@pshennik

Здравствуйте! Помогите, пожалуйста, вылечить моего железного друга. При запуске открывается сайт [smartinf.ru], а также в течение дня, когда компьютер включен и никто за ним не работает, несколько раз подряд в авасте всплывают уведомления об обнаружении вирусной угрозы, до 10 раз подряд.

Вложения

CollectionLog-2015.12.09-11.57.zip (88.0 Кб, 1 просмотров)

0

@Sandor

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя pshennik. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):
   
   
   Код

   begin
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rlezutlzfm');
   RebootWindows(false);
   end.

   Компьютер перезагрузится.
   
   
   
   
2. Подготовьте лог сканирования AdwCleaner.

0

@pshennik

# AdwCleaner v5.024 - Отчёт создан 09/12/2015 в 15:24:40
# Обновлено 07/12/2015 by Xplode
# База данных : 2015-12-07.3 [Сервер]
# Операционная система : Windows 10 Home Single Language (x64)
# Пользователь : Рыба - FISH
# Запущено из : C:\Users\Рыба\Desktop\Новая папка\adwcleaner_5.024 (1).exe
# Настройка : Очистка
# помощь : http://toolslib.net/forum

***** [ Службы ] *****


***** [ Папки ] *****

[-] Папка Удалено : C:\Program Files\Zaxar
[-] Папка Удалено : C:\Program Files (x86)\77zip
[-] Папка Удалено : C:\Program Files (x86)\sitefinder
[-] Папка Удалено : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mipony
[-] Папка Удалено : C:\Users\Рыба\AppData\Local\Mail.Ru
[-] Папка Удалено : C:\Users\Рыба\AppData\Local\Kometa
[-] Папка Удалено : C:\Users\Рыба\AppData\Local\Amigo
[-] Папка Удалено : C:\Users\Рыба\AppData\Roaming\etranslator
[#] Папка Удалено : C:\Users\Рыба\AppData\Roaming\smw_inst
[-] Папка Удалено : C:\Users\Рыба\AppData\Roaming\mipony
[-] Папка Удалено : C:\Users\Рыба\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\77zip
[-] Папка Удалено : C:\Users\Рыба\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\storegid
[-] Папка Удалено : C:\Users\Рыба\AppData\Roaming\Mozilla\Firefox\Profiles\6zw7m5mg.default-1411561013059\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}

***** [ Файлы ] *****

[-] Файл Удалено : C:\Users\Рыба\AppData\Roaming\Mozilla\Firefox\Profiles\6zw7m5mg.default-1411561013059\Extensions\yasearch@yandex.ru.xpi
[-] Файл Удалено : C:\Users\Рыба\AppData\Roaming\Mozilla\Firefox\Profiles\6zw7m5mg.default-1411561013059\Extensions\vb@yandex.ru.xpi
[-] Файл Удалено : C:\Users\Рыба\AppData\Roaming\Mozilla\Firefox\Profiles\6zw7m5mg.default-1411561013059\searchplugins\yqs-barff-yandex.xml
[-] Файл Удалено : C:\Users\Рыба\AppData\Roaming\Mozilla\Firefox\Profiles\6zw7m5mg.default-1411561013059\searchplugins\mailru.xml

***** [ DLLs ] *****


***** [ Ярлыки ] *****


***** [ Запланированные задания ] *****

[-] Задание Удалено : RunAsStdUser Task

***** [ Реестр ] *****

[-] Ключ Удалено : HKLM\SOFTWARE\Classes\AppID\BackgroundHost.EXE
[-] Параметр Удалено : HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BROWSER_EMULATION [BackgroundHost.exe]
[-] Параметр Удалено : HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_WEBOC_MOVESIZECHILD [BackgroundHost.exe]
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\MediaPlayer\ShimInclusionList\browser.exe
[-] Ключ Удалено : HKLM\System\CurrentControlSet\Services\Eventlog\Application\Update BrowseMark
[-] Ключ Удалено : HKLM\System\CurrentControlSet\Services\Eventlog\Application\Util BrowseMark
[-] Ключ Удалено : HKLM\SOFTWARE\Google\Chrome\Extensions\nkcpopggjcjkiicpenikeogioednjeac
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{AD4409E5-23C2-412B-849D-8FC0635B4073}
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{AEE9D70C-6C9E-4B27-9F2C-8F14E95BEEF6}
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{DD20920E-515A-4342-85E3-FC9A9FDA55C2}
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{92FDEF05-B35E-4806-B87F-8B66AB649997}
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{9F0BF664-B611-4C53-AEEA-FDBFCE6E3CA3}
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{A8BD93E8-F6AE-4F02-828D-DE47FEC4D375}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}
[-] Параметр Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID [{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}]
[-] Ключ Удалено : HKCU\Software\IM
[-] Ключ Удалено : HKCU\Software\USyndication
[-] Ключ Удалено : HKCU\Software\etranslator
[-] Ключ Удалено : HKCU\Software\storegid
[-] Ключ Удалено : HKLM\SOFTWARE\storegid
[-] Ключ Удалено : HKLM\SOFTWARE\SiteFinder
[-] Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\77zip
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0A7D6F3C-F2AB-48ED-BE23-99791BFF87D6}
[-] Ключ Удалено : HKU\.DEFAULT\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Installer\Features\C3F6D7A0BA2FDE84EB329997B1FF786D
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Installer\Products\C3F6D7A0BA2FDE84EB329997B1FF786D
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\C3F6D7A0BA2FDE84EB329997B1FF786D
[-] Ключ Удалено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}

***** [ Веб браузеры ] *****


*************************

:: "Tracing" ключи удалены
:: Настройки Winsock очищены

########## EOF - C:\AdwCleaner\AdwCleaner[C6].txt - [5546 байт] ##########

Добавлено через 1 минуту
еще вопрос. при запуске вылазит маленькое окошечко, что какая-то там программа хочет внести изменения в мой компьютер, и две кнопки - да и нет..... это что?

0

@Sandor

Отчеты желательно не вставлять в сообщение, а прикреплять к нему.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

Покажите Скриншот

0

@pshennik

Надеюсь правильно сделала архив)

Вложения

Новая папка.zip (29.6 Кб, 2 просмотров)

0

@Sandor

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

0

@pshennik

сайт не запускается. про аваст пока ничего не могу сказать, пока молчит, но он может и полдня молчать, а потом выдать штук десять уведомлений об угрозе

Вложения

Fixlog.txt (4.1 Кб, 0 просмотров)

0

@Sandor

Хорошо, понаблюдайте.

А также:
1.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

2.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

0

@pshennik

готово

Вложения

SecurityCheck.txt (12.0 Кб, 1 просмотров)

0

@Sandor

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.10240.16590 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------------- [ IM ] ----------------------------------
Skype™ 6.22 v.6.22.107 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 67 (64-bit) v.7.0.670 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-x64.exe^
Java 7 Update 67 v.1.0 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-i586.exe^
Java 7 Update 51 v.7.0.510 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-i586.exe^
---------------------------- [ UnwantedApps ] -----------------------------
Амиго v.28.0.1501.430 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VKMusic 4 v.4.59 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
FreeRide Games v.07.05.80.00 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Прочтите и выполните Рекомендации после удаления вредоносного ПО

0

@pshennik

здравствуйте! проблема не исчезла. сайт не открывается, но аваст все также кричит несколько раз подряд об обнаружении вирусной угрозы.

0

@Sandor

Уязвимости закрыли?

Покажите отчет Аваста или скриншот.

0

@pshennik

я не понимаю как закрывать эти уязвимости. последние три программы удалила совсем с компьютера. не знаю как делается отчет аваста.

0

@Sandor

Рядом с каждой строкой есть надпись - Скачать обновления. Это ссылка, по которой можно скачать соотв. обновленную программу. Ее нужно скачать и запустить, таким образом Вы обновите то, что следует.

Файл отчета аваст.

0

@pshennik

не нашла я никакой отчет и папок у меня вообще таких нет

0

@Sandor

Тогда покажите Скриншот

0