Удаление вирусов. Сама открывается реклама в браузере

@DanielNotWise · Регистрация: 28.06.2017

Author24 — интернет-сервис помощи студентам

После загрузки планшета открывается браузер Edge с рекламой(одновременно с приложениями, у которых стоит автозапуск). Windows 10 Mobile

@Sandor · 28.06.2017, 12:49

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя DanielNotWise. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\ea3host.exe');
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 TerminateProcessByName('c:\users\Данил\appdata\local\sysnet\sysnet.exe');
 StopService('netfilter2');
 StopService('Ea3Host');
 QuarantineFile('C:\Users\Данил\AppData\Local\geckof\geckof.exe','');
 QuarantineFile('C:\Users\Данил\AppData\Roaming\Tortoise SVN\TortoiseSVN.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\geckof.sys','');
 QuarantineFile('c:\windows\system32\ea3host.exe','');
 QuarantineFile('c:\windows\microsoft\svchost.exe', '');
 QuarantineFile('c:\users\Данил\appdata\local\sysnet\sysnet.exe', '');
 QuarantineFile('C:\Users\486B~1\AppData\Roaming\setupsk\python\pythonw.exe', '');
 QuarantineFile('C:\Users\486B~1\AppData\Roaming\setupsk\ml.py', '');
 QuarantineFile('C:\Users\Данил\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFileF('c:\users\данил\appdata\local\sysnet', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\486b~1\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "sysnet" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "fiibkhokmfkkadmpaigijmgmlfenpchk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "geckof" /F', 0, 15000, true);
 DeleteFile('c:\windows\system32\ea3host.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\geckof.sys','32');
 DeleteFile('C:\Users\Данил\AppData\Roaming\Tortoise SVN\TortoiseSVN.dll','32');
 DeleteFile('C:\Users\Данил\AppData\Local\geckof\geckof.exe','32');
 DeleteFile('c:\windows\microsoft\svchost.exe', '32');
 DeleteFile('c:\users\Данил\appdata\local\sysnet\sysnet.exe', '32');
 DeleteFile('C:\Users\486B~1\AppData\Roaming\setupsk\python\pythonw.exe', '32');
 DeleteFile('C:\Users\486B~1\AppData\Roaming\setupsk\ml.py', '32');
 DeleteFile('C:\Users\Данил\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteService('netfilter2');
 DeleteService('Ea3Host');
 DeleteService('SvcHost Service Host');
 DeleteFileMask('c:\users\данил\appdata\local\sysnet', '*', true);
 DeleteFileMask('c:\users\486b~1\appdata\roaming\setupsk', '*', true);
 DeleteDirectory('c:\users\данил\appdata\local\sysnet');
 DeleteDirectory('c:\users\486b~1\appdata\roaming\setupsk');
 DelCLSID('{CBF88FC2-F150-4F29-BC80-CE30EFD1B62C}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fiibkhokmfkkadmpaigijmgmlfenpchk');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{CBF88FC2-F150-4F29-BC80-CE30EFD1B62C}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ikiqzyzwkn');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@DanielNotWise · 28.06.2017, 18:05 **[ТС]**

Проблема больше не появляется.

@DanielNotWise · 28.06.2017, 18:14 **[ТС]**

Извините, совсем запутался....

@Sandor · 28.06.2017, 21:30

Дочистим:
1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@DanielNotWise · 29.06.2017, 10:31 **[ТС]**

Ответ

@DanielNotWise · 29.06.2017, 10:35 **[ТС]**

Ответ

@Sandor · 29.06.2017, 10:38

Сообщение от Sandor

C:\AdwCleaner\AdwCleaner[Cx].txt

Этот тоже, пожалуйста.

Далее:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
ShellIconOverlayIdentifiers: [TortoiseOverlay] -> {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} =>  -> No File
Task: {0D7431B5-3BD9-4271-88AF-39AE3EC7B9EF} - System32\Tasks\setupsk => C:\Users\486B~1\AppData\Roaming\setupsk\python\pythonw.exe <==== ATTENTION
Task: {3E27EC7F-D096-4FDA-BD7E-3695A0F85D38} - System32\Tasks\fiibkhokmfkkadmpaigijmgmlfenpchk => C:\Users\Данил\AppData\Roaming\fiibkhokmfkkadmpaigijmgmlfenpchk\python\pythonw.exe <==== ATTENTION
Task: {49E96746-649C-4A10-856D-84F97E3C7D3E} - System32\Tasks\geckof => C:\Users\Данил\AppData\Local\geckof\geckof.exe <==== ATTENTION
Task: {8C64358A-7361-4353-AA2A-9B2F001140C5} - System32\Tasks\setupsk_upd => C:\Users\486B~1\AppData\Roaming\SETUPS~1\python\pythonw.exe <==== ATTENTION
Task: {CDB5AEDE-75E1-4AE2-B83D-229E0A0AA15B} - System32\Tasks\MSI => C:\Users\Данил\AppData\Roaming\Microsoft\msi.exe <==== ATTENTION
FirewallRules: [{FFADF987-CD58-45C4-99D6-7610CB5B87BE}] => (Allow) C:\Users\Данил\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@DanielNotWise · 29.06.2017, 10:42 **[ТС]**

Отвтет

@DanielNotWise · 29.06.2017, 10:52 **[ТС]**

Ответ. Это все? Еще что-нибудь нужно? Спасибо, проблема исчезла)))

@Sandor · 29.06.2017, 10:57

Хорошо. В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@DanielNotWise · 29.06.2017, 11:00 **[ТС]**

И еще, второй раз встречаю такую фигню, что при запуске всплывает на рабочем столе окно, тип "работа chromium была завершена некорректно, "восстановить страницы"". Просто на пустом месте... Если еще раз встречу, скину скрин.

@DanielNotWise · 29.06.2017, 11:14 **[ТС]**

ОТвеТ

@DanielNotWise · 29.06.2017, 11:16 **[ТС]**

3*e6ись от души)))

@Sandor · 29.06.2017, 11:48

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1198.14393.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
------------------------------- [ HotFix ] --------------------------------
HotFix KB4013429 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	28.06.2017, 21:30	5
	Дочистим: 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	29.06.2017, 10:57	11
	Хорошо. В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@DanielNotWise 0 / 0 / 0 Регистрация: 28.06.2017 Сообщений: 10
	29.06.2017, 11:00 [ТС]	12
	И еще, второй раз встречаю такую фигню, что при запуске всплывает на рабочем столе окно, тип "работа chromium была завершена некорректно, "восстановить страницы"". Просто на пустом месте... Если еще раз встречу, скину скрин. 0

@DanielNotWise 0 / 0 / 0 Регистрация: 28.06.2017 Сообщений: 10
	29.06.2017, 11:16 [ТС]	14
	3*e6ись от души))) 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	29.06.2017, 11:48	15
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.1198.14393.0 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ ------------------------------- [ HotFix ] -------------------------------- HotFix KB4013429 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. Прочтите и выполните Рекомендации после удаления вредоносного ПО 0