Решена в настройках поиска указано установлен администратором

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Ely, 29 июл 2015.

Статус темы:
Закрыта.
  1. Ely
    Оффлайн

    Ely Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Здравствуйте, при скачивании подцепила массу ..вредоносного ПО - большинство удалила. Но adwcleaner не помог разблокировать выбор поисковой системы в chrome. Что-то осталось- помогите, пожалуйста).
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Здравствуйте.

    Удалите через установку и удаление программ:

    Hamster Free Archiver 2.0.1.8

    amigo браузер ваше?

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff\hnszbb26.tmp', '');
    QuarantineFile('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff\jnsp9e42.tmp', '');
    QuarantineFileF('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff', '*', true, '', 0 , 0);
    QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
    QuarantineFileF('C:\Program Files (x86)\Zaxar', '*', true, '', 0 , 0);
    QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
    QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe', '');
    QuarantineFile('C:\Users\Elvira\AppData\Local\promoskiki\config.json', '');
    QuarantineFile('C:\Users\Elvira\AppData\Local\promoskiki\stub.exe', '');
    QuarantineFile('C:\Users\Elvira\AppData\Roaming\KJB8XgiOzPmSOcGUSOLy8tzI.exe', '');
    QuarantineFileF('C:\Users\Elvira\AppData\Local\promoskiki', '*', true, '', 0 , 0);
    QuarantineFile('C:\Program Files (x86)\punto.bat', '');
    QuarantineFile('C:\Program Files (x86)\Yandex\YandexDiskScreenshotEditor.bat', '');
    QuarantineFile('C:\Program Files (x86)\Yandex\YandexDiskStarter.bat', '');
    QuarantineFile('C:\iexplore.bat', '');
    QuarantineFile('C:\Program Files (x86)\Launcher.bat', '');
    QuarantineFile('C:\Program Files (x86)\diary.bat', '');
    QuarantineFile('C:\Program Files (x86)\layouts.bat', '');
    QuarantineFile('C:\Program Files (x86)\WelcomeToPunto.bat', '');
    QuarantineFile('C:\Program Files (x86)\ps.bat', '');
    DeleteFile('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff\hnszbb26.tmp');
    DeleteFile('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff\jnsp9e42.tmp');
    DeleteFile('C:\iexplore.bat');
    DeleteFile('C:\Windows\system32\Tasks\KJB8XgiOzPmSOcGUSOLy8tzI', '64');
    DeleteFile('C:\Users\Elvira\AppData\Roaming\KJB8XgiOzPmSOcGUSOLy8tzI.exe', '32');
    DeleteFile('C:\Windows\Tasks\KJB8XgiOzPmSOcGUSOLy8tzI.job', '64');
    DeleteFile('C:\Users\Elvira\AppData\Local\promoskiki\stub.exe', '32');
    DeleteFile('C:\Users\Elvira\AppData\Local\promoskiki\config.json', '32');
    DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe', '32');
    DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
    DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
    DeleteFile('C:\Program Files (x86)\punto.bat', '');
    DeleteFile('C:\Program Files (x86)\Yandex\YandexDiskScreenshotEditor.bat', '');
    DeleteFile('C:\Program Files (x86)\Yandex\YandexDiskStarter.bat', '');
    DeleteFile('C:\iexplore.bat', '');
    DeleteFile('C:\Program Files (x86)\Launcher.bat', '');
    DeleteFile('C:\Program Files (x86)\diary.bat', '');
    DeleteFile('C:\Program Files (x86)\layouts.bat', '');
    DeleteFile('C:\Program Files (x86)\WelcomeToPunto.bat', '');
    DeleteFile('C:\Program Files (x86)\ps.bat', '');
    DeleteService('comyninu');
    DeleteService('hyverumu');
    DeleteFileMask('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff', '*', true);
    DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
    DeleteFileMask('C:\Users\Elvira\AppData\Local\promoskiki', '*', true);
    DeleteDirectory('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff', '');
    DeleteDirectory('C:\Program Files (x86)\Zaxar', '');
    DeleteDirectory('C:\Users\Elvira\AppData\Local\promoskiki', '');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\promoskiki', 'command');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser', 'command');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    ExecuteRepair(2);
    ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


    • Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

      Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
      Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
      Отметьте галочками также "Shortcut.txt".

      Нажмите кнопку Scan.
      После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
      Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 29 июл 2015
  3. Ely
    Оффлайн

    Ely Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Здравствуйте.
    Удален Hamster Free Archiver 2.0.1.8
    amigo браузер - не мой и не нужен.
    Файл quarantine.zip отправлен.
    Отчеты прикреплены.
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    IE trusted site: HKU\S-1-5-21-3800399171-3995014911-1650129425-1000\...\localhost -> localhost
    IE trusted site: HKU\S-1-5-21-3800399171-3995014911-1650129425-1000\...\webcompanion.com -> hxxp://webcompanion.com
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WindowsMangerProtect]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\promoskiki]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader]
    FirewallRules: [TCP Query User{FA46D5A5-8CC0-44F5-8E0C-BE3AE3829C93}C:\users\elvira\appdata\local\temp\spoon\cache\0x9a5ede1ce1a0359a\stubexe\0xea434e2b09e08196\agent.exe] => (Block) C:\users\elvira\appdata\local\temp\spoon\cache\0x9a5ede1ce1a0359a\stubexe\0xea434e2b09e08196\agent.exe
    FirewallRules: [UDP Query User{C0C29AB7-17F1-4F50-80A8-C7564C4CF37C}C:\users\elvira\appdata\local\temp\spoon\cache\0x9a5ede1ce1a0359a\stubexe\0xea434e2b09e08196\agent.exe] => (Block) C:\users\elvira\appdata\local\temp\spoon\cache\0x9a5ede1ce1a0359a\stubexe\0xea434e2b09e08196\agent.exe
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [gmsd_ru_005010043] => [X]
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
    Toolbar: HKU\S-1-5-21-3800399171-3995014911-1650129425-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    CHR Extension: (Google Search) - C:\Users\Elvira\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2013-08-31]
    S2 zypyjyjo; C:\Program Files (x86)\45443439-1438070718-3637-4338-4131FFFFFFFF\knsu6ED3.tmpfs [X]
    C:\Program Files (x86)\45443439-1438070718-3637-4338-4131FFFFFFFF\knsu6ED3.tmpfs [X]
    2015-07-28 15:45 - 2015-07-28 15:45 - 00613255 _____ (CMI Limited) C:\Users\Elvira\AppData\Local\nszFBBF.tmp
    2015-07-28 15:06 - 2015-07-28 15:06 - 00000127 ____H C:\Program Files (x86)\Launcher.bat
    2015-07-28 15:06 - 2015-07-28 15:06 - 00000118 ____H C:\Program Files (x86)\WelcomeToPunto.bat
    2015-07-28 15:06 - 2015-07-28 15:06 - 00000117 ____H C:\Program Files (x86)\layouts.bat
    2015-07-28 15:06 - 2015-07-28 15:06 - 00000115 ____H C:\Program Files (x86)\punto.bat
    2015-07-28 15:06 - 2015-07-28 15:06 - 00000115 ____H C:\Program Files (x86)\diary.bat
    2015-07-28 15:06 - 2015-07-28 15:06 - 00000112 ____H C:\Program Files (x86)\ps.bat
    2015-07-28 15:06 - 2015-06-26 00:43 - 00815312 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
    2015-07-28 15:06 - 2015-01-06 15:35 - 00514560 ____H C:\Program Files (x86)\Lаunсhеr.bаt.exe
    2015-07-28 15:06 - 2012-12-26 22:50 - 01571808 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe
    2015-07-28 15:06 - 2012-12-26 22:50 - 00290784 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe
    2015-07-28 15:06 - 2012-12-26 22:50 - 00033760 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe
    2015-07-28 15:45 - 2015-07-28 15:45 - 0613255 _____ (CMI Limited) C:\Users\Elvira\AppData\Local\nszFBBF.tmp
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  5. Ely
    Оффлайн

    Ely Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    По-моему, все получилось.
    Спасибо огромное за оперативную и эффективную помощь.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      7,6 КБ
      Просмотров:
      1
    • AdwCleaner[R2].txt
      Размер файла:
      2,9 КБ
      Просмотров:
      4
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  7. Ely
    Оффлайн

    Ely Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    >
     

    Вложения:

  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Ely, перечитайте,пожалуйста,мой предыдущий пост внимательнее...
     
  9. Ely
    Оффлайн

    Ely Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Так?
     

    Вложения:

  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    Удалите папку FRSIT.

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  11. Ely
    Оффлайн

    Ely Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    >
     

    Вложения:

  12. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Driver Booster 2.4 v.2.4 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    Skype Click to Call v.7.4.0.9058 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
    ----------------------------- [ End of Log ] ------------------------------

    Выполните рекомендации после лечения.

    Еще проблемы беспокоят?
     
  13. Ely
    Оффлайн

    Ely Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Читала- прореагировала уже.) Все в порядке, доктор.
    Еще раз благодарю за помощь.
     
  14. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
Статус темы:
Закрыта.

Поделиться этой страницей