Решена QQPCTray

Тема в разделе "Лечение компьютерных вирусов", создана пользователем scarletthawtorn, 10 июл 2015.

Статус темы:
Закрыта.
  1. scarletthawtorn
    Оффлайн

    scarletthawtorn Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Скачивала программы на непроверенном сайте, внезапно начали самоустанавливаться всякие амиго, игры от мэйл.ру, в браузере заменились стартовые страницы и настройки. Их удалось удалить, но вот эта китайская программа QQPCTray все еще здесь :( попробовала вырубить ее в диспетчере задач - он ругался и говорил, что в доступе отказано. Компьютер только привезли из ремонта, до вчерашнего дня там вообще ничего не было. Что делать?
     
  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.219
    Симпатии:
    4.978
    Последнее редактирование: 10 июл 2015
  3. scarletthawtorn
    Оффлайн

    scarletthawtorn Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Здравствуйте!
    Надеюсь, все сделала правильно.
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.219
    Симпатии:
    4.978
    Да,все верно.
    Как только на форуме появится свободный консультант вам дадут инструкции.
     
  5. scarletthawtorn
    Оффлайн

    scarletthawtorn Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Спасибо! Буду ждать.
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Здравствуйте!

    деинсталируйте.

    если сами не ставили, то также деинсталируйте.
    если не использует, то тоже.


    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantine;
    ClearQuarantineEx(true);
    TerminateProcessByName('c:\users\Анна\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe');
    StopService('fiqovuby');
    QuarantineFile('c:\users\Анна\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\D06FE7A3-1436469149-11E0-9DD4-D480BF0C80B3\knsdCAAA.tmpfs', '');
    QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010026\gmsd_ru_005010026.exe', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozillа Firеfоx.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Chrоmе.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Eхplоrеr Browser.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Gооgle Сhromе.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Chrоme.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr (2).lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxplorеr (Nо Add-оns).lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Ехрlоrеr.lnk', '');
    QuarantineFile('C:\Users\Анна\Desktop\lll\Gоoglе Chrome.lnk', '');
    QuarantineFile('C:\Users\Анна\Desktop\lll\Моzillа Firеfох.lnk', '');
    QuarantineFile('C:\Users\Анна\Desktop\lll\Оpera.lnk', '');
    QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 30.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzilla Firefox (2).lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzilla Firefox.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
    QuarantineFile('C:\Users\Анна\Desktop\lll\Google Chrome.lnk', '');
    QuarantineFile('C:\Users\Анна\Desktop\lll\Mozilla Firefox.lnk', '');
    QuarantineFile('C:\Users\Анна\Desktop\lll\Opera.lnk', '');
    QuarantineFile('C:\Users\Public\Desktop\Drаgon Аge 2.(Лаунчер).lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DАEМОN Тools Lite.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Skyrim - Legendary Edition\Игрaть Skyrim - Lеgеndаry Edition.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Dragon Age 2.v 1.04 + 16 DLC\Drаgon Аge 2.(Лaунчер).lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Кinoroom Вrowsеr.lnk', '');
    QuarantineFile('C:\Users\Анна\Desktop\lll\DАЕMОN Тоols Lite.lnk', '');
    QuarantineFile('C:\Users\Анна\Desktop\Skyrim - Lеgеndаry Editiоn.lnk', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.emorhc.bat', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.xoferif.bat', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.arepo.bat', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnual2eganogard.bat', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualtd.bat', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat', '');
    QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.resworbrk.bat', '');
    QuarantineFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT', '');
    QuarantineFile('C:\Users\Анна\AppData\Local\Mail.Ru\GameCenter\Chrome\3.2272.2050\libEGL.dll', '');
    QuarantineFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe', '');
    QuarantineFile('C:\Users\Анна\AppData\Local\Host installer\2121005966_installcube.exe', '');
    DeleteFile('c:\users\Анна\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe', '32');
    DeleteFile('C:\Users\Анна\AppData\Roaming\D06FE7A3-1436469149-11E0-9DD4-D480BF0C80B3\knsdCAAA.tmpfs', '32');
    DeleteFile('C:\Program Files (x86)\gmsd_ru_005010026\gmsd_ru_005010026.exe', '32');
    DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
    DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
    DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.emorhc.bat', '');
    DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.xoferif.bat', '');
    DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.arepo.bat', '');
    DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
    DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnual2eganogard.bat', '');
    DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualtd.bat', '');
    DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat', '');
    DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.resworbrk.bat', '');
    DeleteFile('C:\Windows\system32\Tasks\Soft installer', '64');
    DeleteFile('C:\Users\Анна\AppData\Local\Host installer\2121005966_installcube.exe', '32');
    DeleteFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe', '32');
    DeleteService('fiqovuby');
    DeleteFileMask('C:\Program Files (x86)\Tencent\', '*', true);
    DeleteFileMask('C:\Users\233B~1', '*', true);
    DeleteFileMask('C:\Users\4E68~1', '*', true);
    DeleteDirectory('C:\Program Files (x86)\Tencent\');
    DeleteDirectory('C:\Users\233B~1');
    DeleteDirectory('C:\Users\4E68~1');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010026');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010026.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'fgevkcjeic');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
  7. scarletthawtorn
    Оффлайн

    scarletthawtorn Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    1. eTranslator [2015/07/09 22:01:53]-->"C:\Users\Анна\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall

    попробовала деинсталлировать, гугл хром закрылся и высветилась ошибка (скрин приложен)

    2. Игровой центр@Mail.Ru [2015/07/07 19:38:49]-->"C:\Users\Анна\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall

    этим пользуюсь, оставила

    3. заполнила форму и отправила по ней quarantine.zip

    4. файлы прикрепляю.

    Большое спасибо :) жду дальнейших указаний.
     

    Вложения:

  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1) Remote Desktop Access (VuuPC) - деинсталируйте.

    2)
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):
      ;uVS v3.85.25 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1
      v385c
      BREG
      chklst
      delvir
      dirzooex %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA
      dirzooex %SystemDrive%\USERS\АННА\APPDATA\ROAMING\VOPACKAGE
      bl DACBEBE491EB6029FD72F600AB2E7171 297608
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCRTP.EXE
      bl FBA2C8E98479CA22B40FE48A4354E234 481632
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\SQLITE.DLL
      bl 9EB532FA17EBF25F9E7BACD55406C0ED 55648
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMDNS.DLL
      bl 0A0A417349368EBE3CA7EF1D7395CE5B 3112504
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKTT.DLL
      bl DF8F742AFD14BA10C6DA5ABD10EF2C4C 174432
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVE.DLL
      bl 53D9EF730A99458C7181E1DBF67FF58D 682336
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMFILEMON.DLL
      bl 51C1EDB55CF0C4F0835F306021B12FE5 354656
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCHARDWARE.DLL
      bl 6AD127B60B4B1385CA56A7B0CAB1D767 96736
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMREPAIRPLUGIN.DLL
      bl 2F83D9BAC50FD31B52059908BCBD9945 317792
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMUL.DLL
      bl EE3B1BB3FD1B652003408C73AB4D739B 241208
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKREPORT.DLL
      bl D5714576699479C8E670354622AE3999 106040
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKCOM.DLL
      bl 3EC71A2292EB0A5D48A9ED9ECC808931 216632
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKPROXY.DLL
      bl A11FBCCD3BCE836F66F77EE5227FD6D3 84320
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMSAFEBOXHELPERDLL.DLL
      bl 93DE4D3CF2D6396EEB82220FCF4D3801 92512
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMRTPDLL.DLL
      bl EF952AA851B9ADC57324FD7D4DC0BD10 100704
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMHIPS.DLL
      bl C0318178C6F3277B976A76C51D59F749 84320
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMAVPROXY.DLL
      bl EE0314F9E4A035144346C8C7F4AC6A51 18784
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\ODAYPROTECT.DLL
      bl D8B6BDB55EF5F2314F5A90863B8283BA 48480
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\COMMUNIC.DLL
      bl D3E013980C2AA2E5E45869B308D1F85A 26464
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMCPM.DLL
      bl BFC613808359FC5ACD9FD3C43F56CA25 739680
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCFIXATDLL.DLL
      bl C2FC17493DD2309F5212D4FFD5FEDBEA 203104
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQFILEFLT.DLL
      bl 0499B92ACE41977107C7DE249A96AB87 84320
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\SOFTMGR\PROCESSLOGDLL.DLL
      bl 1D9B5EB844CACB3A2FAFD9394BBEA76B 203104
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVINTERFACE.DLL
      bl 185895FAFD966E809EB765006082067B 28512
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMBDSCANNER.DAT
      bl BDBB30FA72718461FD9B77109A3A7F1E 305504
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMRTPCHECK.DLL
      bl 9C313D9B5F5AC1F1D6E47CDDCFCE64F9 149856
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMEMMAT.DLL
      bl FE6E03DFE5AB6255E2045B5D3B1B321E 67936
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\RTPCOMMON.DLL
      bl BD36627974E508860C76F9BB0561F906 39776
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\SYSSPEEDUPRTPPLUGIN\SYSSPEEDUPRTPPLUGIN.DLL
      bl 421C26F38F286D01547789FA644A599C 63840
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMIEMALRTPPLUGIN\QMIEMALRTPPLUGIN.DLL
      bl B9CF3CAE9A46AF76ADA02EC06638E441 145760
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\SPECIALPLUGIN\QMHIPSSPECIAL.DLL
      bl 298632B12499C3A416BE430BA823A715 555360
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMCLOUDINTER\QMCLOUDINTER.DLL
      bl 735EE40251A0168C826AA4DF73C9211A 117088
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\SXCOMBASE.DLL
      bl D70EE763BB18647BF0E5202E8CC8C415 199008
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMSCRIPTHOST.DLL
      bl 046A3F89356803FA1D2DAFF49918A981 117088
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMEXT.DLL
      bl BD6C48BA68DAEB86833AA6B850541F2C 88416
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\ZLIB.DLL
      bl F7C0487F908DB5F317C7620BD4E23E99 1878368
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMSYSREPPROV.DLL
      bl DDD6B6A8F602F498236E819CB55D9AD2 325984
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMASSOCSCAN.DLL
      bl A2BD2519554DE4063639D8925A088671 510304
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVUPLOAD.DLL
      bl 799073388CA60181F9DA391A92E2E56F 432480
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVCACHE.DLL
      bl 550167A257C2A2F112F2C3A5FBC5EF29 92512
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKITPROXY.DLL
      bl 596F967C0D60B4319B421CB53EDA7FE2 1194336
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMHIPSENGINE.DLL
      bl 5F793A74F36A00B9CF77609B683A8D6D 231776
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMNETWORKMGR.DLL
      bl B028DC1B85E52EAE2234C09C93EEF08A 100704
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TINYXML.DLL
      bl EA3A36ED7595F766811AE4AAAECDB4AA 670048
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVENG.DLL
      bl 9DF9EA7E4FA242782FC3059564651E82 203104
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMTRAYPLUGIN\QMPERFCTRL\QMPERF.DLL
      bl F000D34393212B181BCB4E2C619F96BD 174432
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMIPC.DLL
      bl F1D6A38959CDF0C43FFF7A0539D789AF 84320
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PTRATE.DLL
      bl 3AD6A8DCE0D9A383A0B6C07A4324612D 424288
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\DR.DLL
      bl E690C907ED0BC5DDF9B5C938BE14A3BA 149856
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\REFUSEINJECT.DLL
      bl 5BA77691A0034836359D67502E5C2D3B 715104
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCOMMON.DLL
      bl 2D743A40DD9B9692CA73B9E5D9D8C07B 63840
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCONTEXTUNINSTALL64.DLL
      bl C33D68057BF0E6B29577750B7956CBC0 94048
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCONTEXTSCAN64.DLL
      bl B9A73D2AD107A7EF0F8F0C4DB2B63C6C 461152
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMGCSHELLEXT64.DLL
      bl 8B9BC8CA493517547FEE9524A7529D92 223072
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\EXNSCAN64.DLL
      bl 757D320CED91219BE8ABE68D6B4C8CBB 84320
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\NPQMEXTENSIONSMOZILLA.DLL
      bl 082330935A1B2B3FD364FAD107E4604C 355296
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCTRAY.EXE
      bl 8D91621F5953012405E1A4C69FA93958 88416
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCONTEXTSCAN.DLL
      bl CC8AD9A3B418F86D72592F54876023B6 414560
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSWEBMON64.DAT
      bl F3CFAAACDD1B3DA0EAF8335967E1D16C 129336
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQSYSMONX64.SYS
      zoo %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
      bl D4AEDDCC80AE2781A1E0C89484C27D4B 99640
      delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TAOACCELERATOR64.SYS
      zoo %Sys32%\DRIVERS\TAOKERNEL64.SYS
      bl EB42B24ACCB1E700AC00912EA2F3C2D2 174392
      delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TAOKERNEL64.SYS
      zoo %Sys32%\DRIVERS\TFSFLTX64.SYS
      bl 510466333F1647D444742819E7DE951F 87864
      delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TFSFLTX64.SYS
      bl 4833F5BE6843247F3E35842532F2682D 42296
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSCPM64.SYS
      bl 6416EFF7B5B704469B3B7AFB6665E71F 28472
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSDEFENSEBT64.SYS
      zoo %Sys32%\DRIVERS\TSSKX64.SYS
      bl 566770559DCFB325BB589CB602FAA531 38200
      delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TSSKX64.SYS
      bl CB0FCAF7C06DF799CA37A12BFE220D34 87352
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKIT64.SYS
      bl 833E0552ADF9B2FB266C5ABC921EDAFC 88416
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\NPQMEXTENSIONSIE.DLL
      bl 366A7869E9E72D579FF2341C4CC7B8E1 293856
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAOFRAME.EXE
      bl 16E27465FC02E6974704FD2187E92144 1097272
      delall \\?\C:\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
      bl 34991C81906C294CD86D660BFEDC2584 1408480
      delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCSOFTMGR.EXE
      deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\
      deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\  del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT
      del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL2EGANOGARD.BAT
      del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALMIRYKS.BAT
      del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTD.BAT
      del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.RESWORBRK.BAT
      del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT
      deldir %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\PANEL
      deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\VOPACKAGE
      delall HTTP://HAO.QQ.COM/?UNC=O400493_1&S=O400493_1
      delall HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1436516830&Z=4C5D08165CC89D44B94F1B4G5Z0CEQ4W4G0QBB1C4W&FROM=AGE&UID=HITACHIXHTS725050A9A364_100720PCK404VLJSNKHJX
      delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL
      delall HTTP://WWW.OURSURFING.COM/NEWTAB/?TYPE=NT&TS=1436516830&Z=4C5D08165CC89D44B94F1B4G5Z0CEQ4W4G0QBB1C4W&FROM=AGE&UID=HITACHIXHTS725050A9A364_100720PCK404VLJSNKHJX
      zoo %SystemDrive%\USERS\АННА\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
      bl 603344F2722ECEFA8711525EA48CC774 51149
      delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
      delall HTTP://LIBUMA.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=2F5A6EE5633FCA0CB69F0C4796D738E2&UTM_TERM=B4FF1F99D2CB3F721555693095F3DD20
      delref %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI\3.0.3_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
      delref %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC\3.0.3_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
      delref %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\3.0.3_0\ПОИСК MAIL.RU
      zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KINOROOM BROWSER.LNK
      bl B6615A97691AA42EDE5DAE9097A08891 1980
      delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KINOROOM BROWSER.LNK
      czoo
      areg
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.

    3) - Удалите в AdwCleaner всё кроме папок от mail.ru. Отчет после удаления прикрепите.

    4) - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

    5) Сделайте свежий лог uVS.
     
  9. scarletthawtorn
    Оффлайн

    scarletthawtorn Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    1. во время исполнения пункта 4 у меня снова внезапно начали устанавливаться амиго, вконтакте, одноклассники, гугл хром заменился на crossbar
    сейчас все поудалялось, кроме амиго и музыки амиго

    2. архив отправила на почту

    3. логи:
    --- Объединённое сообщение, 10 июл 2015, Дата первоначального сообщения: 10 июл 2015 ---
    апд: амиго вместе с музыкой так же внезапно исчезли
     

    Вложения:

  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    По ссылке которую я вам дал другая версия программы скачивается ;).
    --- Объединённое сообщение, 11 июл 2015, Дата первоначального сообщения: 11 июл 2015 ---
    1) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код (Text):
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk
    C:\Users\Анна\Desktop\lll\Оpera.lnk
    C:\Users\Анна\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozillа Firеfоx.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Gооgle Сhromе.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Chrоme.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr (2).lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.Музыка.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxplorеr (Nо Add-оns).lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Ехрlоrеr.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk
    C:\Users\Анна\Desktop\lll\Gоoglе Chrome.lnk
    C:\Users\Анна\Desktop\lll\Моzillа Firеfох.lnk
    C:\Users\Анна\Desktop\Амиго.Музыка.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
    C:\Users\Анна\Desktop\Амиго.lnk
    C:\Users\Public\Desktop\Drаgon Аge 2.(Лаунчер).lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DАEМОN Тools Lite.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Skyrim - Legendary Edition\Игрaть Skyrim - Lеgеndаry Edition.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Dragon Age 2.v 1.04 + 16 DLC\Drаgon Аge 2.(Лaунчер).lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Кinoroom Вrowsеr.lnk
    C:\Users\Анна\Desktop\lll\DАЕMОN Тоols Lite.lnk
    C:\Users\Анна\Desktop\Skyrim - Lеgеndаry Editiоn.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета\Панель запуска.lnk
    C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета\Удалить панель запуска.lnk
    C:\Users\Анна\Desktop\lll\Corel Home Office.lnk
    C:\Users\Анна\Desktop\lll\проги\G10 Multi-Mode.lnk
    C:\Users\Public\Desktop\Dragon Age 2.(Лаунчер).lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DAEMON Tools Lite.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Skyrim - Legendary Edition\Играть Skyrim - Legendary Edition.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Dragon Age 2.v 1.04 + 16 DLC\Dragon Age 2.(Лаунчер).lnk
    C:\Users\Анна\Desktop\lll\DAEMON Tools Lite.lnk
    C:\Users\Анна\Desktop\Skyrim - Legendary Edition.lnk
    C:\Users\Анна\Favorites\Links\Интернет.url
     
    2)
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):
      ;uVS v3.85.25 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1
      v385c
      BREG
      vreg
      del %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL2EGANOGARD.BAT
      del %SystemDrive%\USERS\PUBLIC\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL2EGANOGARD.BAT
      del %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALMIRYKS.BAT
      del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALMIRYKS.BAT
      del %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTD.BAT
      delall %SystemDrive%\USERS\����\APPDATA\ROAMING\MCN3I62V12MDBFC6NZ7BHUXN.EXE
      delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\PANEL\KOMETALAUNCHPANEL.EXE
      del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT
      delall %SystemDrive%\USERS\����\APPDATA\ROAMING\JMLSSLQ8IDAV2IMSLOAGFN.EXE
      dirzooex %SystemDrive%\USERS\АННА\APPDATA\LOCAL\13485
      deldir %SystemDrive%\USERS\АННА\APPDATA\LOCAL\13485
      zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\КINOROOM ВROWSЕR.LNK
      bl 6D0380F7AA99146D5CB15091854CAC72 1153
      delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\КINOROOM ВROWSЕR.LNK
      delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
      zoo %SystemDrive%\USERS\АННА\APPDATA\LOCAL\TEMP\FSDB443.EXE
      bl 353CA2E9685ED8C67B118775EECDEAC5 3001344
      delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\TEMP\FSDB443.EXE
      delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCTRAY.EXE
      delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\PANEL\PANELREMOVE.EXE
      delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\ETRANSLATOR\ETRANSLATOR.EXE
      delref %SystemDrive%\PROGRAM FILES (X86)\ANKI\ANKI.EXE
      delall HTTP:\\LIBUMA.RU\?UTM_SOURCE=STARTLINK03&UTM_TERM=B4FF1F99D2CB3F721555693095F3DD20
      zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\АМИГО.LNK
      bl 41E97492C03E4EFEE0F58C09704C2EC9 2234
      delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\АМИГО.LNK
      zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.LNK
      delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.LNK
      zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK
      bl E0D4C9AFA6E0BE58E4725058C9808430 2211
      delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK
      zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АМИГО.LNK
      delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АМИГО.LNK
      zoo %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.LNK
      bl CECA6E5B8B241264F4DE257079786C83 2209
      delall %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.LNK
      zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.МУЗЫКА.LNK
      bl 37836D936102C4145287C4957EC2DB75 2777
      delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.МУЗЫКА.LNK
      zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРИЛОЖЕНИЯ АМИГО\АМИГО.МУЗЫКА.LNK
      bl 33344E0A7A69990BC92FEA20A2141DC3 2604
      delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРИЛОЖЕНИЯ АМИГО\АМИГО.МУЗЫКА.LNK
      zoo %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.МУЗЫКА.LNK
      bl F25C7567EC0422329083621AEC8BBAF7 2763
      delall %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.МУЗЫКА.LNK
      delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI\3.0.3_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
      delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC\3.0.3_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
      delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\3.0.3_0\ПОИСК MAIL.RU
      zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\УДАЛИТЬ ПАНЕЛЬ ЗАПУСКА.LNK
      bl 45CB12850DE8BC60B058E41255D50EAA 1997
      delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\УДАЛИТЬ ПАНЕЛЬ ЗАПУСКА.LNK
      zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\ПАНЕЛЬ ЗАПУСКА.LNK
      bl 33BE940C56AC4F34509B3DA1AD6F7DA4 2027
      delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\ПАНЕЛЬ ЗАПУСКА.LNK
      delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BFAOHPMJMHDGNJBLOJEKJLNADHEHIADJ\1.26.57_0\CIPLUS-4.5VV10.07
      deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\
      deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРИЛОЖЕНИЯ АМИГО\
      deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\
      deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\ETRANSLATOR\
      deldir %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\
      delall %SystemDrive%\Users\Анна\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico
      deltmp
      czoo
      areg
       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.

    3) Сделайте свежий лог AdwCleaner-а.

    4) Переделайте лог Check Browsers' LNK той версий, что я просил.
     
  11. scarletthawtorn
    Оффлайн

    scarletthawtorn Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    упс, извините, я это упустила.

    логи:
     

    Вложения:

  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1) Папку
    Код (Text):
    C:\Users\理磬\
    удалите вручную.

    2) - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    3) Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    4) Что с проблемой?
     
  13. scarletthawtorn
    Оффлайн

    scarletthawtorn Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    1. этой папки нет
    та, что с непонятными значками создана 2го числа, это вроде как не она. скрин приложен

    3. у меня запустился авз, все верно? в любом случае, приложила лог

    4. китайской программы больше не слышно, это победа :) спасибо большое!
     

    Вложения:

  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1)
    Деинсталируйте.

    2)
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    SetServiceStart('wsasvc_1.10.0.19', 4);
    StopService('wsasvc_1.10.0.19');
    QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
    QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Service\wsasvc.exe', '');
    DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Service\wsasvc.exe', '32');
    DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '32');
    DeleteFile('C:\Windows\system32\Tasks\GameXPService Autoupdate', '64');
    DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_Анна', '64');
    DeleteService('wsasvc_1.10.0.19');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_C0E5D2B775FDDC4A046829E7FA07F827');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{B19ED566-D419-470b-B111-3C89040BC027}');
    ExecuteSysClean;
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.

    3)
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    4) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.

    5)
    это как раз она, удалите её.
     
  15. scarletthawtorn
    Оффлайн

    scarletthawtorn Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    все кроме пункта 4 готово.
    у меня выскакивает ошибка:
     

    Вложения:

  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    На всякий случай попробуйте в безопасном режиме сделать лог.
     
  17. scarletthawtorn
    Оффлайн

    scarletthawtorn Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    пару секунд эта программа в безопасном режиме поработала, потом снова та же ошибка высветилась.

    сделать лог uvs? или чего-то другого?
     

    Вложения:

    • FRST.txt
      Размер файла:
      10,4 КБ
      Просмотров:
      3
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    Toolbar: HKU\S-1-5-21-4182067106-2409426851-3225599235-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
    FF Extension: No Name - C:\Users\Анна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Видимых проблем больше нет?
    По поводу FRST подумаю, что можно сделать. В принципе заразу вычистили, но хотелось убедится, что и все хвосты от неё удалены.
    Папку с иероглифами удалили?


    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
  19. scarletthawtorn
    Оффлайн

    scarletthawtorn Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    папку удалила, скрипт дал ссылку на установку Adobe Flash Player, установила. берусь за рекомендации после лечения.

    нет, больше ничего не вылезает. ура! спасибо вам огромное :)
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      1,3 КБ
      Просмотров:
      1
  20. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.219
    Симпатии:
    4.978
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите содержимое файла к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
Статус темы:
Закрыта.

Поделиться этой страницей