PDA

Показать полную графическую версию : [решено] Windows 10 - заражение системы (полный набор)


mateys
16-11-2016, 20:03
День добрый, помогите пожалуйста вылечить систему.
Все как обычно, нажал какую-то ссылку и дальше всё как в тумане, какие-то рандомные вкладки открываются безпрерывно, справа в углу в винде вылазит рекламa, и еще куча всего.
Переустановка браузера и чистками всякими spyhunter-ами и тд, не увенчались успехом.
Логи прикрепил, заранее спасибо.

mateys
17-11-2016, 20:57
Неужели всё безнадёжно?

Sandor
18-11-2016, 12:47
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

sunnyday version 1.1
Zaxar Games Browser 4


Затем:

Скачайте AdwCleaner (by Malwarebytes) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

mateys
18-11-2016, 13:32
Вот два файла

Sandor
18-11-2016, 13:37
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (зеркало (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

mateys
18-11-2016, 13:44
Готово

Sandor
18-11-2016, 13:58
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
2016-11-16 10:27 - 2016-11-16 10:27 - 00000000 ____D C:\Program Files\1Z1N1WTHBE
2016-11-15 20:25 - 2016-11-15 20:25 - 00000000 ____D C:\Program Files\4MLBW8EF7L
2016-11-14 20:42 - 2016-11-14 20:42 - 00000000 ____D C:\Users\Все пользователи\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705}
2016-11-14 20:42 - 2016-11-14 20:42 - 00000000 ____D C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705}
2016-11-14 20:32 - 2016-11-14 20:32 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\ProductData
2016-11-14 20:31 - 2016-11-15 20:23 - 00000000 ____D C:\Program Files (x86)\IObit
2016-11-14 20:31 - 2016-11-14 20:31 - 00000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled
2016-11-14 20:31 - 2016-11-14 20:31 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-11-14 20:31 - 2016-11-14 20:31 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\Apple Computer
2016-11-14 20:31 - 2016-11-14 20:31 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-11-14 20:28 - 2016-11-17 23:44 - 00000000 ____D C:\Program Files\My Web Shield
2016-11-14 17:25 - 2016-11-14 17:26 - 00000000 ____D C:\Program Files\2W3E262GJP
2016-11-13 22:23 - 2016-11-18 00:11 - 00000000 ____D C:\Program Files\Caster
2016-11-13 22:20 - 2016-11-18 12:27 - 00000000 ____D C:\Program Files\SpaceSoundPro
2016-11-13 18:23 - 2016-11-13 18:23 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\VDI
2016-11-13 18:22 - 2016-11-13 18:22 - 07299584 _____ C:\Users\Sveta\AppData\Roaming\agent.dat
2016-11-13 18:22 - 2016-11-13 18:22 - 01904710 _____ C:\Users\Sveta\AppData\Roaming\K-Hattom.tst
2016-11-13 18:22 - 2016-11-13 18:22 - 01897573 _____ C:\Users\Sveta\AppData\Roaming\SoftHome.bin
2016-11-13 18:22 - 2016-11-13 18:22 - 00136827 _____ C:\Users\Sveta\AppData\Roaming\Overkeysing.bin
2016-11-13 18:22 - 2016-11-13 18:22 - 00126464 _____ C:\Users\Sveta\AppData\Roaming\noah.dat
2016-11-13 18:22 - 2016-11-13 18:22 - 00070704 _____ C:\Users\Sveta\AppData\Roaming\Config.xml
2016-11-13 18:22 - 2016-11-13 18:22 - 00018432 _____ C:\Users\Sveta\AppData\Roaming\Main.dat
2016-11-13 18:22 - 2016-11-13 18:22 - 00005568 _____ C:\Users\Sveta\AppData\Roaming\md.xml
2016-11-13 18:21 - 2016-11-13 18:21 - 00692736 _____ C:\Users\Sveta\AppData\Roaming\K-Hattom.exe
2016-11-13 18:21 - 2016-11-13 18:21 - 00190394 _____ C:\Users\Sveta\AppData\Roaming\Zootough.bin
2016-11-13 18:21 - 2016-11-13 18:21 - 00140288 _____ C:\Users\Sveta\AppData\Roaming\Installer.dat
2016-11-13 18:17 - 2016-11-13 19:02 - 00000000 ____D C:\Program Files (x86)\Jetuknenak
2016-11-13 18:17 - 2016-11-13 18:28 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\Ckerrersh
2016-11-13 18:17 - 2016-11-13 18:19 - 00000000 ____D C:\Users\Sveta\AppData\Local\Thusering
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 __SHD C:\Users\Sveta\AppData\Local\svchost
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\Users\Все пользователи\Avira
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\Users\Все пользователи\Avg
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\Users\Все пользователи\AVAST Software
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\ProgramData\Avira
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\ProgramData\Avg
2016-11-11 22:26 - 2016-11-11 22:26 - 00000000 ____D C:\ProgramData\AVAST Software
2016-11-11 22:25 - 2016-11-11 22:25 - 00000000 ____D C:\Users\Public\Thunder Network
2016-11-11 22:24 - 2016-11-13 18:19 - 00000000 ____D C:\Program Files (x86)\Thabotain
2016-11-11 22:24 - 2016-11-12 13:55 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\Njetyhefos
2016-11-11 22:24 - 2016-11-11 22:26 - 00000000 ____D C:\Users\Sveta\AppData\Local\Gonoty
2016-11-11 22:21 - 2016-11-13 18:14 - 00000000 ____D C:\Users\Все пользователи\hdtask
2016-11-11 22:21 - 2016-11-13 18:14 - 00000000 ____D C:\ProgramData\hdtask
2016-11-11 22:19 - 2016-11-12 16:46 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\MyDesktop
2016-11-07 21:19 - 2016-11-15 20:24 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-11-07 21:19 - 2016-11-15 20:24 - 00000000 ____D C:\ProgramData\ProductData
2016-11-07 21:19 - 2016-11-14 20:34 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-11-07 21:19 - 2016-11-14 20:34 - 00000000 ____D C:\Users\Sveta\AppData\Roaming\IObit
2016-11-07 21:19 - 2016-11-14 20:34 - 00000000 ____D C:\ProgramData\IObit
2016-11-07 21:19 - 2016-11-14 20:31 - 00000000 ____D C:\Users\Sveta\AppData\LocalLow\IObit
2016-11-07 21:19 - 2016-11-07 21:19 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
2016-11-07 21:19 - 2016-11-07 21:19 - 00000000 ____D C:\WINDOWS\IObit
Task: {672CAC84-3B76-4023-95D2-1EE9D4A1F3DC} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {ABA26D29-B480-4338-846E-5C58BD98D94F} - \{4EE7F50A-BAB9-4378-A121-437CA3EDC03D} -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
http://dragokas.com/tools/FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

mateys
18-11-2016, 14:30
Готово

Sandor
18-11-2016, 14:35
Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.

mateys
18-11-2016, 14:42
Готово

Sandor
18-11-2016, 14:53
По логам значительно лучше. Как внешне?

mateys
18-11-2016, 14:56
По логам значительно лучше. Как внешне? »

Внешне вроде тоже отпустило, подскажите откуда такая зараза берется зачастую? По словам родителей, "Просто смотрел видео в ютубе" и началось...

Sandor
18-11-2016, 15:00
Пока сделайте завершающие шаги:
1. Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157905).

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

mateys
18-11-2016, 15:09
Вот

Sandor
18-11-2016, 15:25
Вероятно все же что-то устанавливали и вовремя не сняли галочку, либо зашли на зараженный сайт.

Прочтите и выполните Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)

mateys
18-11-2016, 16:00
Понял, проведу лекцию.
ГРОМАДНОЕ спасибо!




© OSzone.net 2001-2012