В хроме всплывают окна, а опера не запускается

@SugarAbyss · Регистрация: 05.07.2019

Author24 — интернет-сервис помощи студентам

1. Ничего не скачивал долгое время, но откуда не возьмись только в хроме стали выскакивать всплывающие окна 0.feernews.biz. в опере все было нормально.

2. Установил malwarebytes,. Прогнал первый раз, нашел что-то удалил, не помогло.
То же самое с др веб лайт.

3. Ещё раз прогнал байтсом, опять что то нашел, удалил, не помогло.

4. Прогнал в третий раз байтсом, ничего не нашел. Реклама по прежнему всплывает.

5. Опера после последней проверке виснет наглухо, и виснет систему.

6. Скачал автологгер, запускаю его. При запуске опера стебле, зависает.

В безопасном режиме логгер запустить?

@Sandor · 05.07.2019, 10:29

Здравствуйте!

Сообщение от SugarAbyss

При запуске опера стебле, зависает

Назначьте браузером по умолчанию другой или временно её деинсталлируйте.

@SugarAbyss · 05.07.2019, 10:43 **[ТС]**

Назначил хром по умолчанию, теперь при запуске хрома все виснет, логгер в том числе

@Sandor · 05.07.2019, 10:49

Из папки ...Autologger\AVZ запустите avz.exe, в меню Файл - Стандартные скрипты отметьте скрипт №2 и нажмите Выполнить.
Получится архив с именем virusinfo_syscheck.zip - его прикрепите к следующему сообщению.

@SugarAbyss · 05.07.2019, 11:20 **[ТС]**

Получилось со 2 раза

еще вот collection log получился

@Sandor · 05.07.2019, 11:35

Внимание! Рекомендации написаны специально для пользователя SugarAbyss. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Host Service

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('4F96543BA9F90B91');
 StopService('4F96543E7696FEF1');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\393FCA39.sys', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\F2469B5.sys', '');
 QuarantineFile('C:\Users\User\AppData\Local\yc\Application\yc.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Subversion\TortoiseSVN.dll', '');
 QuarantineFileF('c:\users\user\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\User\AppData\Local\Temp\393FCA39.sys', '64');
 DeleteFile('C:\Users\User\AppData\Local\Temp\F2469B5.sys', '64');
 DeleteFile('C:\Users\User\AppData\Local\yc\Application\yc.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\yc\Application\yc.exe', '64');
 DeleteFile('C:\Users\User\AppData\Roaming\Subversion\TortoiseSVN.dll', '64');
 DeleteFile('C:\Users\User\Favorites\Links\Интернет.url');
 DeleteService('4F96543BA9F90B91');
 DeleteService('4F96543E7696FEF1');
 DeleteFileMask('c:\users\user\appdata\local\yc', '*', true);
 DelCLSID('{CBF88FC2-F150-4F29-BC80-CE30EFD1B62C}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\joivwvknps', 'command', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

@SugarAbyss · 05.07.2019, 12:12 **[ТС]**

2019.07.05_quarantine_40ef91f8a5f4d2fa6bee38591a88cd42.7z

новый collection log как сделать, что-то запускаю проверку, он сканирует но лог старый остается

@Sandor · 05.07.2019, 12:23

В имени архива должны измениться дата и время. В крайнем случае удалите старый архив.

@SugarAbyss · 05.07.2019, 12:25 **[ТС]**

я удалил, запускаю проверку, и новый архив не появляется

@Sandor · 05.07.2019, 12:27

В самом AVZ никакие дополнительные галочки не ставите? Настройки не меняете?

@SugarAbyss · 05.07.2019, 12:34 **[ТС]**

Никаких не ставил, в настройки не лез. Потом решил,как вы в первый раз сказали поставить в стандартных выбрать номер 2 и запустить, все то же самое.

@Sandor · 05.07.2019, 12:38

Подготовьте и прикрепите лог сканирования AdwCleaner.

Добавлено через 35 секунд
+
Выполните скрипт в AVZ из папки ...Autologger\AVZ\ (Файл - Выполнить скрипт):

Код

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

@SugarAbyss · 05.07.2019, 12:42 **[ТС]**

окна по-прежнему всплывают

@Sandor · 05.07.2019, 12:47

Удалите всю папку Autologger, распакуйте и запустите ещё раз Autologger-test.exe
Если не получится архив, будем действовать по-другому.

@SugarAbyss · 05.07.2019, 12:58 **[ТС]**

получилось

@Sandor · 05.07.2019, 13:32

Сообщение от SugarAbyss

Реклама по прежнему всплывает

Это ещё продолжается?

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@SugarAbyss · 05.07.2019, 14:03 **[ТС]**

Да, продолжают всплывать, причем через раз.
Опера не запускается, висит.

@Sandor · 05.07.2019, 14:14

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3827629111-1646217897-2219180912-1000\...\MountPoints2: {187a919f-aca2-11e0-a7cf-0017319180b2} - I:\CorelLauncher.exe
HKU\S-1-5-21-3827629111-1646217897-2219180912-1000\...\MountPoints2: {6156697a-7c00-11e0-a798-0017319180b2} - J:\autorun.exe
HKU\S-1-5-21-3827629111-1646217897-2219180912-1000\...\MountPoints2: {97eea88d-640e-11e2-bf76-0017319180b2} - G:\iLinker.exe
HKU\S-1-5-21-3827629111-1646217897-2219180912-1000\...\MountPoints2: {a30c9b00-95eb-11e0-9838-0017319180b2} - H:\LaunchU3.exe -a
HKU\S-1-5-21-3827629111-1646217897-2219180912-1000\...\MountPoints2: {b90d112c-099c-11e9-900a-0017319180b2} - D:\HiSuiteDownLoader.exe
SearchScopes: HKLM -> DefaultScope value is missing
Toolbar: HKU\S-1-5-21-3827629111-1646217897-2219180912-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
CHR HKU\S-1-5-21-3827629111-1646217897-2219180912-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pkijdmeepjhpenmighhaodgfoogncnlk] - C:\Program Files (x86)\Offline Explorer Pro\mpoe.crx [2014-05-31]
AlternateDataStreams: C:\Users\User\Desktop\e1.jpeg:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\User\Desktop\e1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\e2.jpeg:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\User\Desktop\e2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\e3.jpeg:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\User\Desktop\e3.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\e4.jpeg:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\User\Desktop\e4.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\ИНН.jpeg:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\User\Desktop\ИНН.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\ОГРН.jpeg:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\User\Desktop\ОГРН.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\СНИЛС.jpeg:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\User\Desktop\СНИЛС.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\Уведомление о постаневоке на учет.jpeg:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\User\Desktop\Уведомление о постаневоке на учет.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@SugarAbyss · 05.07.2019, 14:37 **[ТС]**

сделал

@Sandor · 05.07.2019, 14:45

Изменения есть?

@SugarAbyss 0 / 0 / 0 Регистрация: 05.07.2019 Сообщений: 25
		1
	В хроме всплывают окна, а опера не запускается 05.07.2019, 10:24. Показов 2007. Ответов 36 Метки нет (Все метки) 1. Ничего не скачивал долгое время, но откуда не возьмись только в хроме стали выскакивать всплывающие окна 0.feernews.biz. в опере все было нормально. 2. Установил malwarebytes,. Прогнал первый раз, нашел что-то удалил, не помогло. То же самое с др веб лайт. 3. Ещё раз прогнал байтсом, опять что то нашел, удалил, не помогло. 4. Прогнал в третий раз байтсом, ничего не нашел. Реклама по прежнему всплывает. 5. Опера после последней проверке виснет наглухо, и виснет систему. 6. Скачал автологгер, запускаю его. При запуске опера стебле, зависает. В безопасном режиме логгер запустить? 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	05.07.2019, 10:29	2
	Здравствуйте! Сообщение от SugarAbyss При запуске опера стебле, зависает Назначьте браузером по умолчанию другой или временно её деинсталлируйте. 1

@SugarAbyss 0 / 0 / 0 Регистрация: 05.07.2019 Сообщений: 25
	05.07.2019, 10:43 [ТС]	3
	Назначил хром по умолчанию, теперь при запуске хрома все виснет, логгер в том числе 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	05.07.2019, 10:49	4
	Из папки ...Autologger\AVZ запустите avz.exe, в меню Файл - Стандартные скрипты отметьте скрипт №2 и нажмите Выполнить. Получится архив с именем virusinfo_syscheck.zip - его прикрепите к следующему сообщению. 1

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	05.07.2019, 11:35	6
	Внимание! Рекомендации написаны специально для пользователя SugarAbyss. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: Host Service Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('4F96543BA9F90B91'); StopService('4F96543E7696FEF1'); QuarantineFile('C:\Users\User\AppData\Local\Temp\393FCA39.sys', ''); QuarantineFile('C:\Users\User\AppData\Local\Temp\F2469B5.sys', ''); QuarantineFile('C:\Users\User\AppData\Local\yc\Application\yc.exe', ''); QuarantineFile('C:\Users\User\AppData\Roaming\Subversion\TortoiseSVN.dll', ''); QuarantineFileF('c:\users\user\appdata\local\yc', '.exe, .dll, .sys, .bat, .vbs, .ps1, .js, .tmp', true, '', 0 , 0); DeleteFile('C:\Users\User\AppData\Local\Temp\393FCA39.sys', '64'); DeleteFile('C:\Users\User\AppData\Local\Temp\F2469B5.sys', '64'); DeleteFile('C:\Users\User\AppData\Local\yc\Application\yc.exe', '32'); DeleteFile('C:\Users\User\AppData\Local\yc\Application\yc.exe', '64'); DeleteFile('C:\Users\User\AppData\Roaming\Subversion\TortoiseSVN.dll', '64'); DeleteFile('C:\Users\User\Favorites\Links\Интернет.url'); DeleteService('4F96543BA9F90B91'); DeleteService('4F96543E7696FEF1'); DeleteFileMask('c:\users\user\appdata\local\yc', '', true); DelCLSID('{CBF88FC2-F150-4F29-BC80-CE30EFD1B62C}'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\joivwvknps', 'command', '64'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\', 1, 300000, false); end. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. К сообщению прикреплять файл quarantine.7z не нужно! Подготовьте новый CollectionLog. 0

@SugarAbyss 0 / 0 / 0 Регистрация: 05.07.2019 Сообщений: 25
	05.07.2019, 12:12 [ТС]	7
	2019.07.05_quarantine_40ef91f8a5f4d2fa6bee38591a88cd42.7z новый collection log как сделать, что-то запускаю проверку, он сканирует но лог старый остается 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	05.07.2019, 12:23	8
	В имени архива должны измениться дата и время. В крайнем случае удалите старый архив. 0

@SugarAbyss 0 / 0 / 0 Регистрация: 05.07.2019 Сообщений: 25
	05.07.2019, 12:25 [ТС]	9
	я удалил, запускаю проверку, и новый архив не появляется 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	05.07.2019, 12:27	10
	В самом AVZ никакие дополнительные галочки не ставите? Настройки не меняете? 0

@SugarAbyss 0 / 0 / 0 Регистрация: 05.07.2019 Сообщений: 25
	05.07.2019, 12:34 [ТС]	11
	Никаких не ставил, в настройки не лез. Потом решил,как вы в первый раз сказали поставить в стандартных выбрать номер 2 и запустить, все то же самое. 0

	05.07.2019, 14:45

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	05.07.2019, 12:47	14
	Удалите всю папку Autologger, распакуйте и запустите ещё раз Autologger-test.exe Если не получится архив, будем действовать по-другому. 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	05.07.2019, 13:32	16
	Сообщение от SugarAbyss Реклама по прежнему всплывает Это ещё продолжается? Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	05.07.2019, 14:45	20
	Изменения есть? 0