\CZAVSVC.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QMUDISK64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\QQPCHW-X64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\SOFTAAL64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\TSDEFENSEBT64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\TSNETHLPX64.SYS
    delref %Sys32%\DRIVERS\TSSKX64.SYS
    delref %Sys32%\DRIVERS\TSQBDRV.SYS
    delref %Sys32%\DRIVERS\CZ_ANTVR.SYS
    delref %Sys32%\DRIVERS\CZ_DDALL.SYS
    delref HTTP://PROPORTALPLUS.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=0DAD45E44D2600CA3BCAD6A551A9CCAB&UTM_TERM=8EF978B49D2635DCD2A716C85DE151A2
    delref %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE"
    delref HTTP://API.YOUQIAN.BAIDU.COM/V1/NAV?SOFT=12&UID=202000394&GUID=333F46C2D583D05B2EBC61960390F376&VD=2267584887
    delref HTTPS://WWW.HAO123.COM/?TN=98741884_HAO_PG
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\KOMETA\APPLICATION\KOMETA.EXE
    delref %SystemDrive%\PROGRAM FILES\CEZURITY\ANTIVIRUS\CEZURITY_ANTIVIRUS.EXE
    delref %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\QB\QQBROWSER.EXE
    areg
    
    
    перезагрузка, пишем о старых и новых проблемах.
    +
    добавить новый образ автозапуска из нормального режима.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • логи uVS 2-ой компьютер, повторная проверка http://rgho.st/85L6XTMQb
  • отредактировано December 2016 PM
    по второму компу скрипт можно выполнить из нормального режима.
    (если есть закладки в браузере, сделайте копию закладок в файл.)

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v3.87.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    OFFSGNSAVE
    zoo %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
    addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]
    
    del %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\LOADLEADER\LOADLEADER.EXE
    ;------------------------autoscript---------------------------
    
    chklst
    delvir
    
    deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\TENCENT\QQBROWSER\USER DATA\ICONOVERLAY
    
    deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\WEBSAFE
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC
    
    deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\PLUGINS\FILESMASH
    
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
    
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU
    
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\1.2.9.3_0\СТАРТОВАЯ — ЯНДЕКС
    
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.25_0\ПОИСК MAIL.RU
    
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.0.1_0\СТАРТОВАЯ — ЯНДЕКС
    
    deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC
    
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
    
    deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2
    
    deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\MEDIAGET2
    
    deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\TENCENT\QQBROWSER\USER DATA\MODULEDLL\{0508DF1F-2AB6-4FAC-A99E-45BBBF24E1E6}\9.0.0.200
    
    deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\TENCENT\QQBROWSER\USER DATA\SSO
    
    deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\TENCENT\QQBROWSER\USER DATA\DEFAULT\EXTENSIONS\LLILEJMACJGHPGEENJONAGGOFDJOBDHB\9.0.0.345_0
    
    deldirex %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.512
    
    deldirex %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\ASPACKAGE
    
    deldirex %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE
    
    del %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT
    
    delref HTTP:\\PROPORTALPLUS.RU\?UTM_SOURCE=STARTLINK03&UTM_TERM=8EF978B49D2635DCD2A716C85DE151A2
    
    deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR
    
    REGT 27
    REGT 28
    REGT 29
    
    ; AnySend
    exec  C:\Users\вход\AppData\Roaming\ASPackage\Uninstall.exe
    ; Time tasks
    exec C:\ProgramData\TimeTasks\uninstall.exe
    deltmp
    delnfr
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    желательно сделать очистку в малваребайт.
    (много мусора, хотя и неактивного может еще остаться.)
    выполните быстрое сканирование (угроз) в Malwarebytes
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • второй скрипт на второй машине не выполняется ... выскакивает мессендж "Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено."
  • отредактировано December 2016 PM
    Андрей,
    скрипт переносишь с одной машины на другую машину, или копируешь из браузера в uVS на проблемной машине? перенос скрипта с одной машины на другую может быть с ошибкой из за изменения кодировки файла.
    ошибки в скрипте быть не может, потому что он автоматически создан.
    сейчас продублирую еще раз скрипт но уже в файл.

    скрипт можно скачать отсюда
    http://rgho.st/private/7KHjrRKRJ/c66c96b75c59f20864b47e05e5bca155
    так же стартуем uVS,
    но выполняем теперь скрипт из файла.
    файл скрипта предварительно перенести на проблемную машину.

    пишем результат.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Всё отлично отработалось! Спасибо!
  • Андрей, сделайте еще проверку в малваребайт
    http://forum.esetnod32.ru/forum9/topic10688/
    после завершения сканирования добавьте лог сканирования.
    (на этой машине наверняка много мусора неактивного осталось)
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2018 PM
    Саша привет! С Новым годом! Расти большой и не кашляй! Береги здоровье! Будь терпелив и плюй на все трудности этой жизни! :) Удачи тебе дружище! Мирного неба над головой! Надёжных друзей! Всех благ земных!
  • по Дню Рождения - это косяк аськи, попозже у меня будет ДР. :)
    Андрей, с твоего разрешения исправлю это на поздравление с Новым годом! :)
    спасибо!

    по очистке системы:

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER
    
    deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\MEDIAGET2
    
    delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 17.0.0\AVPUI.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 17.0.0\PLUGINS-SETUP.EXE
    delall %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\QB\QQBROWSER.EXE
    delall %SystemDrive%\QMDOWNLOAD\SOFTMGR\QQBROWSER_SETUP_QQPCMGR_9.4.8309.400.EXE
    delall %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\TXQBINSTX2.EXE
    delall %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\QB\UNINST.EXE
    delall %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\QB\9.5.9507.400\WEBP\WEBPDECODEFILTER.DLL
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDPGLLBNILFCBCKBDCHJCFGOPIJGLLCM%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.15_0\СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\MDPLJNDCMBEIKFNLFLCGGAIPGNHIEDBL\7.54_0\SAVEFROM.NET ПОМОЩНИК
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
    apply
    
    ; AnySend
    exec  C:\Users\вход\AppData\Roaming\ASPackage\Uninstall.exe
    ; Time tasks
    exec C:\ProgramData\TimeTasks\uninstall.exe
    deltmp
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\AVAST! ANTIVIRUS\BACKUP.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\DRIVERPACK CLOUD\DRIVERPACKCLOUD.EXE
    delref %SystemDrive%\USERS\ВХОД\DESKTOP\ADGUARDINSTALLER.EXE
    delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
    delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
    delref %SystemRoot%\SYSWOW64\UMPO.DLL
    delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
    delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
    delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
    delref %SystemRoot%\SYSWOW64\LSM.EXE
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\AVG\FRAMEWORK\COMMON\AVGUIRNA.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref %Sys32%\DRIVERS\RDVGKMD.SYS
    delref %Sys32%\BLANK.HTM
    delref %Sys32%\PSXSS.EXE
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRA~2\AVG\AV\TUNEUP\TUMICR~1.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\DRIVERPACK CLOUD\SETUP.EXE
    delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\LOADLEADER\LOADLEADER.EXE
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните сканирование (угроз) в Malwarebytes
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Доброго дня! Комп грузится как и прежде очень очень долго, но после загрузки вроде работает нормально. На этом компе до uVS и после выполнения скрипта при загрузке выползает вкладка (и сама потом пропадает) такого содержания:

    Пользовательский сценарий хочет получить доступ к ресурсу с запросом происхождения.

    ИМЯ SaveFrom.net helper

    TAB URL https://ok.ru/feed

    DESTINATION

    DOMAIN s586.thetrafficstat.net

    DESTINATION

    URL https://s586.thetrafficstat.net/related

    На вкладку источникаПропустить тайм-аут (3 секунд)

    Запрос происхождения ресурса не является чем-то необычным. Вы просто должны проверить, есть ли у этого сценария достаточный повод для получения доступа к этому домену. К примеру, у пользовательского сценария есть очень мало причин для связи с вашим банком. Обратите внимание, что авторы пользовательского сценария могут избежать этого диалога путем добавления тега @connect ⬀ к своим сценариям. Независимо от того, что вы решите, вы в любое время можете изменить свое решение на вкладке настроек ⬀ сценария.

    Разрешить 1 разВременно разрешитьВсегда разрешатьВсегда разрешать доменуAlways allow all domains

    Запретить 1 разВсегда запрещатьВсегда запрещать домену
  • отредактировано January 2018 PM
    Андрей,

    далее,
    выполните сканирование (угроз) в Malwarebytes

    если установилось Premium версия, тогда надо деактивировать лицензию до Free версии.

    5qmi89rytp68.jpg
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Андрей,
    удаляйте все найденное в malwarebytes,
    перегрузите систему
    далее,

    3.сделайте проверку в АдвКлинере
    http://forum.esetnod32.ru/forum9/topic7084/

    *****
    4.в АдвКлинере, после завершения проверки,
    в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
    остальное удалите по кнопке Очистить
    далее,

    5.сделайте проверку в FRST
    http://forum.esetnod32.ru/forum9/topic2798/

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Хочу уточнить:
    не удалять файлы, пути которых включают в себя mail.ru, yandex.ru - я правильно понял или нет?
    Есть например файл MAILRU.XML - как к нему относится?

    на всякий случай высылаю логи АдвКлинер, возможно мой вопрос будет более понятен http://rgho.st/private/6dfkRSbCv/e2d21c84728717253c278324ba5cd222
  • Андрей,
    да, можно и mailru.xml исключить из очистки
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • 6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    FF Extension: (No Name) - C:\Users\вход\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\f4f0-63a7-1619-1e28 [2016-04-01] [not signed]
    FF Extension: (Disable Crash Auto Submit) - C:\Users\вход\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\features\{c5492a93-53d4-4142-8d76-c53edee3e2e3}\[email protected] [2018-01-16] [Legacy]
    FF Extension: (Disable JavaScript Shared Memory) - C:\Users\вход\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\features\{c5492a93-53d4-4142-8d76-c53edee3e2e3}\[email protected] [2018-01-16] [Legacy]
    FF HKLM-x32\...\Firefox\Extensions: [{0DB87752-EDD2-4ddf-8AE4-A020088EF267}] - D:\Программы\GetGo Download Manager\GGMoz
    FF Extension: (GetGo Firefox Addon) - D:\Программы\GetGo Download Manager\GGMoz [2016-02-04] [Legacy] [not signed]
    CHR Extension: (Как много верст впереди! — ВСП.RU) - C:\Users\вход\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekjpcgheldojlbdbmbekdklpjekgcfad [2017-07-26]
    CHR Extension: (Smile Mania) - C:\Users\вход\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbdbpdkklagdgkmiimpneaefocjnnbef [2015-12-30]
    CHR HKU\S-1-5-21-55335483-1723919434-662101565-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx
    OPR Extension: (0) - C:\Users\вход\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2017-01-19]
    U3 ACVEACSWETQB; no ImagePath
    U3 browsersrvqb; no ImagePath
    U3 tencentqbserv; no ImagePath
    Task: {8AC36783-1305-404D-860F-018ABD815650} - \{3EC74EB2-E43B-47E1-A899-DFF5747F8573} -> No File <==== ATTENTION
    Task: {8B2E4DC4-BA6F-480E-99EE-8F5E333F86EE} - \GMon Updater -> No File <==== ATTENTION
    Task: {95AED8DC-995E-4770-A0D3-CC2933D20D68} - \{B5A473FA-7A2D-49B6-920A-BEEBB7FC99D5} -> No File <==== ATTENTION
    Task: {99502664-61D7-43CC-A724-123C78DDC874} - \Microsoft\Windows\399E1A89-0B5F-4C43-A762-F159477A3418 -> No File <==== ATTENTION
    Task: {B0FE6293-3B8D-4355-89A5-590D469529D7} - \{513654EE-1E66-4AC6-A14F-DBD621AF46A9} -> No File <==== ATTENTION
    Task: {B67F884D-8C50-4729-AF04-C86E9D796FEA} - \{7760A234-42AA-41EC-9CE4-32F8A73445BD} -> No File <==== ATTENTION
    Task: {FB765230-80A9-47B3-9B4C-68C7307E3FF5} - \Запуск Cezurity Antivirus Scanner во время простоя компьютера -> No File <==== ATTENTION
    Task: {4AD4E1E8-5971-42AD-B834-4FA7582CE9C8} - \{DAB62BE7-4588-4052-B42C-E9DBB78F18FF} -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Андрей,
    все процедуры по очистке мы выполнили. (по первому кругу :))
    сделайте теперь еще раз образ автозапуска для контроля системы.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • попробуйте сделать:
    1. скачайте актуальную версию ccleaner, установите ее, и выполните очистку системы с помощью ccleaner
    http://download.piriform.com/ccsetup539.exe

    2. если не поможет очистка в ccleaner, деинсталлируйте malwarebytes, проверьте результат.
    3.
    3. если не поможет п.2 деинсталлируйте AVAST и установите другой антивирус: например AVIRA FREE .
    https://www.avira.com/ru/download/product/avira-free-antivirus
    скачайте полную версию для установки.
    so2zh5pz1iwr.jpg

    проверьте результат.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Добрый день! Проверяем и чистим компьютер (просто плановая проверка)! Логи прилагаю.
  • добрый день! не вижу логи.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Саша, привет! Файл не крепится. сейчас сделаю через файлообменник
  • да, здесь логи лучше заливать на обменник :)
    судя по образу, все, ок, ничего серьезного, можно почистить систему от мусора.

    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    apply
    
    deltmp
    delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AF85355239DE1033EFA61C490259E863\023C30AA6565614593F0D1E789DDC000559D2280
    delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
    delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
    delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
    delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
    delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
    delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
    delref %SystemRoot%\SYSWOW64\UMPO.DLL
    delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
    delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
    delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
    delref %SystemRoot%\SYSWOW64\LSM.EXE
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref %SystemRoot%\SYSWOW64\WIN32K.SYS
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
    delref %Sys32%\BLANK.HTM
    delref HELPSVC\[SERVICE]
    delref SACSVR\[SERVICE]
    delref TBS\[SERVICE]
    delref VMMS\[SERVICE]
    delref MESSENGER\[SERVICE]
    delref RDSESSMGR\[SERVICE]
    delref %SystemDrive%\1\AMIFLDRV64.SYS
    delref %Sys32%\PSXSS.EXE
    delref D:\USERS\NATALY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER_64.DLL
    delref D:\USERS\NATALY\APPDATA\LOCAL\GOOGLE\UPDATE\1.2.183.23\GOOPDATE.DLL
    delref D:\USERS\NATALY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER.DLL
    delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
    delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO CC 2018\WMENCODINGHELPER.EXE
    delref %Sys32%\SHAREMEDIACPL.CPL
    delref G:\AUTORUN.EXE
    delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
    delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
    delref D:\USERS\NATALY\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKSTARTER.EXE
    delref G:\DIRECTX\DXSETUP.EXE
    delref G:\DEMOS\PENUMBRA2\SETUP.EXE
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    сделайте дополнительно быструю проверку системы в малваребайт
    http://forum.esetnod32.ru/forum9/topic10688/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Проверяем и чистим компьютер №2! Логи здесь
Войдите или Зарегистрируйтесь чтобы комментировать.