Решена Схватил Амиго. Помогите убить остатки

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Юрий, 20 сен 2016.

Метки:
  1. Юрий
    Оффлайн

    Юрий Новый пользователь

    Сообщения:
    7
    Симпатии:
    1
    Схватил месяца полтора назад наш горячо любимый Амиго. Удалиля все через панель управления. Потом подчищал в temp. Но осталась такая зараза, которую не могу выкурить:
    hттp://search.sidecubes.com/?st=dn&q=

    Эта дичь открываеться с любого браузера. Удаляю ее в настройках,чищу куки и кеш- не помогает. в реестре колупался - не помогло. Все-равно после перезагрузки браузера(и компа) он остаеться.
    Раньше я его убивал в настройках хрома и он исчезал на 2-3 дня. Сейчас же - я убил его, запустил "новую вкладку" - норм(вылезает мо родной поиск в гугле", но когда запускаю вторую" новую вкладку" - снова он вылезает!
     
    Последнее редактирование модератором: 20 сен 2016
    Candellmans нравится это.
  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
  3. Юрий
    Оффлайн

    Юрий Новый пользователь

    Сообщения:
    7
    Симпатии:
    1
    добавляю логи!
     

    Вложения:

  4. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     TerminateProcessByName('c:\programdata\airtostrong\airtostrong.exe');
     TerminateProcessByName('C:\Program Files\BitTorrent\BitTorrent.exe');
     TerminateProcessByName('c:\programdata\ocep\ocep.exe');
     TerminateProcessByName('c:\programdata\logic handler\set.exe');
     TerminateProcessByName('c:\programdata\xifs\xifs.exe');
     SetServiceStart('xifs', 4);
     SetServiceStart('ocep', 4);
     SetServiceStart('BitTorrent', 4);
     SetServiceStart('backlh', 4);
     SetServiceStart('Airtostrong', 4);
     QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
     QuarantineFile('c:\programdata\airtostrong\airtostrong.exe','');
     QuarantineFile('c:\programdata\xifs\xifs.exe','');
     QuarantineFile('c:\programdata\ocep\ocep.exe','');
     QuarantineFile('c:\programdata\logic handler\set.exe','');
     DeleteFile('c:\programdata\logic handler\set.exe','32');
     DeleteFile('c:\programdata\ocep\ocep.exe','32');
     DeleteFile('c:\programdata\xifs\xifs.exe','32');
     DeleteFile('c:\programdata\airtostrong\airtostrong.exe','32');
     DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32');
     DeleteService('Airtostrong');
     DeleteService('backlh');
     DeleteService('BitTorrent');
     DeleteService('ocep');
     DeleteService('xifs');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
     
  5. Юрий
    Оффлайн

    Юрий Новый пользователь

    Сообщения:
    7
    Симпатии:
    1
    Отправил на почту письмо. И вот новые логи
    Скрип не помог=(
     

    Вложения:

    Последнее редактирование: 26 сен 2016
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Менеджер браузеров и вулкан ваше? Сами установили?
    Программы connect и kuler?

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RebootWindows(false);
    end.

     
    Компьютер перезагрузится.
    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1P1Hz0Fys-sh0ffhmjGDswELtQytFBHN-4IqQ8n7k53DyUgr3iejURa3_QQLx6GCmvAIAsLIryD7ii1qGoOdSKtBKKGR9Cc7kEsPILs6n9-Cz41BwoTFq58Vc-DDuuBXSOUO5uQJTtbOecIMdv&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1P1Hz0Fys-sh0ffhmjGDswELtQytFBHN-4IqQ8n7k53DyUgr3iejURa3_QQLx6GCmvAIAsLIryD7ii1qGoOdSKtBKKGR9Cc7kEsPILs6n9-Cz41BwoTFq58Vc-DDuuBXSOUO5uQJTtbOecIMdv&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1P1Hz0Fys-sh0ffhmjGDswELtQytFBHN-4IqQ8n7k53DyUgr3iejURa3_QQLx6GCmvAIAsLIryD7ii1qGoOdSKtBKKGR9Cc7kEsPILs6n9-Cz41BwoTFq58Vc-DDuuBXSOUO5uQJTtbOecIMdv&q={searchTerms}
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1P1Hz0Fys-sh0ffhmjGDswELtQytFBHN-4IqQ8n7k53DyUgr3iejURa3_QQLx6GCmvDHwT7BPUyLUEOkoEBVIxuGcfibLrxLcjVB-VFhcRVz-7AEILHwCBtslNdZRnp8dgMNnPI_8hdk3zj3kW
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1P1Hz0Fys-sh0ffhmjGDswELtQytFBHN-4IqQ8n7k53DyUgr3iejURa3_QQLx6GCmvAIAsLIryD7ii1qGoOdSKtBKKGR9Cc7kEsPILs6n9-Cz41BwoTFq58Vc-DDuuBXSOUO5uQJTtbOecIMdv&q={searchTerms}
    O2 - BHO: (no name) - {A692062A-11A1-461B-BE98-B520F01F96FC} - (no file)
     

    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код (Text):

    >>>  "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"      -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> %SNP%]
    >>>  "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"       -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> %SNP%]
    >>>  "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk"      -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> %SNP%]
    >>>  "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk"    -> ["C:\Program Files (x86)\Mozilla Firefox\firefox.exe"  =>> %SNF%]
    >>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk"     -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> %SNP%]
    >>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk"         -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> %SNP%]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> %SNP%]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk"  -> ["C:\Program Files (x86)\Mozilla Firefox\firefox.exe"  =>> %SNF%]


     
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    akok нравится это.
  7. Юрий
    Оффлайн

    Юрий Новый пользователь

    Сообщения:
    7
    Симпатии:
    1
    Vulkan мое, остальной софт - хз. Я его(эти три программы) даже не нашел в установленных.
    Вот логи. После сканирования через AdwCleaner - ничего не очищал. Сделал тупо все как Вы написати, по инструкции
     

    Вложения:

  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • Сброс политик IE
      • Сброс политик Chrome
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    Повторите лог Adwcleaner

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  9. Юрий
    Оффлайн

    Юрий Новый пользователь

    Сообщения:
    7
    Симпатии:
    1
    Сделал все как написали. Вроде норм, но иногда выскакивает эта дичь. при повторном сканировании через AdwCleaner- нашло ету фигню еще раз удалил и уже не выскакиевает. ну по крайней мере не замечал. Спасибо Вам большое!
     

    Вложения:

    • FRST.txt
      Размер файла:
      54,5 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      55,6 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      83,9 КБ
      Просмотров:
      0
    • AdwCleaner[C0].txt
      Размер файла:
      15,4 КБ
      Просмотров:
      2
    • AdwCleaner[S2].txt
      Размер файла:
      2,1 КБ
      Просмотров:
      2
    Последнее редактирование: 29 сен 2016
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Менеджер браузеров - удалите через установку и удаление программ.

    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk -> C:\Users\User\AppData\Local\Yandex\BrowserManager\BrowserManager.exe (No File)
    FF Extension: (supermegabest) - C:\Users\User\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-21]
    CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
    2016-08-09 11:52 - 2016-08-09 11:52 - 2936289 _____ () C:\Program Files\Common Files\doaxlzmi.exe
    2016-08-02 01:53 - 2016-08-02 01:53 - 2944864 _____ () C:\Program Files\Common Files\scomsstl.exe
    2016-08-04 13:10 - 2016-08-04 13:10 - 2940996 _____ () C:\Program Files\Common Files\tb0fcpzn.exe
    File: C:\Users\User\AppData\Roaming\Sanlax.exe
    File: C:\Users\User\AppData\Roaming\Silzap.exe
    File: C:\Users\User\AppData\Local\quoquote.exe.config
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Повторите лог.
     
  11. Юрий
    Оффлайн

    Юрий Новый пользователь

    Сообщения:
    7
    Симпатии:
    1
    В установках и удалении менеджера браузеров - нет!
     

    Вложения:

    • AdwCleaner[C3].txt
      Размер файла:
      2,3 КБ
      Просмотров:
      1
    • Fixlog.txt
      Размер файла:
      4 КБ
      Просмотров:
      1
  12. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    Менеджер браузеров (x32 Version: 2.2.1.614 - Яндекс) Hidden
    2016-08-01 22:51 - 2016-08-01 22:48 - 0681984 _____ () C:\Users\User\AppData\Roaming\Sanlax.exe
    2016-08-01 22:51 - 2016-08-01 22:51 - 1906512 _____ () C:\Users\User\AppData\Roaming\Sanlax.tst
    2016-08-01 22:50 - 2016-08-01 22:48 - 0681984 _____ () C:\Users\User\AppData\Roaming\Silzap.exe
    2016-08-01 22:50 - 2016-08-01 22:50 - 0072713 _____ () C:\Users\User\AppData\Roaming\Silzap.tst
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    После этого скрипта - появится.

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    Сообщите о проблемах.
     
  13. Юрий
    Оффлайн

    Юрий Новый пользователь

    Сообщения:
    7
    Симпатии:
    1
    Удалил. Спасибо
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      1,9 КБ
      Просмотров:
      1
  14. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Какие то проблемы есть еще?

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.

    Выполните рекомендации после лечения.
     

Поделиться этой страницей