Решена Множественные Boot Bus Extender в секции драйверов логов AVZ

Статус
В этой теме нельзя размещать новые ответы.
Отключи антивирус, запусти АВЗ от имени админа выполни скрипт

Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\se','command');
RebootWindows(false);
end.

сделай свежие логи автологером.

это тоже удаляй.
перед тем как удалить.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

+ Java 7 Update 15 удали, Амиго - также рекомендую удалить.

И уточни ставили или нет Facebook Video Calling 3.1.0.521.
Спроси у хозяина сам он ставил или нет эту прогу, если не сам тогда деинсталируй
её нет в установленных так что деинсталировать не получится ;).
И проги наверное на компе уже нет, просто осталась запись в реестре.
 
Скрипт выполнил, логи собрал, Java 7 Update 15 удалил, Амиго в установленных не нашел по пути C:\Users\user\AppData\Local\Amigo\Application\ пусто, Facebook Video Calling 3.1.0.521 он сам ставил. Делал все именно в этом порядке :)
C:\Program Files (x86)\Mobogenie в системе нет уже, он про нее, как и ожидалось, ничего не знает.
А вот это NetSecurity 30.2.5 забыл удалить. Пока бегал по работе, забыл про рекомендации на предыдущей странице.
NetSecurity 30.2.5 удалил.
Проблема на месте :)
 

Вложения

  • Addition.txt
    41.7 KB · Просмотры: 3
  • FRST.txt
    48.3 KB · Просмотры: 3
  • Shortcut.txt
    197.1 KB · Просмотры: 2
  • CollectionLog-2015.02.13-16.20.zip
    108 KB · Просмотры: 3
Код:
CHR Extension: (MySearch) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmnigdkbpmpllompfblooldcdkfddadk [2014-07-13]
CHR Extension: (MySearch) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmnigdkbpmpllompfblooldcdkfddadk [2014-07-13]В Хроме расширение MySearch знакомо? Если нет, то удалить.

New1 1.02 - эта программа знакома?


Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1877579243-3683764754-89335578-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Toolbar: HKU\S-1-5-21-1877579243-3683764754-89335578-1001 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - No File
FF Extension: No Name - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [Not Found]
OPR Extension: (NetSecurity) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2014-04-01]
MSCONFIG\startupreg: MailRuUpdater => C:\Users\user\AppData\Local\MailRu\MailRuUpdater.exe
MSCONFIG\startupreg: MediaGet2 => C:\Users\user\AppData\Local\MediaGet2\mediaget.exe --minimized
MSCONFIG\startupreg: mobilegeni daemon => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
MSCONFIG\startupreg: se => "C:\Users\user\AppData\Roaming\SkypEmoticons\SE.exe" /minimized 
Task: {0F4F0AB6-9394-4626-96D0-EF4510038A28} - \SystemScript No Task File <==== ATTENTION

EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

что с проблемой?
 
ScriptMakeR,после того,как сделаешь что сказано выше удали через установку и удаление программ:
RusTV Player 2.6

Потом проверь как дела.
Сделай повторный лог.
 
Последнее редактирование:
Наисвежайший,на версию 2.7
 
C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmnigdkbpmpllompfblooldcdkfddadk - удалил вручную.
New1 1.02 - не помнит, что это. Программа установлена 09.06.2013. Пока не трогаю.
Проблема еще присутствует.
Koza Nozdri,
Я сделал анализ именно того установщика, с которого установлена программа на этом компе, + проверил все файлы в ее папке. Всеравно удалять?
Сейчас соберу новые логи автологгера.
 

Вложения

  • Fixlog.txt
    3.5 KB · Просмотры: 2
Просто удали,установить по новой минута делов.
 
Логи уже собираются. Пересобрать после удаления?
 
RusTV Player 2.6 - удалил.
Логи до ее удаления.
Реклама присутствует :)
 

Вложения

  • CollectionLog-2015.02.14-12.07.zip
    106.9 KB · Просмотры: 2
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\se
Эти ключи реестра удали вручную.
Код:
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
также можно удалить.
New1 1.02
Свежий тест файла rg11333i.vbs из ее папки. Удаляю.
сначала файл заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Свежий тест файла rg11333i.vbs из ее папки.
А он где лежал, здесь?
Код:
%PROGRAMFILES%\Com\New1\
 
сначала файл заархивируйте в zip архив с паролем virus
Блин, не подумал, что мало детектов на него. Уже удалил.
New1 1.02 - удалил через панель, папку на диске зачистил вручную(там один файл оставался)
Скрипт выполнил.
В основной опере реклама осталась.
Сейчас выполню
Эти ключи реестра удали вручную.
также можно удалить.
И проверю
Рекламы нет, в основной присутствует.
если не сложно путь к папке тоже напишите
Program Files (x86)/Com/New1/
 
Блин, не подумал, что мало детектов на него. Уже удалил.
1) конечно обязательно надо разослать по вирлабам.
2) Хотелось лично посмотреть его. Похоже это свежая модификация одного старого вируса, а точней этого:
https://www.virustotal.com/ru/file/...d65892c79a0cfa08247bf093/analysis/1359709117/
http://www.threatexpert.com/report.aspx?md5=e8708f9f053d250c5b77a91677c14acc
Рекламы нет, в основной присутствует.
Отключите все расширения в браузере и проверяйте проблему.

+ дополнительно
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 
regist,
Извиняюсь, т.к. с карантинами сам не работал еще, то не выработался рефлекс зловредов по вирлабам рассылать.
З.Ы.: А в теме =Как и куда можно отправить подозрительные файлы на анализ= информация актуальная?
Отключите все расширения в браузере и проверяйте проблему.
Нашел гада Яндекс 39.0
MBAM еще нужен?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу