Вирус блокирует права администратора

@Izgerda · Регистрация: 23.06.2015

Author24 — интернет-сервис помощи студентам

Доброго времени суток, вчера 22.06 по своей не внимательности скачал, набор программ, типа амиго, майл спутник и еще какие то 2, попытался все удалить сразу, вроде бы вышло, но сути не изменило, завелся какой то вирус, который сначала убрал с рабочего хром и IE, но не удалил, хром и IE открываются нормально, но стоит поисковая система майл, в настройках хрома не получается изменить поиск по умолчанию, так как администратором поставлен маил и изменить ничего не могу, сегодня утром после перезагрузки в меню пуска вместо порядка 50 приложений осталось только 7, на компьютере они есть, но из пуска исчезли, др веб и аваст ничего не нашли, в папке temp постоянно появляются какие то не понятные файлы, так же в диспетчере задач наблюдались не понятные процессы которые состояли просто из набора букв, поиск в интернете ничего не дал по этим процессам, закрыть через диспетчер и командную строку не получалось, выдавало то что нужны права администратора, вот как то так.

@Izgerda · 24.06.2015, 01:49 **[ТС]**

нет никаких предложений?

@thyrex · 24.06.2015, 09:19

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

@Izgerda · 24.06.2015, 09:49 **[ТС]**

размер файла больше допустимого. в zip отправить?

@Sandor · 24.06.2015, 09:53

Да, упакуйте.

@Izgerda · 24.06.2015, 09:59 **[ТС]**

FRST.zip

Addition.zip

@Sandor · 24.06.2015, 10:11

Внимание! Рекомендации написаны специально для пользователя Izgerda. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-4197729374-2725245904-4086804370-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420791000&from=cor&uid=HitachiXHTS547575A9E384_J1140021DRDJJJDRDJJJX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420791000&from=cor&uid=HitachiXHTS547575A9E384_J1140021DRDJJJDRDJJJX&q={searchTerms}
HKU\S-1-5-21-4197729374-2725245904-4086804370-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=67167a432a586e0e194a07d7e031eea4&text={searchTerms}
HKU\S-1-5-21-4197729374-2725245904-4086804370-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=67167a432a586e0e194a07d7e031eea4&text={searchTerms}
URLSearchHook: HKU\S-1-5-21-4197729374-2725245904-4086804370-1001 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420791000&from=cor&uid=HitachiXHTS547575A9E384_J1140021DRDJJJDRDJJJX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420791000&from=cor&uid=HitachiXHTS547575A9E384_J1140021DRDJJJDRDJJJX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4197729374-2725245904-4086804370-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg
SearchScopes: HKU\S-1-5-21-4197729374-2725245904-4086804370-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=67167a432a586e0e194a07d7e031eea4&text={searchTerms}
SearchScopes: HKU\S-1-5-21-4197729374-2725245904-4086804370-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=67167a432a586e0e194a07d7e031eea4&text=
SearchScopes: HKU\S-1-5-21-4197729374-2725245904-4086804370-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=67167a432a586e0e194a07d7e031eea4&text= <==== ATTENTION
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-17]
CHR Extension: (Ask Search) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf [2015-01-29]
CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - https://clients2.google.com/service/update2/crx
2015-06-22 18:59 - 2015-05-28 16:23 - 00775344 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-06-22 18:59 - 2013-09-18 04:13 - 00877904 ____H (International Cyber Cup) C:\Program Files (x86)\Lаunсhеr.bаt.exe
2015-06-22 00:51 - 2015-06-22 00:51 - 33674637 _____ C:\Users\1\Downloads\B40A.tmp
2015-06-22 00:51 - 2015-06-22 00:51 - 33674637 _____ C:\Users\1\Downloads\A8DE.tmp
2015-06-22 00:51 - 2015-06-22 00:51 - 33674637 _____ C:\Users\1\Downloads\9DD1.tmp
AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A
AlternateDataStreams: C:\ProgramData\Temp:A064CECC
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@Izgerda · 24.06.2015, 10:50 **[ТС]**

Fixlog.txt

@Sandor · 24.06.2015, 10:56

Что с проблемой?

@Izgerda · 24.06.2015, 11:11 **[ТС]**

В хроме, установился поиск на гугл, и нет теперь иконки, что это сделал администратор, в пуске я так полагаю нужно все в ручную восстанавливать, да? Сейчас вроде бы все нормально, благодарю за помощь, в случае возникновения каких то еще проблем отпишусь вам.

@Sandor · 24.06.2015, 11:14

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Izgerda · 24.06.2015, 11:26 **[ТС]**

SecurityCheck.txt

@Sandor · 24.06.2015, 11:30

SpyHunter v.4.17.6.4336 деинсталлируйте.

-------------------------------- [ Java ] ---------------------------------
Java 7 Update 67 v.7.0.670 Внимание! Скачать обновления
^Скачайте jre-7u80-windows-i586.exe^
Java 7 Update 40 v.7.0.400 Внимание! Скачать обновления
^Скачайте jre-7u80-windows-i586.exe^
Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u45-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 16 NPAPI v.16.0.0.296 Внимание! Скачать обновления
Adobe Reader X (10.1.8) MUI v.10.1.8 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Skype Click to Call v.7.4.0.9058 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Также прочтите и выполните Рекомендации после удаления вредоносного ПО

Новые блоги и статьи
Что такое HCL Notes и как с ним работать InfoMaster 10.01.2025 HCL Notes (ранее известный как IBM Notes и Lotus Notes) представляет собой комплексную платформу для совместной работы и обмена информацией в корпоративной среде. Это многофункциональное решение,. . .	Как работать с Git из Windows и Visual Studio InfoMaster 10.01.2025 Работа с Git в Windows Работа с Git в операционной системе Windows может быть осуществлена с помощью различных инструментов, каждый из которых обладает своими уникальными возможностями и. . .	Аналог оператора switch case в Python InfoMaster 10.01.2025 Оператор switch case используется в программировании для выбора одного из нескольких вариантов исполнения кода. Однако в языке Python этот оператор отсутствует. Понимание аналогов switch case в. . .	Отличия абстрактного класса от интерфейса InfoMaster 10.01.2025 В современной разработке программного обеспечения существуют два основных механизма реализации абстракции: абстрактные классы и интерфейсы. Эти инструменты, хотя и схожи в своей основной цели -. . .	Как работать в Git InfoMaster 10.01.2025 Git — это одна из наиболее популярных систем контроля версий, которая активно используется разработчиками по всему миру. Она позволяет эффективно управлять изменениями в коде, координировать работу. . .	Реализация передвижения персонажа в Unity3d на C# InfoMaster 10.01.2025 Реализация передвижения персонажа в Unity3D начинается с правильной настройки проекта. Этот этап критически важен для создания отзывчивого и плавного управления. Рассмотрим основные шаги для создания. . .
Docker: руководство для начинающих InfoMaster 10.01.2025 В современном мире разработки программного обеспечения контейнеризация стала неотъемлемой частью процесса создания и развертывания приложений. Docker, как ведущая платформа контейнеризации, произвела. . .	Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .

@Izgerda 0 / 0 / 0 Регистрация: 23.06.2015 Сообщений: 7
	24.06.2015, 01:49 [ТС]	2
	нет никаких предложений? 0

@thyrex 13283 / 7407 / 1566 Регистрация: 06.09.2009 Сообщений: 27,004
	24.06.2015, 09:19	3
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt**). Пожалуйста, прикрепите его в следующем сообщении. 0

@Izgerda 0 / 0 / 0 Регистрация: 23.06.2015 Сообщений: 7
	24.06.2015, 09:49 [ТС]	4
	размер файла больше допустимого. в zip отправить? 0

@Sandor 22309 / 15790 / 3051 Регистрация: 08.10.2012 Сообщений: 64,208
	24.06.2015, 09:53	5
	Да, упакуйте. 0

@Izgerda 0 / 0 / 0 Регистрация: 23.06.2015 Сообщений: 7
	24.06.2015, 09:59 [ТС]	6
	FRST.zip Addition.zip 0

@Izgerda 0 / 0 / 0 Регистрация: 23.06.2015 Сообщений: 7
	24.06.2015, 10:50 [ТС]	8
	Fixlog.txt 0

@Sandor 22309 / 15790 / 3051 Регистрация: 08.10.2012 Сообщений: 64,208
	24.06.2015, 10:56	9
	Что с проблемой? 0

@Izgerda 0 / 0 / 0 Регистрация: 23.06.2015 Сообщений: 7
	24.06.2015, 11:11 [ТС]	10
	В хроме, установился поиск на гугл, и нет теперь иконки, что это сделал администратор, в пуске я так полагаю нужно все в ручную восстанавливать, да? Сейчас вроде бы все нормально, благодарю за помощь, в случае возникновения каких то еще проблем отпишусь вам. 0

@Sandor 22309 / 15790 / 3051 Регистрация: 08.10.2012 Сообщений: 64,208
	24.06.2015, 11:14	11
	Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Izgerda 0 / 0 / 0 Регистрация: 23.06.2015 Сообщений: 7
	24.06.2015, 11:26 [ТС]	12
	SecurityCheck.txt 0

	24.06.2015, 11:30