Решена Поисковик по умолчанию в Google Chrome с правами администратора

Тема в разделе "Лечение компьютерных вирусов", создана пользователем DaDmAl, 7 дек 2015.

Статус темы:
Закрыта.
  1. DaDmAl
    Оффлайн

    DaDmAl Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Здравствуйте! установил стороннее п.о., которое теперь мне уставнавливает сторонние программы на компьютер, названий не помню так как удалил все(вроде бы)

    последовал всем вашим инструкциям сделал логи, их и прикрепляю и прошу помощи в чистке.
     

    Вложения:

  2. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    В AVZ меню "Файл" -> "Выполнить скрипт", вставьте содержимое окна "код" ниже и нажмите "Запустить":
    Код (Text):
    begin
     TerminateProcessByName('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\jnsk3b35.tmp');
     TerminateProcessByName('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\knsf87ee.tmp');
     TerminateProcessByName('c:\users\aace~1\appdata\local\temp\2233113\mailruhomesearch.exe');
     TerminateProcessByName('c:\users\aace~1\appdata\local\temp\6926316\mailruhomesearch.exe');
     TerminateProcessByName('c:\users\Дмитрий\appdata\local\mail.ru\mailruupdater.exe');
     TerminateProcessByName('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe');
     TerminateProcessByName('c:\users\aace~1\appdata\local\temp\nsme4a2.tmp');
     TerminateProcessByName('c:\users\aace~1\appdata\local\temp\nss16d8.tmp');
     TerminateProcessByName('c:\users\дмитрий\appdata\local\temp\e65b6dd8-111d02a0-52a0627c-24e2be9c\ogtubaupdrl.exe');
     TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
     TerminateProcessByName('c:\windows\syswow64\searchprotectservice.exe');
     TerminateProcessByName('c:\users\Дмитрий\appdata\local\35453035-1449435878-3635-4235-4532ffffffff\snsre497.tmp');
     StopService('ginoquci');
     StopService('nukynyde');
     StopService('WindowsMangerProtect');
     StopService('woforemu');
     StopService('roqenufe');
     StopService('SPS');
     StopService('Updater.Mail.Ru');
     StopService('contentdefenderdrv');
     QuarantineFile('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\jnsk3b35.tmp', '');
     QuarantineFile('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\knsf87ee.tmp', '');
     QuarantineFile('c:\users\aace~1\appdata\local\temp\2233113\mailruhomesearch.exe', '');
     QuarantineFile('c:\users\aace~1\appdata\local\temp\6926316\mailruhomesearch.exe', '');
     QuarantineFile('c:\users\Дмитрий\appdata\local\mail.ru\mailruupdater.exe', '');
     QuarantineFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '');
     QuarantineFile('c:\users\aace~1\appdata\local\temp\nsme4a2.tmp', '');
     QuarantineFile('c:\users\aace~1\appdata\local\temp\nss16d8.tmp', '');
     QuarantineFile('c:\users\дмитрий\appdata\local\temp\e65b6dd8-111d02a0-52a0627c-24e2be9c\ogtubaupdrl.exe', '');
     QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '');
     QuarantineFile('c:\windows\syswow64\searchprotectservice.exe', '');
     QuarantineFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\KitFollow.dll', '');
     QuarantineFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\dqo.dll', '');
     QuarantineFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\{F79275BB-65E9-16F4-3C9D-95A94F3BFDD3}.dat', '');
     QuarantineFile('C:\Users\Дмитрий\AppData\Local\35453035-1449435878-3635-4235-4532FFFFFFFF\snsrE497.tmp', '');
     QuarantineFile('C:\Program Files\Content Defender\ContentDefender.exe', '');
     QuarantineFile('C:\WINDOWS\system32\drivers\contentdefenderdrv.sys', '');
     QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\ASPackage\ASPackage.exe', '');
     QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '');
     QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\R', '');
     QuarantineFile('C:\Users\Дмитрий\AppData\Local\Mail.ru\Sputnik\ptls\mailruhomesearch.exe', '');
     QuarantineFile('C:\Users\Дмитрий\AppData\Local\lcoupon\lcupstbl.exe', '');
     QuarantineFile('C:\Users\Дмитрий\AppData\Local\lcoupon\config.json', '');
     QuarantineFile('C:\ProgramData\Tmp0x0x\P', '');
     QuarantineFile('C:\Users\Дмитрий\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
     QuarantineFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe', '');
     QuarantineFile('c:\users\дмитрий\appdata\local\temp\e65b6dd8-111d02a0-52a0627c-24e2be9c\ywskazcxdl4ca.exe', '');
     QuarantineFile('C:\WINDOWS\system32\searchprotectservice.exe', '');
     DeleteFile('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\jnsk3b35.tmp', '32');
     DeleteFile('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\knsf87ee.tmp', '32');
     DeleteFile('c:\users\aace~1\appdata\local\temp\2233113\mailruhomesearch.exe', '32');
     DeleteFile('c:\users\aace~1\appdata\local\temp\6926316\mailruhomesearch.exe', '32');
     DeleteFile('c:\users\Дмитрий\appdata\local\mail.ru\mailruupdater.exe', '32');
     DeleteFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '32');
     DeleteFile('c:\users\aace~1\appdata\local\temp\nsme4a2.tmp', '32');
     DeleteFile('c:\users\aace~1\appdata\local\temp\nss16d8.tmp', '32');
     DeleteFile('c:\users\дмитрий\appdata\local\temp\e65b6dd8-111d02a0-52a0627c-24e2be9c\ogtubaupdrl.exe', '32');
     DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '32');
     DeleteFile('c:\windows\syswow64\searchprotectservice.exe', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\KitFollow.dll', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\dqo.dll', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\{F79275BB-65E9-16F4-3C9D-95A94F3BFDD3}.dat', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Local\35453035-1449435878-3635-4235-4532FFFFFFFF\snsrE497.tmp', '32');
     DeleteFile('C:\Program Files\Content Defender\ContentDefender.exe', '32');
     DeleteFile('nyneryxo.sys', '32');
     DeleteFile('C:\WINDOWS\system32\drivers\contentdefenderdrv.sys', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Roaming\ASPackage\ASPackage.exe', '32');
     DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '32');
     DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\R', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Local\Mail.ru\Sputnik\ptls\mailruhomesearch.exe', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Local\lcoupon\lcupstbl.exe', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Local\lcoupon\config.json', '32');
     DeleteFile('C:\ProgramData\Tmp0x0x\P', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
     DeleteFile('C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe', '32');
     DeleteFile('C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe', '32');
     DeleteFile('C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe', '32');
     DeleteFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe', '32');
     DeleteFile('c:\users\дмитрий\appdata\local\temp\e65b6dd8-111d02a0-52a0627c-24e2be9c\ywskazcxdl4ca.exe', '32');
     DeleteFile('C:\WINDOWS\system32\searchprotectservice.exe', '32');
     DeleteService('ginoquci');
     DeleteService('nukynyde');
     DeleteService('WindowsMangerProtect');
     DeleteService('woforemu');
     DeleteService('ContentDefender');
     DeleteService('nyneryxo');
     DeleteService('roqenufe');
     DeleteService('SPS');
     DeleteService('Updater.Mail.Ru');
     DeleteService('contentdefenderdrv');
     DeleteFileMask('c:\users\Дмитрий\appdata\local\mail.ru', '*', true);
     DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
     DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
     DeleteFileMask('C:\Users\Дмитрий\AppData\Local\Kit Follow', '*', true);
     DeleteFileMask('C:\Program Files\Content Defender', '*', true);
     DeleteFileMask('C:\Users\Дмитрий\AppData\Roaming\ASPackage', '*', true);
     DeleteFileMask('C:\Users\Дмитрий\AppData\Local\lcoupon', '*', true);
     DeleteFileMask('C:\Program Files (x86)\IObit', '*', true);
     DeleteFileMask('C:\Program Files (x86)\SwiftSearch_1.10.0.25', '*', true);
     DeleteDirectory('c:\users\Дмитрий\appdata\local\mail.ru');
     DeleteDirectory('c:\program files (x86)\mail.ru');
     DeleteDirectory('c:\programdata\tmp0x0x');
     DeleteDirectory('C:\Users\Дмитрий\AppData\Local\Kit Follow');
     DeleteDirectory('C:\Program Files\Content Defender');
     DeleteDirectory('C:\Users\Дмитрий\AppData\Roaming\ASPackage');
     DeleteDirectory('C:\Users\Дмитрий\AppData\Local\lcoupon');
     DeleteDirectory('C:\Program Files (x86)\IObit');
     DeleteDirectory('C:\Program Files (x86)\SwiftSearch_1.10.0.25');
     DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
     DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
     ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster Scan" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (Дмитрий)" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster Update" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Kit Follow" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Kit Follow2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Update');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mailruhomesearch');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'lcoupon');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
    ExecuteSysClean;
    ExecuteRepair(23);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните в AVZ скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте его с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    Удалите программы:
    Content Defender
    application extension version 1.5
    Driver Booster 2.3
    GamesDesktop 033.005010168
    Kit Follow
    SwiftSearch 1.10.0.25
    Weatherbar
    yoursearching uninstall
    Интернет
    Служба автоматического обновления программ

    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  3. DaDmAl
    Оффлайн

    DaDmAl Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    программы еще не удалял, скрипт выполнил, похоже проблема осталась.
     

    Вложения:

  4. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    В AVZ меню "Файл" -> "Выполнить скрипт", вставьте содержимое окна "код" ниже и нажмите "Запустить":
    Код (Text):
    begin
    ClearQuarantine;
    TerminateProcessByName('c:\users\Дмитрий\appdata\local\gmsd_ru_005010168\upgmsd_ru_005010168.exe');
    TerminateProcessByName('c:\program files (x86)\rec_en_77\rec_en_77.exe');
    TerminateProcessByName('c:\users\Дмитрий\appdata\local\35453035-1449489236-3635-4235-4532ffffffff\qnsf9377.tmp');
    StopService('hidekoqe');
    QuarantineFileF('C:\Program Files (x86)\gmsd_ru_005010168\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
    QuarantineFileF('c:\users\Дмитрий\appdata\local\35453035-1449489236-3635-4235-4532ffffffff\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
    QuarantineFileF('c:\program files (x86)\rec_en_77', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
    QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010168\gmsd_ru_005010168.exe', '');
    QuarantineFile('c:\users\Дмитрий\appdata\local\gmsd_ru_005010168\upgmsd_ru_005010168.exe', '');
    QuarantineFile('c:\program files (x86)\rec_en_77\rec_en_77.exe', '');
    QuarantineFile('c:\users\Дмитрий\appdata\local\35453035-1449489236-3635-4235-4532ffffffff\qnsf9377.tmp', '');
    DeleteFile('c:\program files (x86)\rec_en_77\rec_en_77.exe', '32');
    DeleteFile('C:\Users\Дмитрий\AppData\Local\35453035-1449489236-3635-4235-4532FFFFFFFF\qnsf9377.tmp', '32');
    DeleteFile('C:\Program Files (x86)\gmsd_ru_005010168\gmsd_ru_005010168.exe', '32');
    DeleteFile('C:\Users\Дмитрий\AppData\Local\gmsd_ru_005010168\upgmsd_ru_005010168.exe', '32');
    DeleteService('hidekoqe');
    DeleteFileMask('C:\Users\Дмитрий\AppData\Local\gmsd_ru_005010168', '*', true);
    DeleteFileMask('C:\Users\Дмитрий\AppData\Local\35453035-1449489236-3635-4235-4532FFFFFFFF', '*', true);
    DeleteFileMask('c:\program files (x86)\rec_en_77', '*', true);
    DeleteDirectory('C:\Users\Дмитрий\AppData\Local\gmsd_ru_005010168');
    DeleteDirectory('C:\Users\Дмитрий\AppData\Local\35453035-1449489236-3635-4235-4532FFFFFFFF');
    DeleteDirectory('c:\program files (x86)\rec_en_77');
    ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Core" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Pending Update" /F', 0, 15000, true);
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TextEditor');
    ExecuteSysClean;
    ExecuteRepair(23);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните в AVZ скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование модератором: 7 дек 2015
  5. DaDmAl
    Оффлайн

    DaDmAl Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    прикладываю отчеты о проделанной работе, согласно инструкции.
     

    Вложения:

  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • Сброс политик IE
      • Сброс политик Chrome
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
    Если используете программы от mail.ru то перед удалением снимите на вкладках галочки с упоминанием mail.ru
     
  7. DaDmAl
    Оффлайн

    DaDmAl Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    все равно похоже проблема осталась :(

    [​IMG]
    p.s. последнего совета не видел, пока сообщение отправлял, сейчас попробуем. ;)
    --- Объединённое сообщение, 7 дек 2015 ---
    Уряяя. :Dance4: проблема похоже устранена. поисковик по умолчанию меняется, лишние вкладки сами собой не открываются. Спасибо большое всем помогающим. :)
     

    Вложения:

    Последнее редактирование: 7 дек 2015
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
  9. DaDmAl
    Оффлайн

    DaDmAl Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    все супер, avz написал, что уязвимостей не обнаружено.
    --- Объединённое сообщение, 7 дек 2015 ---
    единственное, что хотел бы дополнить, после всех процедур, пропал звук, но эта ситуация легко исправилась, переустановкой драйверов. :)
     
Статус темы:
Закрыта.

Поделиться этой страницей