Решена Общее лечение 2

Статус
В этой теме нельзя размещать новые ответы.

RuMax

Постоянный участник
Сообщения
414
Реакции
62
Создаю вторую тему (первая тут) для того, чтобы и второй компьютер проверить. Проблемы те же. Комп тупит, браузеры тормозят, вообще работает медленнее. Особенно одолели всплывающие вкладки. Не переходит на сайт если рекламу не покажет.
 

Вложения

  • CollectionLog-2016.01.04-18.55.zip
    83.1 KB · Просмотры: 14
Здравствуйте.
ДругВокруг 2.0 - ваше?

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора),
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
    Нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Папка Найдено : C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh
    [C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Найдено : cncgohepihcekklokhbhiblhfcmipbdh
    Файл Найдено : C:\Users\Анютик\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\yandex.ru-020239.xml
    Файл Найдено : C:\Users\Анютик\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\yasearch@yandex.ru.xpi
    Файл Найдено : C:\Users\Анютик\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\vb@yandex.ru.xpi
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Сообщите как проблема.
 
Я перепутал компы или темы для них и со второго компа сделал эти рекомендации вместо вышенаписанных:


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Вышенаписанные рекомендации пока не делал, может можно как то исправить совершенную ошибку?
Отчеты прикрепил
 

Вложения

  • AdwCleaner[C1].txt
    2.8 KB · Просмотры: 6
  • AdwCleaner[S2].txt
    2.6 KB · Просмотры: 4
Как восстановить ошибочно удалённые объекты.

В принципе,кроме элементов яндекса вы ничего особо и не удалили лишнего))
Можете не восстанавливать если для вас это не критично.

Какие то проблемы имеются?

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\Users\Анютик\AppData\Local\Experience Plugin\xBin', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
QuarantineFile('C:\Users\Анютик\AppData\Local\Experience Plugin\xBin\ExperiencePlugin.dll', '');
ExecuteFile('schtasks.exe', '/delete /TN "Experience Plugin" /F', 0, 15000, true);
DeleteFile('C:\Users\Анютик\AppData\Local\Experience Plugin\xBin\ExperiencePlugin.dll', '32');
DeleteFileMask('C:\Users\Анютик\AppData\Local\Experience Plugin\xBin', '*', true);
DeleteDirectory('C:\Users\Анютик\AppData\Local\Experience Plugin\xBin');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!


Подготовьте логи Farbar Recovery Scan Tool
 
Отправил quarantine.zip
 

Вложения

  • FRST.txt
    44.6 KB · Просмотры: 4
  • Addition.txt
    32.5 KB · Просмотры: 4
  • Shortcut.txt
    58.9 KB · Просмотры: 0
Последнее редактирование модератором:
получше стало, но не на много, проблема осталась
 

Вложения

  • Fixlog.txt
    1.4 KB · Просмотры: 1
Файлы
Код:
C:\Users\Анютик\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js
C:\Program Files\mozilla firefox\defaults\pref\!CCB7F643FAB4F25DE0D7C86FF202328DCCB7.js
C:\Program Files\mozilla firefox\CCB7F643FAB4F25DE0D7C86FF202328DCCB7

заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Код:
FF Extension: BlueSoleil Extension - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\FireFox\isend@www.bluesoleil.com [2015-12-15] [not signed]
это расширение сами устанавливали?

Скрипт дам попозже.

Смотрю у вас на обоих компьютерах (и здесь и в соседней теме) стоит SafenSoft SysWatch, но вирусам это не помешало. Наглядный пример, что это не панацея и вирусы пролазиют при любом антивирусе.

1) Отошлите архив (просьба выше).
2) Деинсталируйте Skype Click to Call и удалите его расширения из браузеров.
3) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\!CCB7F643FAB4F25DE0D7C86FF202328DCCB7.js [2015-11-09] <==== ATTENTION
FF ExtraCheck: C:\Program Files\mozilla firefox\CCB7F643FAB4F25DE0D7C86FF202328DCCB7 [2015-11-09] <==== ATTENTION

EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

4) Все эти расширения вам знакомы?
Код:
CHR Extension: (Документы Google) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-09-22]
CHR Extension: (Диск Google) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-11-09]
CHR Extension: (YouTube) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-11-09]
CHR Extension: (TransSend) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\cocpghbdppojfnfpjhmlcfkljjjfpika [2015-09-22]
CHR Extension: (Google Search) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-09]
CHR Extension: (Avast SafePrice) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2015-11-09]
CHR Extension: (Google Документы офлайн) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-11-17]
CHR Extension: (Avast Online Security) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2015-11-09]
CHR Extension: (SurfPatrol) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkppgpkggbadgdkdjephjfpmblapdcpb [2016-01-07]
CHR Extension: (Skype) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2016-01-09]
CHR Extension: (Яндекс) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdeldjolamfbcgnndjmjjiinnhbnbnla [2015-12-04]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-08-12]
CHR Extension: (Gmail) - C:\Users\Анютик\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-09-22]
CHR Extension: () - C:\Users\Анютик\AppData\Local\Experience Plugin\Component [2016-01-11]
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cocpghbdppojfnfpjhmlcfkljjjfpika] - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\Chrome\TS_Chrome.crx [2015-04-08]
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-08-12]
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2015-08-12]
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2015-10-12]
CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx

+ отпишитесь, что с проблемой?
 
заархивируйте в zip архив с паролем virus .
Отправил по форме

это расширение сами устанавливали?
Жена устанавливала и я устанавливал блютуз, это именно не помню кто. Сейчас можно удалить, потому что сегодня нашел родные драйверишки на блютуз.
Смотрю у вас на обоих компьютерах (и здесь и в соседней теме) стоит SafenSoft SysWatch, но вирусам это не помешало. Наглядный пример, что это не панацея и вирусы пролазиют при любом антивирусе.
Думаю, что многие вирусы сам загнал в машину, потому что были случаи, когда при установке неизвестного ПО лезла куча всякой фигни, сисвоч конечно реагировал, я запрещал что и помню, что была ситуация когда запрос на внесение изменений шел автоматически через определенные интервалы, отключить никак нельзя было. Думаю, что сам собственноручно впустил вирусы на каком либо этапе, т.к приходится иногда юзать варезный софт. Очень много чего перелопатил из софта, ну и на эту машину мог занести конечно. Сисвоч реагирует очень хорошо, другое дело, что не всегда знал чему разрешал доступ...
2) Деинсталируйте Skype Click to Call и удалите его расширения из браузеров.
Удалил, его расширений в браузерах после этого не нашел
4) Все эти расширения вам знакомы?
До записей реестра названия то знакомы, а вот последние файлы в путях нахождения - вобще абракадабра какая то
+ отпишитесь, что с проблемой?
Проблема осталась
 
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 
RuMax, я просил прислать prefs.js а вы прислали prefs.js_20150812020239.backup посмотрите и если есть там без дописки, то пришлите его.
Сисвоч реагирует очень хорошо, другое дело, что не всегда знал чему разрешал доступ...
если вам нужны тупые алерты на всё, то лучше было ставить антивирус от комодо.
+ Запакуйте в архив с паролем "virus" папку C:\FRST\Quarantine\ - C:\ - Ваш системный диск
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 
Koza Nozdri, выполнил

RuMax, я просил прислать prefs.js а вы прислали prefs.js_20150812020239.backup посмотрите и если есть там без дописки, то пришлите его.
отправил по форме
если вам нужны тупые алерты на всё, то лучше было ставить антивирус от комодо.
Нужен антивирус + сисвоч, какой лучше антивирь мне неизвестно. Чем комодо лучше?
+ Запакуйте в архив с паролем "virus" папку C:\FRST\Quarantine\ - C:\ - Ваш системный диск
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
отправил
 

Вложения

  • MBAM-log-2016-01-14 (19-10-30).txt
    2.8 KB · Просмотры: 6
Нужен антивирус + сисвоч, какой лучше антивирь мне неизвестно. Чем комодо лучше?
Для того чтобы решать какой лучше какой хуже есть отдельный раздел. Там и спрашивайте. Только учтите, что не стоит верить во всё что пишут маркетологи от вендоров. Это их работа заставить поверить, что вам нужен их антивирус и что он спасёт от всех видов угроз.На практике как видите всё обстоит не совсем так как в их рекламных статьях.

Экспопрт этого ключа можете сделать?
Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{9563BC59-9556-4805-8CD4-886781779D8D}
не могу найти, пожалуйста, загрузите на RGhost — файлообменник и скиньте мне в ЛС.
 
Прикрепил ключ
 

Вложения

  • экспортированый ключ.reg
    310 байт · Просмотры: 4
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу