Показать полную графическую версию : [решено] Windows 10 - заражение системы (полный набор)
День добрый, помогите пожалуйста вылечить систему.
Все как обычно, нажал какую-то ссылку и дальше всё как в тумане, какие-то рандомные вкладки открываются безпрерывно, справа в углу в винде вылазит рекламa, и еще куча всего.
Переустановка браузера и чистками всякими spyhunter-ами и тд, не увенчались успехом.
Логи прикрепил, заранее спасибо.
Здравствуйте!
Через Панель управления - Удаление программ - удалите нежелательное ПО:
sunnyday version 1.1
Zaxar Games Browser 4
Затем:
Скачайте AdwCleaner (by Malwarebytes) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (зеркало (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
2016-11-16 10:27 - 2016-11-16 10:27 - 00000000 ____D C:\Program Files\1Z1N1WTHBE
2016-11-15 20:25 - 2016-11-15 20:25 - 00000000 ____D C:\Program Files\4MLBW8EF7L
2016-11-14 20:42 - 2016-11-14 20:42 - 00000000 ____D C:\Users\Все пользователи\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705}
2016-11-14 20:42 - 2016-11-14 20:42 - 00000000 ____D C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705}
2016-11-14 20:32 - 2016-11-14 20:32 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\ProductData
2016-11-14 20:31 - 2016-11-15 20:23 - 00000000 ____D C:\Program Files (x86)\IObit
2016-11-14 20:31 - 2016-11-14 20:31 - 00000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled
2016-11-14 20:31 - 2016-11-14 20:31 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-11-14 20:31 - 2016-11-14 20:31 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\Apple Computer
2016-11-14 20:31 - 2016-11-14 20:31 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-11-14 20:28 - 2016-11-17 23:44 - 00000000 ____D C:\Program Files\My Web Shield
2016-11-14 17:25 - 2016-11-14 17:26 - 00000000 ____D C:\Program Files\2W3E262GJP
2016-11-13 22:23 - 2016-11-18 00:11 - 00000000 ____D C:\Program Files\Caster
2016-11-13 22:20 - 2016-11-18 12:27 - 00000000 ____D C:\Program Files\SpaceSoundPro
2016-11-13 18:23 - 2016-11-13 18:23 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\VDI
2016-11-13 18:22 - 2016-11-13 18:22 - 07299584 _____ C:\Users\Sveta\AppData\Roaming\agent.dat
2016-11-13 18:22 - 2016-11-13 18:22 - 01904710 _____ C:\Users\Sveta\AppData\Roaming\K-Hattom.tst
2016-11-13 18:22 - 2016-11-13 18:22 - 01897573 _____ C:\Users\Sveta\AppData\Roaming\SoftHome.bin
2016-11-13 18:22 - 2016-11-13 18:22 - 00136827 _____ C:\Users\Sveta\AppData\Roaming\Overkeysing.bin
2016-11-13 18:22 - 2016-11-13 18:22 - 00126464 _____ C:\Users\Sveta\AppData\Roaming\noah.dat
2016-11-13 18:22 - 2016-11-13 18:22 - 00070704 _____ C:\Users\Sveta\AppData\Roaming\Config.xml
2016-11-13 18:22 - 2016-11-13 18:22 - 00018432 _____ C:\Users\Sveta\AppData\Roaming\Main.dat
2016-11-13 18:22 - 2016-11-13 18:22 - 00005568 _____ C:\Users\Sveta\AppData\Roaming\md.xml
2016-11-13 18:21 - 2016-11-13 18:21 - 00692736 _____ C:\Users\Sveta\AppData\Roaming\K-Hattom.exe
2016-11-13 18:21 - 2016-11-13 18:21 - 00190394 _____ C:\Users\Sveta\AppData\Roaming\Zootough.bin
2016-11-13 18:21 - 2016-11-13 18:21 - 00140288 _____ C:\Users\Sveta\AppData\Roaming\Installer.dat
2016-11-13 18:17 - 2016-11-13 19:02 - 00000000 ____D C:\Program Files (x86)\Jetuknenak
2016-11-13 18:17 - 2016-11-13 18:28 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\Ckerrersh
2016-11-13 18:17 - 2016-11-13 18:19 - 00000000 ____D C:\Users\Sveta\AppData\Local\Thusering
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 __SHD C:\Users\Sveta\AppData\Local\svchost
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\Users\Все пользователи\Avira
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\Users\Все пользователи\Avg
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\Users\Все пользователи\AVAST Software
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\ProgramData\Avira
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\ProgramData\Avg
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\ProgramData\AVAST Software
2016-11-11 22:25 - 2016-11-11 22:25 - 00000000 ____D C:\Users\Public\Thunder Network
2016-11-11 22:24 - 2016-11-13 18:19 - 00000000 ____D C:\Program Files (x86)\Thabotain
2016-11-11 22:24 - 2016-11-12 13:55 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\Njetyhefos
2016-11-11 22:24 - 2016-11-11 22:26 - 00000000 ____D C:\Users\Sveta\AppData\Local\Gonoty
2016-11-11 22:21 - 2016-11-13 18:14 - 00000000 ____D C:\Users\Все пользователи\hdtask
2016-11-11 22:21 - 2016-11-13 18:14 - 00000000 ____D C:\ProgramData\hdtask
2016-11-11 22:19 - 2016-11-12 16:46 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\MyDesktop
2016-11-07 21:19 - 2016-11-15 20:24 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-11-07 21:19 - 2016-11-15 20:24 - 00000000 ____D C:\ProgramData\ProductData
2016-11-07 21:19 - 2016-11-14 20:34 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-11-07 21:19 - 2016-11-14 20:34 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\IObit
2016-11-07 21:19 - 2016-11-14 20:34 - 00000000 ____D C:\ProgramData\IObit
2016-11-07 21:19 - 2016-11-14 20:31 - 00000000 ____D C:\Users\Sveta\AppData\LocalLow\IObit
2016-11-07 21:19 - 2016-11-07 21:19 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
2016-11-07 21:19 - 2016-11-07 21:19 - 00000000 ____D C:\WINDOWS\IObit
Task: {672CAC84-3B76-4023-95D2-1EE9D4A1F3DC} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {ABA26D29-B480-4338-846E-5C58BD98D94F} - \{4EE7F50A-BAB9-4378-A121-437CA3EDC03D} -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
http://dragokas.com/tools/FRST_move.png
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').
Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
По логам значительно лучше. Как внешне?
По логам значительно лучше. Как внешне? »
Внешне вроде тоже отпустило, подскажите откуда такая зараза берется зачастую? По словам родителей, "Просто смотрел видео в ютубе" и началось...
Пока сделайте завершающие шаги:
1. Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.
Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157905).
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.
2.
Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.
Вероятно все же что-то устанавливали и вовремя не сняли галочку, либо зашли на зараженный сайт.
Прочтите и выполните Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)
Понял, проведу лекцию.
ГРОМАДНОЕ спасибо!
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC