Запуск ПК, а вместе с ним и google chrome вместе с вкладкой akisho

@twizya · Регистрация: 18.10.2016

Author24 — интернет-сервис помощи студентам

Сначала была стартовая страница time to read, и поиск go search, потом поисковик был майла. После нескольких манипуляций удалось избавиться от этого, но заменилось тем, что после включение пк начал запускаться хром с вкладкой акишо. После еще нескольких усилий удалось убрать его, но вернулось опять time to read и прочее с ним связанное. Короче остановился на круговороте вируса. Сейчас акишо вылетает каждые минут 10, фильм не посмотреть... Помогите решить проблему

@thyrex · 19.10.2016, 00:48

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@twizya · 19.10.2016, 08:53 **[ТС]**

Вот логи. С утра уже опять time to read выскочил, вместе с вулканом. А во время лога вылетела akisho.

@Sandor · 19.10.2016, 10:55

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя twizya. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

ScreenUp

Network ProtectionProg version 15.29 - если не знакома, тоже удалите.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\twizya\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\twizya\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\twizya\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\twizya\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\twizya\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\twizya\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\twizya\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFile('C:\Users\twizya\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\twizya\AppData\Local\rightchose\regCheck.vbs', '');
 QuarantineFile('C:\Users\twizya\AppData\Local\FilterStart\FilterStart.exe', '');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Language Custom Helper" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Line PC Mgr" /F', 0, 15000, true);
 DeleteFile('C:\Users\twizya\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\twizya\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\twizya\AppData\Local\TestMenu\regCheck.vbs', '32');
 DeleteFile('C:\Users\twizya\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\twizya\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\twizya\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\twizya\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\twizya\AppData\Local\rightchose\regCheck.vbs', '32');
 DeleteFile('C:\Users\twizya\AppData\Local\FilterStart\FilterStart.exe', '32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '32');
 DeleteFileMask('c:\users\twizya\appdata\local\filterstart', '*', true);
 DeleteFileMask('c:\program files (x86)\screenup', '*', true);
 DeleteDirectory('c:\users\twizya\appdata\local\filterstart');
 DeleteDirectory('c:\program files (x86)\screenup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zdfeedumys');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@twizya · 19.10.2016, 11:29 **[ТС]**

Сделал

@Sandor · 19.10.2016, 11:37

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@twizya · 19.10.2016, 11:46 **[ТС]**

Вот архив с тремя .txt

@Sandor · 19.10.2016, 12:27

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> GoSearch
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> GoSearch
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=066F37C4A111C2B947DB20C35929C85A&utm_d=20161014
FF Extension: (No Name) - C:\Users\twizya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sovetnik@metabar.ru.xpi [not found]
FF Extension: (No Name) - C:\Users\twizya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF SearchPlugin: C:\Users\twizya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\GoSearch.xml [2016-10-16]
2016-10-18 06:39 - 2016-10-19 11:18 - 00000000 ____D C:\Users\twizya\AppData\Local\ValidateLife
2016-10-18 06:39 - 2016-10-19 11:18 - 00000000 ____D C:\Users\twizya\AppData\Local\TestMenu
2016-10-18 06:39 - 2016-10-19 11:18 - 00000000 ____D C:\Users\twizya\AppData\Local\rightchose
2016-10-18 06:39 - 2016-10-19 11:18 - 00000000 ____D C:\Users\twizya\AppData\Local\LastNews
2016-10-18 06:39 - 2016-10-19 11:18 - 00000000 ____D C:\Users\twizya\AppData\Local\ImmediateHelp
2016-10-18 06:39 - 2016-10-19 11:18 - 00000000 ____D C:\Users\twizya\AppData\Local\FilterOptions
2016-10-18 06:39 - 2016-10-19 11:18 - 00000000 ____D C:\Users\twizya\AppData\Local\FileSystemOptions
2016-10-18 06:39 - 2016-10-19 11:18 - 00000000 ____D C:\Users\twizya\AppData\Local\DateOption
2016-10-14 23:10 - 2016-10-14 23:10 - 00000000 ____D C:\Users\twizya\AppData\Local\Вoйти в Интeрнет
2016-10-14 23:09 - 2016-10-14 23:09 - 00000000 ____D C:\Users\twizya\AppData\Local\Войны престолов
2016-10-14 23:08 - 2016-10-14 23:09 - 00000300 _____ C:\Users\twizya\AppData\Local\expand.ini
2016-10-14 23:06 - 2016-10-17 09:19 - 00000000 ____D C:\Users\twizya\AppData\Local\svshost
2016-10-14 23:06 - 2016-10-14 23:06 - 08932000 _____ (Solvusoft Corporation ) C:\Users\twizya\Downloads\Setup_WinThruster_2016.exe
2016-10-14 23:06 - 2016-10-14 23:06 - 00000000 ____D C:\Users\Все пользователи\{B96EB44A-7860-4F13-BC9A-0A73CA5F11C2}
2016-10-14 23:06 - 2016-10-14 23:06 - 00000000 ____D C:\Users\twizya\AppData\Local\IIIQF
2016-10-14 23:06 - 2016-10-14 23:06 - 00000000 ____D C:\ProgramData\{B96EB44A-7860-4F13-BC9A-0A73CA5F11C2}
2016-10-14 23:06 - 2016-10-14 23:06 - 00000000 ____D C:\Program Files (x86)\filter2
Task: {8F553F65-608F-45B3-B948-35576992D444} - \svshost -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [322]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [322]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [322]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [322]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [322]
AlternateDataStreams: C:\Users\twizya\Application Data:NT [40]
AlternateDataStreams: C:\Users\twizya\Application Data:NT2 [322]
AlternateDataStreams: C:\Users\twizya\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\twizya\AppData\Roaming:NT2 [322]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [322]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [322]
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@twizya · 19.10.2016, 12:38 **[ТС]**

Вот

@twizya · 19.10.2016, 13:31 **[ТС]**

Ну пока вроде не вылетает ничего, и пропали вкладки странные. Спасибо.
Осталось дождаться что с карантином не так?

@Sandor · 19.10.2016, 13:44

Карантин разослан по вир-лабам.

А мы завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@twizya · 19.10.2016, 14:01 **[ТС]**

Sandor,

@Sandor · 19.10.2016, 14:09

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 80 (64-bit) v.7.0.800 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u102-windows-x64.exe).
Java 7 Update 80 v.7.0.800 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u102-windows-i586.exe).
Java 8 Update 91 v.8.0.910.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u102-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.4.3.1 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
---------------------------- [ UnwantedApps ] -----------------------------
Network ProtectionProg version 15.29 v.15.29 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by ToolsLib) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@twizya · 19.10.2016, 15:08 **[ТС]**

Sandor, Все обновил, и некоторые удалил, как все было сказано выше. Теперь состояние лучше?

@Sandor · 19.10.2016, 15:13

Значительно

IE тоже следует обновить, даже если им не пользуетесь. И читайте рекомендации.

@twizya · 19.10.2016, 15:14 **[ТС]**

Sandor, IE я обновил самым первым делом..

@Sandor · 19.10.2016, 15:20

Кроме номера версии, билд тоже должен быть актуальным.

@twizya · 19.10.2016, 15:23 **[ТС]**

Sandor, Ссылка на офф. сайт которая висела выше в сообщение, я по ней и скачал. Сейчас в IE зашёл и там галочка стоит на автообновлении. Может я что то не так сделал?

@Sandor · 19.10.2016, 15:37

Все правильно.

Сообщение от Sandor

Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет

@twizya 0 / 0 / 0 Регистрация: 18.10.2016 Сообщений: 10
		1
	Запуск ПК, а вместе с ним и google chrome вместе с вкладкой akisho 18.10.2016, 23:46. Показов 1790. Ответов 18 Метки нет (Все метки) Сначала была стартовая страница time to read, и поиск go search, потом поисковик был майла. После нескольких манипуляций удалось избавиться от этого, но заменилось тем, что после включение пк начал запускаться хром с вкладкой акишо. После еще нескольких усилий удалось убрать его, но вернулось опять time to read и прочее с ним связанное. Короче остановился на круговороте вируса. Сейчас акишо вылетает каждые минут 10, фильм не посмотреть... Помогите решить проблему 0

@thyrex 13267 / 7391 / 1564 Регистрация: 06.09.2009 Сообщений: 26,954
	19.10.2016, 00:48	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@Sandor 21983 / 15763 / 3047 Регистрация: 08.10.2012 Сообщений: 64,078
	19.10.2016, 11:37	6
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@twizya 0 / 0 / 0 Регистрация: 18.10.2016 Сообщений: 10
	19.10.2016, 13:31 [ТС]	10
	Ну пока вроде не вылетает ничего, и пропали вкладки странные. Спасибо. Осталось дождаться что с карантином не так? 0

@Sandor 21983 / 15763 / 3047 Регистрация: 08.10.2012 Сообщений: 64,078
	19.10.2016, 13:44	11
	Карантин разослан по вир-лабам. А мы завершаем: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 21983 / 15763 / 3047 Регистрация: 08.10.2012 Сообщений: 64,078
	19.10.2016, 14:09	13
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 7 Update 80 (64-bit) v.7.0.800 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u102-windows-x64.exe). Java 7 Update 80 v.7.0.800 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u102-windows-i586.exe). Java 8 Update 91 v.8.0.910.14 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u102-windows-i586.exe)^ --------------------------- [ AppleProduction ] --------------------------- iTunes v.12.4.3.1 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО. ---------------------------- [ UnwantedApps ] ----------------------------- Network ProtectionProg version 15.29 v.15.29 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by ToolsLib) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Прочтите и выполните Рекомендации после удаления вредоносного ПО 1

@Sandor 21983 / 15763 / 3047 Регистрация: 08.10.2012 Сообщений: 64,078
	19.10.2016, 15:13	15
	Значительно IE тоже следует обновить, даже если им не пользуетесь. И читайте рекомендации. 1

@twizya 0 / 0 / 0 Регистрация: 18.10.2016 Сообщений: 10
	19.10.2016, 15:14 [ТС]	16
	Sandor, IE я обновил самым первым делом.. 0

@Sandor 21983 / 15763 / 3047 Регистрация: 08.10.2012 Сообщений: 64,078
	19.10.2016, 15:20	17
	Кроме номера версии, билд тоже должен быть актуальным. 1

@twizya 0 / 0 / 0 Регистрация: 18.10.2016 Сообщений: 10
	19.10.2016, 15:23 [ТС]	18
	Sandor, Ссылка на офф. сайт которая висела выше в сообщение, я по ней и скачал. Сейчас в IE зашёл и там галочка стоит на автообновлении. Может я что то не так сделал? 0

	19.10.2016, 15:37

@Sandor 21983 / 15763 / 3047 Регистрация: 08.10.2012 Сообщений: 64,078
	19.10.2016, 15:37	19
	Все правильно. Сообщение от Sandor Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет 1