В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик
suvandre: плановая проверка
здесь
Плановая проверка
логи uVS 1ый компьютер http://rgho.st/8VpTl5hBk
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" перезагрузка, пишем о старых и новых проблемах.
далее,
выполните сканирование (угроз) в Malwarebytes
логи uVS 2ой компьютер http://rgho.st/8bsb6f5tv
этот скрипт надо выполнить из безопасного режима системы. (Safe mode)
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" перезагрузка, пишем о старых и новых проблемах.
+
добавить новый образ автозапуска из нормального режима.
(если есть закладки в браузере, сделайте копию закладок в файл.)
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP] del %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\LOADLEADER\LOADLEADER.EXE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\TENCENT\QQBROWSER\USER DATA\ICONOVERLAY deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\WEBSAFE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.7.17791.230\PLUGINS\FILESMASH delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\1.2.9.3_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.25_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.0.1_0\СТАРТОВАЯ — ЯНДЕКС deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108 delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2 deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\MEDIAGET2 deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\TENCENT\QQBROWSER\USER DATA\MODULEDLL\{0508DF1F-2AB6-4FAC-A99E-45BBBF24E1E6}\9.0.0.200 deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\TENCENT\QQBROWSER\USER DATA\SSO deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\TENCENT\QQBROWSER\USER DATA\DEFAULT\EXTENSIONS\LLILEJMACJGHPGEENJONAGGOFDJOBDHB\9.0.0.345_0 deldirex %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.512 deldirex %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\ASPACKAGE deldirex %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE del %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT delref HTTP:\\PROPORTALPLUS.RU\?UTM_SOURCE=STARTLINK03&UTM_TERM=8EF978B49D2635DCD2A716C85DE151A2 deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR REGT 27 REGT 28 REGT 29 ; AnySend exec C:\Users\вход\AppData\Roaming\ASPackage\Uninstall.exe ; Time tasks exec C:\ProgramData\TimeTasks\uninstall.exe deltmp delnfr ;------------------------------------------------------------- restartперезагрузка, пишем о старых и новых проблемах.далее,
желательно сделать очистку в малваребайт.
(много мусора, хотя и неактивного может еще остаться.)
выполните быстрое сканирование (угроз) в Malwarebytes
скрипт переносишь с одной машины на другую машину, или копируешь из браузера в uVS на проблемной машине? перенос скрипта с одной машины на другую может быть с ошибкой из за изменения кодировки файла.
ошибки в скрипте быть не может, потому что он автоматически создан.
сейчас продублирую еще раз скрипт но уже в файл.
скрипт можно скачать отсюда
http://rgho.st/private/7KHjrRKRJ/c66c96b75c59f20864b47e05e5bca155
так же стартуем uVS,
но выполняем теперь скрипт из файла.
файл скрипта предварительно перенести на проблемную машину.
пишем результат.
http://forum.esetnod32.ru/forum9/topic10688/
после завершения сканирования добавьте лог сканирования.
(на этой машине наверняка много мусора неактивного осталось)
Андрей, с твоего разрешения исправлю это на поздравление с Новым годом!
спасибо!
по очистке системы:
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\MEDIAGET2 delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 17.0.0\AVPUI.EXE delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 17.0.0\PLUGINS-SETUP.EXE delall %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\QB\QQBROWSER.EXE delall %SystemDrive%\QMDOWNLOAD\SOFTMGR\QQBROWSER_SETUP_QQPCMGR_9.4.8309.400.EXE delall %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\TXQBINSTX2.EXE delall %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\QB\UNINST.EXE delall %SystemDrive%\USERS\ВХОД\APPDATA\ROAMING\QB\9.5.9507.400\WEBP\WEBPDECODEFILTER.DLL delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDPGLLBNILFCBCKBDCHJCFGOPIJGLLCM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.15_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\MDPLJNDCMBEIKFNLFLCGGAIPGNHIEDBL\7.54_0\SAVEFROM.NET ПОМОЩНИК delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC apply ; AnySend exec C:\Users\вход\AppData\Roaming\ASPackage\Uninstall.exe ; Time tasks exec C:\ProgramData\TimeTasks\uninstall.exe deltmp delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\AVAST! ANTIVIRUS\BACKUP.EXE delref %SystemDrive%\PROGRAM FILES (X86)\DRIVERPACK CLOUD\DRIVERPACKCLOUD.EXE delref %SystemDrive%\USERS\ВХОД\DESKTOP\ADGUARDINSTALLER.EXE delref %SystemRoot%\SYSWOW64\TBSSVC.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\AVG\FRAMEWORK\COMMON\AVGUIRNA.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\DRIVERS\RDVGKMD.SYS delref %Sys32%\BLANK.HTM delref %Sys32%\PSXSS.EXE delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRA~2\AVG\AV\TUNEUP\TUMICR~1.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\USERS\ВХОД\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE delref %SystemDrive%\PROGRAM FILES (X86)\DRIVERPACK CLOUD\SETUP.EXE delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\LOADLEADER\LOADLEADER.EXE ;------------------------------------------------------------- restartперезагрузка, пишем о старых и новых проблемах.далее,
выполните сканирование (угроз) в Malwarebytes
Пользовательский сценарий хочет получить доступ к ресурсу с запросом происхождения.
ИМЯ SaveFrom.net helper
TAB URL https://ok.ru/feed
DESTINATION
DOMAIN s586.thetrafficstat.net
DESTINATION
URL https://s586.thetrafficstat.net/related
На вкладку источникаПропустить тайм-аут (3 секунд)
Запрос происхождения ресурса не является чем-то необычным. Вы просто должны проверить, есть ли у этого сценария достаточный повод для получения доступа к этому домену. К примеру, у пользовательского сценария есть очень мало причин для связи с вашим банком. Обратите внимание, что авторы пользовательского сценария могут избежать этого диалога путем добавления тега @connect ⬀ к своим сценариям. Независимо от того, что вы решите, вы в любое время можете изменить свое решение на вкладке настроек ⬀ сценария.
Разрешить 1 разВременно разрешитьВсегда разрешатьВсегда разрешать доменуAlways allow all domains
Запретить 1 разВсегда запрещатьВсегда запрещать домену
далее,
выполните сканирование (угроз) в Malwarebytes
если установилось Premium версия, тогда надо деактивировать лицензию до Free версии.
удаляйте все найденное в malwarebytes,
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,
5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
не удалять файлы, пути которых включают в себя mail.ru, yandex.ru - я правильно понял или нет?
Есть например файл MAILRU.XML - как к нему относится?
на всякий случай высылаю логи АдвКлинер, возможно мой вопрос будет более понятен http://rgho.st/private/6dfkRSbCv/e2d21c84728717253c278324ba5cd222
да, можно и mailru.xml исключить из очистки
http://rgho.st/private/925rKZHNd/079b4b4ca24bcb9e1a11db6e8f35b437
http://rgho.st/private/6xNmfXHtc/371697bbd33ede0686a0dec8c2dfd1f6
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
GroupPolicy: Restriction <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION FF Extension: (No Name) - C:\Users\вход\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\f4f0-63a7-1619-1e28 [2016-04-01] [not signed] FF Extension: (Disable Crash Auto Submit) - C:\Users\вход\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\features\{c5492a93-53d4-4142-8d76-c53edee3e2e3}\disable-crash-autosubmit@mozilla.org.xpi [2018-01-16] [Legacy] FF Extension: (Disable JavaScript Shared Memory) - C:\Users\вход\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\features\{c5492a93-53d4-4142-8d76-c53edee3e2e3}\disable-js-shared-memory@mozilla.org.xpi [2018-01-16] [Legacy] FF HKLM-x32\...\Firefox\Extensions: [{0DB87752-EDD2-4ddf-8AE4-A020088EF267}] - D:\Программы\GetGo Download Manager\GGMoz FF Extension: (GetGo Firefox Addon) - D:\Программы\GetGo Download Manager\GGMoz [2016-02-04] [Legacy] [not signed] CHR Extension: (Как много верст впереди! — ВСП.RU) - C:\Users\вход\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekjpcgheldojlbdbmbekdklpjekgcfad [2017-07-26] CHR Extension: (Smile Mania) - C:\Users\вход\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbdbpdkklagdgkmiimpneaefocjnnbef [2015-12-30] CHR HKU\S-1-5-21-55335483-1723919434-662101565-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx OPR Extension: (0) - C:\Users\вход\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2017-01-19] U3 ACVEACSWETQB; no ImagePath U3 browsersrvqb; no ImagePath U3 tencentqbserv; no ImagePath Task: {8AC36783-1305-404D-860F-018ABD815650} - \{3EC74EB2-E43B-47E1-A899-DFF5747F8573} -> No File <==== ATTENTION Task: {8B2E4DC4-BA6F-480E-99EE-8F5E333F86EE} - \GMon Updater -> No File <==== ATTENTION Task: {95AED8DC-995E-4770-A0D3-CC2933D20D68} - \{B5A473FA-7A2D-49B6-920A-BEEBB7FC99D5} -> No File <==== ATTENTION Task: {99502664-61D7-43CC-A724-123C78DDC874} - \Microsoft\Windows\399E1A89-0B5F-4C43-A762-F159477A3418 -> No File <==== ATTENTION Task: {B0FE6293-3B8D-4355-89A5-590D469529D7} - \{513654EE-1E66-4AC6-A14F-DBD621AF46A9} -> No File <==== ATTENTION Task: {B67F884D-8C50-4729-AF04-C86E9D796FEA} - \{7760A234-42AA-41EC-9CE4-32F8A73445BD} -> No File <==== ATTENTION Task: {FB765230-80A9-47B3-9B4C-68C7307E3FF5} - \Запуск Cezurity Antivirus Scanner во время простоя компьютера -> No File <==== ATTENTION Task: {4AD4E1E8-5971-42AD-B834-4FA7582CE9C8} - \{DAB62BE7-4588-4052-B42C-E9DBB78F18FF} -> No File <==== ATTENTION EmptyTemp: Reboot:все процедуры по очистке мы выполнили. (по первому кругу
сделайте теперь еще раз образ автозапуска для контроля системы.
1. скачайте актуальную версию ccleaner, установите ее, и выполните очистку системы с помощью ccleaner
http://download.piriform.com/ccsetup539.exe
2. если не поможет очистка в ccleaner, деинсталлируйте malwarebytes, проверьте результат.
3.
3. если не поможет п.2 деинсталлируйте AVAST и установите другой антивирус: например AVIRA FREE .
https://www.avira.com/ru/download/product/avira-free-antivirus
скачайте полную версию для установки.
проверьте результат.
судя по образу, все, ок, ничего серьезного, можно почистить систему от мусора.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- apply deltmp delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AF85355239DE1033EFA61C490259E863\023C30AA6565614593F0D1E789DDC000559D2280 delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref %Sys32%\BLANK.HTM delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\1\AMIFLDRV64.SYS delref %Sys32%\PSXSS.EXE delref D:\USERS\NATALY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER_64.DLL delref D:\USERS\NATALY\APPDATA\LOCAL\GOOGLE\UPDATE\1.2.183.23\GOOPDATE.DLL delref D:\USERS\NATALY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER.DLL delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO CC 2018\WMENCODINGHELPER.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref G:\AUTORUN.EXE delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID] delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID] delref D:\USERS\NATALY\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKSTARTER.EXE delref G:\DIRECTX\DXSETUP.EXE delref G:\DEMOS\PENUMBRA2\SETUP.EXE ;------------------------------------------------------------- restartперезагрузка, пишем о старых и новых проблемах.далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/