0 / 0 / 0
Регистрация: 20.08.2016
Сообщений: 12
1

Куча вирусов после случайной установки Mail.ru софта

27.02.2017, 20:45. Показов 380. Ответов 5
Метки нет (Все метки)

Провафлил и случайно поймал эту заразу. С ним появилась куча рекламы + PFHttpCpntentFilter.exe, который очень хорошо поджирает мой ЦП (~25).
Все агенты и прочее пытался удалять, но они снова появляются.
Собственно, вот и суть проблемы. Спасибо заранее.

Так же в браузере присутствует много рекламы, она открывается самопроизвольно.
Вложения
Тип файла: zip CollectionLog-2017.02.27-22.44.zip (119.8 Кб, 3 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
27.02.2017, 20:45
Ответы с готовыми решениями:

Появилось куча вирусов после скачивания файла с Mediafiles
Я хотел скачать файл, но он лежал на MediaFiles. Я скачал от туда и прекрасно знал, что там есть...

После установки различного софта ОС не загружается
поставил windows 8.1. Поставил программы( utorrent , dr.web , daemon tools , ultraiso, google...

Куча файлов после установки apk
Здравствуйте! Есть приложение с пятью активити. Генерирую apk, устанавливаю его на телефон и...

После установки большого количества софта работа системы замедлилась в разы
Здравствуйте! Мне жених комп купил а я его сломала..ну не сам компьютер а систему . Я туда...

5
Вирусоборец
16841 / 13760 / 2502
Регистрация: 08.10.2012
Сообщений: 55,802
28.02.2017, 17:12 2
Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя yeahmafia. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\program files (x86)\filter2\2\cppwindowsservice.exe');
     TerminateProcessByName('c:\users\administrator\appdata\local\filterstart\filterstart.exe');
     TerminateProcessByName('c:\program files (x86)\screenup\future_helper.exe');
     TerminateProcessByName('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe');
     TerminateProcessByName('c:\users\administrator\appdata\roaming\aswast\python\pythonw.exe');
     StopService('CppWindowsService');
     QuarantineFileF('c:\program files (x86)\filter2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\administrator\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\program files (x86)\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\administrator\appdata\roaming\aswast', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\administrator\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\administrator\appdata\local\powermonitor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe', '');
     QuarantineFile('c:\users\administrator\appdata\local\filterstart\filterstart.exe', '');
     QuarantineFile('c:\program files (x86)\screenup\future_helper.exe', '');
     QuarantineFile('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe', '');
     QuarantineFile('c:\users\administrator\appdata\roaming\aswast\python\pythonw.exe', '');
     QuarantineFile('C:\Program Files (x86)\ScreenUp\nfapi.dll', '');
     QuarantineFile('C:\Program Files (x86)\ScreenUp\ProtocolFilters.dll', '');
     QuarantineFile('C:\Program Files (x86)\filter2\2\nfapi.dll', '');
     QuarantineFile('C:\Program Files (x86)\filter2\2\ProtocolFilters.dll', '');
     QuarantineFile('C:\Users\Administrator\AppData\Roaming\aswast\ml.py', '');
     QuarantineFile('C:\Users\Administrator\AppData\LocalLow\SearchGo\searchgo.dll', '');
     QuarantineFile('C:\Users\Administrator\AppData\Roaming\aswast\app.py', '');
     QuarantineFile('C:\Users\Administrator\AppData\Local\fupdate\fupdate.exe', '');
     QuarantineFile('C:\Users\Administrator\AppData\Local\PowerMonitor\PowerMonitor.exe', '');
     QuarantineFile('C:\Users\Administrator\AppData\Local\SearchGo\searchgo.exe', '');
     ExecuteFile('schtasks.exe', '/delete /TN "Additional Custom Helper" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Custom Line Helper" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
     DeleteFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe', '32');
     DeleteFile('c:\users\administrator\appdata\local\filterstart\filterstart.exe', '32');
     DeleteFile('c:\program files (x86)\screenup\future_helper.exe', '32');
     DeleteFile('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe', '32');
     DeleteFile('c:\users\administrator\appdata\roaming\aswast\python\pythonw.exe', '32');
     DeleteFile('C:\Program Files (x86)\ScreenUp\nfapi.dll', '32');
     DeleteFile('C:\Program Files (x86)\ScreenUp\ProtocolFilters.dll', '32');
     DeleteFile('C:\Program Files (x86)\filter2\2\nfapi.dll', '32');
     DeleteFile('C:\Program Files (x86)\filter2\2\ProtocolFilters.dll', '32');
     DeleteFile('C:\Users\Administrator\AppData\Roaming\aswast\ml.py', '32');
     DeleteFile('C:\Users\Administrator\AppData\LocalLow\SearchGo\searchgo.dll', '32');
     DeleteFile('C:\Users\Administrator\AppData\Roaming\aswast\app.py', '32');
     DeleteFile('C:\Users\Administrator\AppData\Local\fupdate\fupdate.exe', '32');
     DeleteFile('C:\Users\Administrator\AppData\Local\PowerMonitor\PowerMonitor.exe', '32');
     DeleteFile('C:\Users\Administrator\AppData\Local\SearchGo\searchgo.exe', '32');
     DeleteFileMask('c:\program files (x86)\filter2', '*', true);
     DeleteFileMask('c:\users\administrator\appdata\local\filterstart', '*', true);
     DeleteFileMask('c:\program files (x86)\screenup', '*', true);
     DeleteFileMask('c:\users\administrator\appdata\roaming\aswast', '*', true);
     DeleteFileMask('c:\users\administrator\appdata\local\fupdate', '*', true);
     DeleteFileMask('c:\users\administrator\appdata\local\powermonitor', '*', true);
     DeleteDirectory('c:\program files (x86)\filter2');
     DeleteDirectory('c:\users\administrator\appdata\local\filterstart');
     DeleteDirectory('c:\program files (x86)\screenup');
     DeleteDirectory('c:\users\administrator\appdata\roaming\aswast');
     DeleteDirectory('c:\users\administrator\appdata\local\fupdate');
     DeleteDirectory('c:\users\administrator\appdata\local\powermonitor');
     DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
     DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mjgmarmgas');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
     DeleteService('CppWindowsService');
    ExecuteSysClean;
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
    К сообщению прикреплять файл quarantine.zip не нужно!

  3. Файл CheckBrowserLnk.log
    из папки
    ...\AutoLogger\CheckBrowserLnk
    перетащите на утилиту ClearLNK.



    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  4. Подготовьте и прикрепите лог сканирования AdwCleaner.
0
0 / 0 / 0
Регистрация: 20.08.2016
Сообщений: 12
28.02.2017, 18:35  [ТС] 3
Прикрепляю необходимое.
Карантин отправлен.
Вложения
Тип файла: txt AdwCleaner[S0].txt (5.0 Кб, 4 просмотров)
Тип файла: log ClearLNK-28.02.2017_20-31.log (8.6 Кб, 1 просмотров)
0
Вирусоборец
16841 / 13760 / 2502
Регистрация: 08.10.2012
Сообщений: 55,802
01.03.2017, 10:12 4
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
0 / 0 / 0
Регистрация: 20.08.2016
Сообщений: 12
01.03.2017, 17:06  [ТС] 5
Готово.
Реклама как таковая пропала, но Мозила по прежнему открывает какую-то левую страницу при старте Windows.
Вложения
Тип файла: txt AdwCleaner[C2].txt (1.7 Кб, 2 просмотров)
Тип файла: rar FRST.rar (35.5 Кб, 1 просмотров)
0
Вирусоборец
16841 / 13760 / 2502
Регистрация: 08.10.2012
Сообщений: 55,802
01.03.2017, 17:16 6
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.
Windows Batch file
start
CreateRestorePoint:
BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\v2qiidkg.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\v2qiidkg.default -> Поиск@Mail.Ru
FF Extension: (SHA-1 deprecation staged rollout) - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\v2qiidkg.default\features\{c9755232-e496-46e4-b77d-63e6614fb27d}\disableSHA1rollout@mozilla.org.xpi [2017-02-25]
AlternateDataStreams: C:\Users\Administrator\Application Data:NT [40]
AlternateDataStreams: C:\Users\Administrator\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Administrator\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Administrator\AppData\Roaming:NT2 [432]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
01.03.2017, 17:16

Перекидывает на go.mail.ru после запроса в поисковике google.ru (браузер Chrome) - Удаление вирусов
Поймал вирус. Скачал книгу с klex.ru. После скачивания появились следующие проблемы: 1....

После установки сомнительной программы куча мусора в виде известного браузера и иже с ним
Открывает рекламу, меняет поисковые системы и прочие пакости! Помогите, пожалуйста! Встала вся...

После случайной установки программы crossbrowser выскакивают рекламные окна
Удалила crossbrowser из реестра и programm files,при перезагрузке компа в ссылке на браузер (google...

После скачки с софта 1с игры ведьмак и её установки выскакивает сообщение с "кракозябрами"
Здравствуйте! Подскажите, пожалуйста, после скачки с софта 1с игры ведьмак и её установки...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
6
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.