Решена Вирус Tencent (QQPCMgr)

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Rezet, 14 июн 2015.

Статус темы:
Закрыта.
  1. Rezet
    Оффлайн

    Rezet Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Здравствуйте! В интернете скачал программу WinRar, начал устанавливать, в результате чего вместо данной программы на компьютер проник этот вирус. Многочисленные всплывающие окна и прочие программы на китайском языке не дают спокойно жить =(. Прочитал правила оформления заявки на помощь, делаю все как там изложено. Застопорился на логгах: запускаю программу, она доходит до 3 скрипта и потом просит перезагрузить компьютер для продолжения сканирования.После перезагрузки ничего не происходит. Прошу Вас помочь мне разобраться в этом.
     
  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
  3. Rezet
    Оффлайн

    Rezet Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Вот мои логи
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Удалите через установку и удаление программ:
    Chrome Search
    GamesDesktop 033.005010001
    GamesDesktop 033.005010002
    GamesDesktop 033.290
    mystartsearch
    SmartWeb

    Вам знакома программа
    erLT
    Менеджер браузеров?

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  5. Rezet
    Оффлайн

    Rezet Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Программа erLT мне не знакома. Прикрепляю отчет о работе утилиты ClearLNK и результаты сканирования AdwCleaner. Вышеперечисленные программы удалил.
     

    Вложения:

  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Выполните загрузку в безопасном режиме.

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    После перезагрузки повторите сканирование в обычном варианте загрузки и прикрепите новый лог.

    Подробнее читайте в этом руководстве.
     
  7. Rezet
    Оффлайн

    Rezet Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Отчет в безопасном режиме [S0] и в обычном [S1]
     

    Вложения:

  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Почти отлично.
    Какие жалобы остаются?

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 15 июн 2015
  9. Rezet
    Оффлайн

    Rezet Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Жалоба на самопроизвольное открытие новых вкладок в GoogleChrome, открывает всякий спам, игры, интернет магазины и т.д. А так все работает как раньше. Отчеты сканирования программы Farbar Recovery Scan Tool прилагаю.
     

    Вложения:

    • Addition.txt
      Размер файла:
      42,3 КБ
      Просмотров:
      4
    • FRST.txt
      Размер файла:
      70,9 КБ
      Просмотров:
      5
    • Shortcut.txt
      Размер файла:
      158,2 КБ
      Просмотров:
      1
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    Task: D:\WINDOWS\Tasks\AmiUpdXp.job => D:\Documents and Settings\;448<8D.D4586D306D714B5.000\Application Data\9495\Updater.exe <==== ATTENTION
    Task: D:\WINDOWS\Tasks\At1.job => D:\DOCUME~1\F5F1~1.D45\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
    Task: D:\WINDOWS\Tasks\SmartWeb Upgrade Trigger Task.job => D:\Documents and Settings\;448<8D.D4586D306D714B5.000\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe <==== ATTENTION
    Task: D:\WINDOWS\Tasks\Soft installer.job => D:\Documents and Settings\;448<8D.D4586D306D714B5.000\Local Settings\Application Data\Host installer\2824004470_monster.exe
    2015-06-10 20:26 - 2015-06-10 20:26 - 00744960 _____ () D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\00000000-1433879110-0000-0000-00241DC6D6A9\nsp38D.tmp
    2015-06-12 15:24 - 2015-06-12 15:24 - 00219136 _____ () D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\00000000-1433879110-0000-0000-00241DC6D6A9\jnsl4E9.tmp
    2015-06-12 15:24 - 2015-06-12 15:24 - 03983016 _____ () D:\Program Files\gmsd_ru_290\gmsd_ru_290.exe
    2015-06-12 15:24 - 2015-06-11 14:25 - 03984552 _____ () D:\Program Files\gmsd_ru_005010001\gmsd_ru_005010001.exe
    2015-06-14 19:22 - 2015-06-13 14:58 - 03984552 _____ () D:\Program Files\gmsd_ru_005010002\gmsd_ru_005010002.exe
    2015-06-13 17:37 - 2015-06-13 14:58 - 03304904 _____ () D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_005010002\upgmsd_ru_005010002.exe
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\96988a106b32ba79faf59eff]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ap]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb]
    HKLM\...\Run: [ QQPCTray] => "D:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQPCTray.exe"  /regrun
    HKLM\...\Run: [gmsd_ru_290] => D:\Program Files\gmsd_ru_290\gmsd_ru_290.exe [3983016 2015-06-12] ()
    HKLM\...\Run: [gmsd_ru_005010001] => D:\Program Files\gmsd_ru_005010001\gmsd_ru_005010001.exe [3984552 2015-06-11] ()
    HKLM\...\Run: [upgmsd_ru_005010001.exe] => D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_290\upgmsd_ru_005010001.exe -runhelper
    HKLM\...\Run: [gmsd_ru_005010002] => D:\Program Files\gmsd_ru_005010002\gmsd_ru_005010002.exe [3984552 2015-06-13] ()
    HKLM\...\Run: [upgmsd_ru_005010002.exe] => D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_005010002\upgmsd_ru_005010002.exe [3304904 2015-06-13] ()
    ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} =>  No File
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-606747145-1644491937-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://spacesearch.ru/?ri=1&rsid=16dd3538ca89263c333dd6f23c7a938f&q={searchTerms}
    HKU\S-1-5-21-606747145-1644491937-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://spacesearch.ru/?ri=1&rsid=16dd3538ca89263c333dd6f23c7a938f&q={searchTerms}
    URLSearchHook: HKU\S-1-5-21-606747145-1644491937-682003330-1003 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} -  No File
    BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
    DefaultPrefix: => http://spacesearch.ru/?ri=1&rsid=16dd3538ca89263c333dd6f23c7a938f&q= <==== ATTENTION
    FF Plugin: @qq.com/QQPCMgr -> D:\Program Files\Tencent\QQPCMgr\10.9.16349.225\npQMExtensionsMozilla.dll No File
    CHR Extension: (Chrome Hotword Shared Module) - D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-06-04]
    CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - http://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - https://clients2.google.com/service/update2/crx
    R2 xoperoze; D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\00000000-1433879110-0000-0000-00241DC6D6A9\jnsl4E9.tmp [219136 2015-06-12] () [File not signed]
    S2 insvc_1.10.0.14; "D:\Program Files\Infonaut_1.10.0.14\Service\insvc.exe" [X]
    S2 kysykiti; D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\00000000-1433893693-0000-0000-00241DC6D6A9\snsd564.tmp [X]
    S2 zedepory; D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\00000000-1433879110-0000-0000-00241DC6D6A9\hnsa4EC.tmp [X]
    S2 UpdaterSvcClearThink; "D:\Program Files\ClearThink\updater.exe" [X]
    S2 QQSysMon; \??\D:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQSysMon.sys [X]
    S0 TsFltMgr; system32\drivers\TsFltMgr.sys [X]
    S1 tsksp; \??\D:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TSKsp.sys [X]
    S3 TSSK; System32\tssk.sys [X]
    2015-06-14 22:33 - 2015-06-14 22:33 - 00000000 ____D D:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\gmsd_ru_290
    2015-06-14 22:33 - 2015-06-14 22:33 - 00000000 ____D D:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\gmsd_ru_005010002
    2015-06-14 22:33 - 2015-06-14 22:33 - 00000000 ____D D:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\gmsd_ru_005010001
    2015-06-14 21:50 - 2015-06-14 21:50 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\istartsurf
    2015-06-14 21:14 - 2015-06-14 21:14 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_290
    2015-06-14 21:14 - 2015-06-14 21:14 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_005010001
    2015-06-14 20:51 - 2015-06-14 20:53 - 00000000 ____D D:\Documents and Settings\Администратор.D4586D306D714B5\Application Data\Tencent
    2015-06-13 17:37 - 2015-06-15 21:58 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_005010002
    2015-06-13 17:37 - 2015-06-14 23:06 - 00000000 ____D D:\Program Files\gmsd_ru_005010002
    2015-06-11 17:10 - 2015-06-13 17:11 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\Tencent
    2015-06-10 22:58 - 2015-06-14 20:27 - 00000000 ____D D:\Program Files\gmsd_ru_290
    2015-06-10 22:57 - 2015-06-15 21:55 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\SmartWeb
    2015-06-10 22:57 - 2015-06-10 23:26 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\SmartWeb
    2015-06-10 22:57 - 2015-06-10 23:26 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\mystartsearch
    2015-06-10 22:57 - 2015-06-10 22:57 - 00000390 _____ D:\WINDOWS\Tasks\SmartWeb Upgrade Trigger Task.job
    2015-06-10 22:19 - 2015-06-10 22:19 - 00000000 ____D D:\Documents and Settings\冷扈龛耱疣蝾餦Application Data\Tencent
    2015-06-10 22:19 - 2015-06-10 22:19 - 00000000 ____D D:\Documents and Settings\Администратор\Application Data\Tencent
    2015-06-10 00:08 - 2015-06-12 15:27 - 00000000 ____D D:\Documents and Settings\袙谢邪写懈屑懈褉.D4586D306D714B5.000\Local Settings\Temp
    2015-06-10 00:08 - 2015-06-10 00:08 - 00000000 ____D D:\Documents and Settings\袙谢邪写懈屑懈褉.D4586D306D714B5.000
    2015-06-10 00:05 - 2015-06-14 20:57 - 00030392 _____ (Tencent) D:\WINDOWS\system32\Drivers\TS888.sys
    2015-06-09 23:59 - 2015-06-10 21:43 - 00000000 ____D D:\Program Files\gmsd_ru_284
    2015-06-09 23:59 - 2015-06-10 21:43 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_284
    2015-06-09 23:51 - 2015-06-09 23:51 - 00000000 ____D D:\Documents and Settings\码噤桁桊.D4586D306D714B5.000\Application Data\Tencent
    2015-06-09 23:51 - 2015-06-09 23:51 - 00000000 ____D D:\Documents and Settings\码噤桁桊.D4586D306D714B5.000
    2015-06-09 23:51 - 2015-06-09 23:49 - 00077016 _____ (Tencent) D:\WINDOWS\system32\Drivers\TAOAccelerator.sys
    2015-06-09 23:49 - 2015-06-09 23:49 - 00139064 _____ (Tencent Technology(Shenzhen) Company Limited) D:\WINDOWS\system32\Drivers\TAOKernelXP.sys
    2015-06-09 23:49 - 2015-06-09 23:49 - 00000758 _____ D:\Documents and Settings\All Users.WINDOWS\Главное меню\电脑管家.lnk
    2015-06-09 23:49 - 2015-06-09 23:49 - 00000758 _____ D:\Documents and Settings\All Users.WINDOWS\Главное меню\电脑管家.lnk
    2015-06-09 23:49 - 2015-06-09 23:49 - 00000000 ____D D:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\Tencent
    2015-06-09 23:47 - 2009-03-08 14:09 - 00638816 ____H (Microsoft Corporation) D:\iехplоrе.bаt.exe
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    Повторите лог Farbar Recovery Scan Tool,сообщите о проблемах.
     
  11. Rezet
    Оффлайн

    Rezet Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    После фикса ничего не изменилось, все также работает вирусный mystartsearch, открывается куча окон и пытаются установиться какие-то программы. Лог фикса и повторный лог Farbar Recovery Scan Tool прилагаю.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      17,4 КБ
      Просмотров:
      3
    • Shortcut.txt
      Размер файла:
      158,2 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      64,9 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      41,5 КБ
      Просмотров:
      1
  12. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Ладно,по другому сделаем.

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
  13. Rezet
    Оффлайн

    Rezet Новый пользователь

    Сообщения:
    17
    Симпатии:
    0

    Вложения:

  14. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Rezet, я уже не успеваю,либо ребята подхватят либо я утром отвечу.
     
  15. Rezet
    Оффлайн

    Rezet Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    ок, жду
     
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Удалите через установку и удаление программ:

    GamesDesktop

    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):

      ;uVS v3.85.24 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.1
      v385c
      breg
      sreg
      ; D:\PROGRAM FILES\MIUITAB\BROWSERACTION.DLL
      zoo %SystemDrive%\PROGRAM FILES\MIUITAB\BROWSERACTION.DLL
      bl 5785680870EFF9BA7B4F58C726552013 1720320
      addsgn A7679B1928664D070E3C66B464C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3D2D833D906C49451649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Adware.Mutabaha.265 [DrWeb]

      ; D:\PROGRAM FILES\GMSD_RU_005010003\GMSD_RU_005010003.EXE
      zoo %SystemDrive%\PROGRAM FILES\GMSD_RU_005010003\GMSD_RU_005010003.EXE
      bl 48F71C14F2FF634BC1039734570B29EA 3985576
      addsgn 1A55C39A5583C58CF42B254E3143FE86C9C65D5689821F4B404A804003E5AA1BA8EE4A0AFEDCC0F5107BF185AEFB0FFA7D18E86455DAB0C459F0A42F44CCDDF8 64 Adware.Downware.10601 [DrWeb]

      delref HTTP://SEARCH.QIP.RU
      delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HPPP&TS=1434398148&Z=CA50BA91B0F3B5CBF12DC4AG4ZAC5ZEZ8E7GCQ3B8T&FROM=CMI&UID=WDCXWD5000AADS-00M2B0_WD-WMAV5125867758677
      delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=SC&TS=1434469183&Z=1C363B9AB74E984032DF34FG9Z4C5ZCZFM6O3M7E9C&FROM=CMI&UID=WDCXWD5000AADS-00M2B0_WD-WMAV5125867758677
      delref HTTP://WWW.SMAXXI.BIZ
      delref %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР\KNYXI.EXE
      ; D:\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\APPLICATION DATA\9495\UPDATER.EXE
      addsgn 1A2B6F9B5583C58CF42B254E3143FE6F2FE0FC09FCF2F70F9EC2C53F94DA2C8FA8E896DCD2AAE845418AEE9FB9634112F4C4E972D61EA071EEFC5B7A4CEA7F9A 64 HEUR:Trojan.Win32.Generic [Kaspersky]

      zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\APPLICATION DATA\9495\UPDATER.EXE
      bl FC8FF437C8C9764B2EAE0AE6B16E0C4D 1179648
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\GMSD_RU_005010002\UPGMSD_RU_005010002.EXE
      delref %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\GMSD_RU_005010002\UPGMSD_RU_005010003.EXE
      delref HTTP:\\PLARIUM.COM\PLAY\RU\PIRATES\TOP\?ADCAMPAIGN=31909&CLICKID=ZZYE0CZY0BTBYB0D0EYEYC0A0ETAYBYC&PUBLISHERID=0_9_15_16_44
      ; D:\FRST\QUARANTINE\D\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\SMARTWEB\SMARTWEBHELPER.EXE
      addsgn 1A3B099A5583338CF42BFB3A8837076DA4C8FC9C88593324C6C32DFFD0D671B3561F2BEA55559DCA16ACD8DC461610A308D78273BDF3302C2D2ECC26C306E29B 64 Adware.Shopper.859 [DrWeb]

      zoo %SystemDrive%\FRST\QUARANTINE\D\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\SMARTWEB\SMARTWEBHELPER.EXE
      bl 153F088DFDB3F940AD9DAEB04A3ACC4D 270368
      ; D:\FRST\QUARANTINE\D\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\SMARTWEB\SMARTWEBAPP.EXE
      addsgn 1A3AF59A5583338CF42BFB3A883707E934CCFC9C88590BBDC2C32DFED4D671B3561F2B454C559DCA169441D8461610A308D78273BDF2342C2D2ECC26C306E29B 64 Adware.Shopper.859 [DrWeb]

      zoo %SystemDrive%\FRST\QUARANTINE\D\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\SMARTWEB\SMARTWEBAPP.EXE
      bl 44069C2AC699C8DAD80A96FB1C8DFE57 557088
      delref %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\APPLICATION DATA\00000000-1433879110-0000-0000-00241DC6D6A9\NSP38D.TMP
      delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DSPP&TS=1434398148&Z=CA50BA91B0F3B5CBF12DC4AG4ZAC5ZEZ8E7GCQ3B8T&FROM=CMI&UID=WDCXWD5000AADS-00M2B0_WD-WMAV5125867758677&Q={SEARCHTERMS}
      delref %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.5_1\CHROME HOTWORD SHARED MODULE
      delref HTTP:\\WWW.MYSTARTSEARCH.COM\?TYPE=SC&TS=1434469183&Z=1C363B9AB74E984032DF34FG9Z4C5ZCZFM6O3M7E9C&FROM=CMI&UID=WDCXWD5000AADS-00M2B0_WD-WMAV5125867758677
      zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\MIPONY\MIPONY.LNK
      ; D:\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\MIPONY\MIPONY.LNK
      bl 43A97F30AFD1724CBA964C9039D79AE5 666
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\MIPONY\MIPONY.LNK
      deldir %SystemDrive%\PROGRAM FILES\MIPONY
      deltmp
      czoo
      chklst
      delvir
      areg


       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.

    Подготовьте новый лог uvs
     
    Последнее редактирование: 17 июн 2015
  17. Rezet
    Оффлайн

    Rezet Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Архив отправил, новый лог uvs прилагаю
     

    Вложения:

  18. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Удалите через установку и удаление программ:
    MYSTARTSEARCH


    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):

      ;uVS v3.85.24 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.1
      v385c
      breg

      zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\DEALPLY\UNINSTALL DEALPLY.LNK
      ; D:\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\DEALPLY\UNINSTALL DEALPLY.LNK
      bl AA48436C6EA8E07482ACAA20D1FC12FD 623
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\DEALPLY\UNINSTALL DEALPLY.LNK
      deldir %SystemDrive%\PROGRAM FILES\DEALPLY
      delref %SystemDrive%\DOCUME~1\F5F1~1.D45\LOCALS~1\TEMP\HNI34F.TMP
      delref %SystemDrive%\DOCUME~1\F5F1~1.D45\0016~1\SSSEXY~1.EXE
      delref %SystemDrive%\PROGRAM FILES\MIPONY\MIPONY.EXE
      delref %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\MIPONY.LNK
      deltmp
      czoo
      restart


       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.


    Сообщите какие проблемы остаются.
     
  19. Rezet
    Оффлайн

    Rezet Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Архив отправил, программы Mystartsearch нет в установке и удалении программ, но она почему то открывается при запуске хрома
     
  20. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Сделайте свежий лог AdwCleaner (by Xplode) и Farbar Recovery Scan Tool
     
Статус темы:
Закрыта.

Поделиться этой страницей