Решена Словил Tencent-QQPCMgr

Тема в разделе "Лечение компьютерных вирусов", создана пользователем magicwd, 24 авг 2015.

Метки:
Статус темы:
Закрыта.
  1. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    Здравствуйте! Все банально пошло, скачал и установил файл WindowsPhonePowerTools.exe и приобрел полный китайский фарш для винды). Удалось удалить службу QQPCMgrRTPService методом описаным по ссылке (Tencent QQPCMgr - как удалить с компьютера?), через их собственный китайский деинсталятор. Но рекламные окна в браузерах остались, вылазят при каждом открытии новой вкладки. Посоветуйте пожалуйста как избавиться от инфекции.
     
  2. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    Кое-что забыл, прилагаю.
     

    Вложения:

  3. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Здравствуйте!
    Удалите через установку и удаление программ:
    Browser Extensions
    Search Protection
    Surfing Protection
    swMSM

    Это вам знакомо? IObit

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Chrome Apps & Extensions Developer Tool.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndeх.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndeх.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet Exрlоrer Вrowsеr.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrome (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Exрlorеr.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Еxplоrer (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орera (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орera.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Еxplorer (Nо Add-оns).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Пaнель запуска приложений Сhrоme.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Сhrome Аpрs & Еxtеnsiоns Develoреr Тoоl.lnk','');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оperа.lnk','');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоmе.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Nokia Care Suite.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb tegdiw eboda.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualretrevnocxvid.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnuallenaplortnocxvid.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnual_tsilkcalb.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '');
     QuarantineFile('C:\Program Files\Hide Folders\WiFi-autostart.bat', '');
     QuarantineFile('QMUdisk.sys', '');
     QuarantineFile('C:\Windows\system32\Drivers\TS888x64.sys', '');
     QuarantineFile('C:\Windows\MPK\mpk.exe', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb tegdiw eboda.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualretrevnocxvid.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnuallenaplortnocxvid.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnual_tsilkcalb.bat', '');
     DeleteFile('C:\Windows\system32\Drivers\TS888x64.sys', '32');
     DeleteFile('QMUdisk.sys', '32');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '32');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '32');
     DeleteService('QMUdisk');
     DeleteService('TS888x64');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Dragokas и magicwd нравится это.
  4. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    swMSM, вот эту гадость не нашел, прикрепляю логи. quarantine.zip отправил через форму. как было указанно выше
     

    Вложения:

  5. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    magicwd нравится это.
  6. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    Удалил все отмеченное что было после сканирования
     

    Вложения:

  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    А остальное?
     
    magicwd нравится это.
  8. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    Готово.
     

    Вложения:

    • Addition.txt
      Размер файла:
      83 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      49 КБ
      Просмотров:
      2
    • Shortcut.txt
      Размер файла:
      215,4 КБ
      Просмотров:
      1
  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\008i.com -> 008i.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\008k.com -> 008k.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\00hq.com -> 00hq.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0190-dialers.com -> 0190-dialers.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\01i.info -> 01i.info
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\02pmnzy5eo29bfk4.com -> 02pmnzy5eo29bfk4.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\05p.com -> 05p.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\07ic5do2myz3vzpk.com -> 07ic5do2myz3vzpk.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\08nigbmwk43i01y6.com -> 08nigbmwk43i01y6.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\093qpeuqpmz6ebfa.com -> 093qpeuqpmz6ebfa.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0calories.net -> 0calories.net
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0cj.net -> 0cj.net
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0scan.com -> 0scan.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-britney-spears-nude.com -> 1-britney-spears-nude.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-domains-registrations.com -> 1-domains-registrations.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-se.com -> 1-se.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1001movie.com -> 1001movie.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1001night.biz -> 1001night.biz
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\100gal.net -> 100gal.net
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\100sexlinks.com -> 100sexlinks.com
    FirewallRules: [{8432FC9D-6EF3-4BE3-B6B7-32532CF39651}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
    FirewallRules: [{7292BB3F-C122-43C3-ACA2-5EEB2DE03E57}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
    ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  No File
    Toolbar: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
    FF Plugin HKU\S-1-5-21-1166898318-1680202229-4136601030-1000: @acestream.net/acestreamplugin,version=2.1.7.1 -> C:\Users\Dany\AppData\Roaming\ACEStream\player\npace_plugin.dll [2014-07-09] (Innovative Digital Technologies)
    CHR HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lkgikdljlijdigcpknpecodlmihmdmij] - C:\Users\Dany\AppData\Local\CRE\lkgikdljlijdigcpknpecodlmihmdmij.crx [2013-05-09]
    CHR HKLM-x32\...\Chrome\Extension: [acaoakiamfeidcmgooclgeleejkbaecf] - C:\Program Files (x86)\WinToFlash Suggestor\WinToFlashSuggestor.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [lkgikdljlijdigcpknpecodlmihmdmij] - C:\Users\Dany\AppData\Local\CRE\lkgikdljlijdigcpknpecodlmihmdmij.crx [2013-05-09]
    OPR Extension: (Quick Searcher) - C:\Users\Dany\AppData\Roaming\Opera Software\Opera Stable\Extensions\heildphpnddilhkemkielfhnkaagiabh [2015-08-24]
    S2 XapcnPhoneService; C:\Program Files (x86)\爱应用PC版\wp8svc.exe [34776 2014-06-20] () [File not signed]
    2015-08-24 00:51 - 2015-08-24 00:51 - 00000000 ____D C:\Users\Dany\AppData\Local\gmsd_ua_025010027
    2015-08-24 00:51 - 2015-08-24 00:51 - 00000000 ____D C:\Program Files (x86)\gmsd_ua_025010027
    2015-08-24 00:50 - 2015-08-24 00:50 - 00000000 ____D C:\Program Files (x86)\798CA8FF-1440366645-E211-B805-B888E3A77292
    cmd: Mkdir C:\MPKsz
    unlock: C:\Windows\MPK
    cmd: copy /y C:\Windows\MPK\* C:\MPKsz
    cmd: del /f/q C:\Windows\MPK
    Reg: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v userinit /t REG_SZ /d "C:\\WINDOWS\\system32\\userinit.exe,"
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Папки C:\MPKsz и C:\FRST\Quarantine упаковать в архив с паролем virus и отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Предыдущий карантин я от вас так и не увидел.
    Жду.

    + смените пароли.
     
    Последнее редактирование: 24 авг 2015
    magicwd нравится это.
  10. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    Письмо отправил с первым карантином и Fixlog.txt, а созданный архив с Папки C:\MPKsz и C:\FRST\Quarantine получился 25 Мб, ни с яндекса ни с gmail немогу отправить, может на яндекс диск вам ссылку дать?
    Яндекс.Диск

    --- Объединённое сообщение, 24 авг 2015 ---
    А пароли где сменить?)
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      11,6 КБ
      Просмотров:
      4
    Последнее редактирование: 24 авг 2015
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Все.
    У вас клавиатурный шпион сидел.

    Registry Trash Keys Finder вам знаком?Ваше?

    Повторите лог FRST.

    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
    magicwd нравится это.
  12. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    Спасибо, после работы уже все выполню. Registry Trash Keys Finder не знаком. В браузерах еще есть реклама.
     
  13. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    Повторил и вот, что произошло. Винда загружается, а на рабочем столе все мертвое, ни одна прога незапускается с иконок, выключил ноут только с розетки) и так 2 раза. Решил зайти в безопасный с сет.драйверами, чтоб отписаться, прикрепляю лог
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      10,6 КБ
      Просмотров:
      5
  14. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Вы были не внимательны - я просил не выполнить старый скрипт,а сделать новый лог.
    Откатитесь на точку восстановления на 25 августа,на время когда первый раз выполнили скрипт FRST.

    Когда вернете нормальную загрузку системы продолжайте начиная с сбора лога Malwarebytes' Anti-Malware.
     
    magicwd нравится это.
  15. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    Вот это надо было сделать? у меня восстановление системы отключенно, никак откат не сделаю. Так малваре с безопасно ненужно запускать?
    --- Объединённое сообщение, 25 авг 2015, Дата первоначального сообщения: 25 авг 2015 ---
    Ну вообщем я сделал сканирование в безопасном режиме на всякий. Подскажите мне пожалуйста выход из ситуации, при том, что я теперь окатиться не могу на раннюю точку?
     

    Вложения:

  16. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    Я так понимаю, сносить винду единственный выход из сложившейся ситуации? Не в моем положении торопить события, но мне ноут для работы необходим, поэтому хочу определиться, если нельзя исправить, то буду переустанавливать., что вы скажете?
     
  17. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    В безопасном режиме нормально загружается?
    Диагностируйте источник проблем с загрузкой и запуском программ:
    Windows - Диагностика загрузки Windows

    Как сможете нормально работать с компьютером продолжим лечение.
     
    magicwd нравится это.
  18. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    Да, в безопасном режиме все в норме, я и рекламу в браузерах отключил путем поиска значений в реестре. Но не все ключи получилось удалить, как оказалось у меня прав недостаточно) Ок спасибо, займусь диагностикой загрузки.
     
  19. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Это добьем,не переживайте.
    Жду вашего возвращения,потом
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве.

    Код (Text):

    Данные реестра: 2
    PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Хорошо: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Плохо: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[ed1c907d18731f17ae1acd8c45c0de22]
    PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Хорошо: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Плохо: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[ca3fde2f7912ae88dbed46138c791be5]

    Папки: 9
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\S-1-5-21-1166898318-1680202229-4136601030-1000, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    Refog.KeyLogger, C:\ProgramData\MPK, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\1, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\1\HCAL, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\CPDA, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\CPDM, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor, , [69a012fbfc8f3ff78d6658c214efe719],

    Файлы: 37

    PUP.Optional.Conduit.A, C:\ministub.exe, , [6a9f69a4b4d79e989656d7486c94a957],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Bulgarian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Croatian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Czech.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Danish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Dutch.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\English.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Finnish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\French.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\German.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Greek.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Hungarian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Indonesian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Italian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Japanese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Norwegian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Polish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Portuguese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Romanian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Russian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\SimpChinese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Spanish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Swedish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Thai.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\TradChinese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Turkish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\S-1-5-21-1166898318-1680202229-4136601030-1000\Settings.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    Refog.KeyLogger, C:\ProgramData\MPK\M0000, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\S0000, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\1\D0000, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\1\S0000, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\CPDM\cpfm.bin, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor\Купить сейчас!.lnk, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor\Сайт  MIPKO Employee Monitor в Интернете.lnk, , [69a012fbfc8f3ff78d6658c214efe719],


     
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
     
    magicwd нравится это.
  20. magicwd
    Оффлайн

    magicwd Новый пользователь

    Сообщения:
    40
    Симпатии:
    4
    Результаты удаления прикрепляю, через 20мин досканирует будет отчет после удаления
    --- Объединённое сообщение, 26 авг 2015, Дата первоначального сообщения: 26 авг 2015 ---
    Готово
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей