Решена Ноутбук жены

[ScriptMakeR]

Приветствую, Уважаемые!
Что-то я совсем про Вас позабыл

Тут у жены на ноуте кто-то зловредов накачал. Гляньте логи, пожалуйста

 

[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Kometa
Unity Web Player
Амиго
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\1288~1\appdata\local\temp\067b.tmp');
 TerminateProcessByName('c:\users\Лена\appdata\local\temp\7647.tmp.exe');
 StopService('netfilter2');
 StopService('SvcHost Service Host');
 QuarantineFile('C:\Users\Лена\AppData\Local\xpon\xpon.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Local\wupdate\wupdate.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Local\SearchGo\searchgo.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Local\PowerMonitor\PowerMonitor.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Tortoise\TortoiseOverlay.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\xpon.sys','');
 QuarantineFile('c:\users\1288~1\appdata\local\temp\067b.tmp', '');
 QuarantineFile('c:\users\Лена\appdata\local\temp\7647.tmp.exe', '');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\Вoйти в Интeрнет.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\Амиго.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\ВКонтакте.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk', '');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Tortoise\TortoiseOverlay.dll','32');
 DeleteFile('C:\Users\Лена\AppData\Local\PowerMonitor\PowerMonitor.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Local\SearchGo\searchgo.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Local\wupdate\wupdate.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Local\xpon\xpon.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\xpon.sys','32');
 DeleteFile('c:\users\1288~1\appdata\local\temp\067b.tmp', '32');
 DeleteFile('c:\users\Лена\appdata\local\temp\7647.tmp.exe', '32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe', '32');
 DeleteFile('C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe', '32');
 DeleteFile('C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe', '32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Notepad" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "xpon" /F', 0, 15000, true);
 DeleteService('netfilter2');
 DeleteService('SvcHost Service Host');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 DelCLSID('{CBF88FC2-F150-4F29-BC80-CE30EFD1B62C}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xdrnuxkvzf');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[ScriptMakeR]

До скрипта все жутко тупило. Вроде все удалил через панель управления.
Пытался еще боковую панель Комета удалить, но не получилось.

 

[Sandor]

боковую панель Комета удалить, но не получилось.

Попробуйте удалить через Revo Uninstall

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[ScriptMakeR]

Попробуйте удалить через Revo Uninstall

Я ее вчера из списка установленных удалил случайно. Теперь ее ни панель, ни CCleaner, ни Revo Uninstall не видят.
Но с ней я уж как-нить потом и сам справлюсь.

 

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Прокси
  • Политики IE
  • Политики Chrome
    и нажмите Ok.
• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[ScriptMakeR]

Готовенько

 

[Sandor]

• Запустите FRST/FRST64
• Нажмите комбинацию Ctrl+y - откроется Блокнот
• Скопируйте в него следующий код:
  

  start
  CreateRestorePoint:
  HKLM\...\Winlogon: [Userinit] C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe,C:\Windows\system32\userinit.exe,
  HKU\S-1-5-21-4212443356-1451427896-2642487668-1001\...\Winlogon: [Shell] C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe <==== ATTENTION
  ShellIconOverlayIdentifiers: [TortoiseOverlay] -> {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} =>  -> No File
  Toolbar: HKLM - No Name - {0BF43445-2F28-4351-9252-17FE6E806AA0} -  No File
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://lonsale.ru/?utm_source=startpage03wmt&utm_content=48ce9a5751d4a2f4214e3814776ef355&utm_term=45893E6678D8502047BF054CD0219AC1&utm_d=20170508
  FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B1F08FF8A-9B3F-4932-9698-067820F36163%7D&gp=831106
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-05-08]
  FF Extension: (Поиск@Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-05-08]
  FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-08]
  CHR HomePage: Default -> mail.ru
  CHR NewTab: Default ->  Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
  CHR DefaultSearchURL: Default -> hxxp://pelyena.ru/search?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> wsearch
  CHR Extension: (Mail.Ru) - C:\Users\Лена\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2017-05-08]
  CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Лена\AppData\Local\Google\Chrome\User Data\Default\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-05-08]
  2017-05-08 13:38 - 2017-05-09 18:23 - 00000000 ____D C:\Users\Лена\AppData\Local\xpon
  2017-05-08 13:30 - 2017-05-08 13:30 - 00000000 ____D C:\Users\Лена\AppData\Roaming\Tortoise
  2017-05-08 13:25 - 2017-05-09 15:55 - 00000000 ____D C:\Users\Лена\AppData\Local\NetBoxLogs
  2017-05-08 12:56 - 2017-05-09 17:50 - 00000000 ____D C:\Users\Лена\AppData\LocalLow\Unity
  2017-05-08 12:56 - 2017-05-09 17:50 - 00000000 ____D C:\Users\Лена\AppData\Local\Unity
  2017-05-08 12:52 - 2017-05-09 18:44 - 00001575 _____ C:\Users\Лена\Desktop\Войти в Интернет.LNK
  2017-05-08 12:46 - 2017-05-09 18:05 - 00000000 ____D C:\Users\Лена\AppData\Local\PowerMonitor
  2017-05-08 12:46 - 2017-05-08 14:55 - 00000000 ____D C:\Users\Лена\AppData\Local\wupdate
  2017-05-08 12:45 - 2017-05-08 12:45 - 00001642 _____ C:\Users\Лена\Desktop\Войны престолов.lnk
  2017-05-08 12:45 - 2017-05-08 12:45 - 00000000 ____D C:\Users\Лена\AppData\Local\Войны престолов
  Task: {FF7825EF-5D35-47A6-ADAE-EAC16B50BF7B} - System32\Tasks\MSI => C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe [2017-05-08] ()
  EmptyTemp:
  Reboot:
  end

• Сохраните (Ctrl+s) и закройте.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[ScriptMakeR]

Нажмите комбинацию Ctrl+y - откроется Блокнот

Блокнот не открывактся

 

[Sandor]

Тогда создайте рядом с файлом FRST64.exe текстовый файл с именем fixlist.txt, скопируйте в него код, сохраните и закройте.

 

[ScriptMakeR]

Сделал

 

[Sandor]

Что сейчас с проблемой?

 

[ScriptMakeR]

Похоже, что все нормально.
Благодарю за содействие

 

[Sandor]

Завершающие шаги:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[ScriptMakeR]

Вот

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
Internet Explorer 11.545.10586.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
WinRAR 4.00 бета 7 (32-разрядная) v.4.00.7 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50901.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.30 v.7.30.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43580 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
JavaFX 2.1.0 v.2.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
JavaFX 2.1.0 SDK v.2.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u131-windows-i586.exe).
Java(TM) 6 Update 26 v.6.0.260 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
Java 7 Update 65 v.7.0.650 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
Java SE Development Kit 7 Update 4 v.1.7.0.40 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u131-windows-i586.exe).
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.5.4.42 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader X (10.1.3) - Russian v.10.1.3 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.58.0.3029.96 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Pandora Service Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


Прочтите и выполните Рекомендации после удаления вредоносного ПО