Решена Вредоносное ПО. Замена поисковой системы. Комета. Какие-то улучшайзеры

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Alex100, 7 авг 2015.

Статус темы:
Закрыта.
  1. Alex100
    Оффлайн

    Alex100 Новый пользователь

    Сообщения:
    8
    Симпатии:
    1
    Каюсь - своими руками дал запуститься файлу с летит би. Перед этим проверил авастом - не пискнул. Никак не верещал и при установке. В результате поимел какие-то улучшайзеры, комету (не запускал), смену поисковых систем (не возможно их сменить). Что то вычистил Revo uninstaller'ом. Не могу убрать IObit, Tencent, QQPCMgr и безобразие с браузерами. И заглавная страница левая.
     

    Вложения:

    Последнее редактирование: 7 авг 2015
  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Здравствуйте.
    Удалите через установку и удаление программ:
    Chrome Search
    Skype Click to Call

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     StopService('TSSKX64');
     StopService('QQPCRTP');
     QuarantineFile('C:\Program Files\Alwil Software\Avast5\HTMLayout.dll', '');
     QuarantineFile('C:\Program Files\Sony\VAIO Care\ESRV\task.vbs', '');
     QuarantineFile('C:\Temp\install\Alcohol 120% 2.0.1 Build 2033\Portable', '');
     QuarantineFile('c:\windows\system32\srvany.exe', '');
     QuarantineFile('C:\Program Files (x86)\IObit\IObit', '');
     QuarantineFile('C:\Program Files (x86)\IObit\Advanced', '');
     QuarantineFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe', '');
     QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TsDefenseBT64.sys', '');
     QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCRtp.exe', '');
     QuarantineFileF('C:\Program Files (x86)\IObit', '*', true, '', 0 , 0);
     QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
     DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCRtp.exe', '32');
     DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TsDefenseBT64.sys', '32');
     DeleteFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe', '32');
     DeleteFile('C:\Windows\system32\Tasks\ASC8_SkipUac_Juice', '64');
     DeleteFile('C:\Program Files (x86)\IObit\Advanced', '32');
     DeleteFile('C:\Windows\system32\Tasks\ASC8_PerformanceMonitor', '64');
     DeleteFile('C:\Program Files (x86)\IObit\IObit', '32');
     DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_Juice', '64');
     DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '');
     DeleteService('TSSKX64');
     DeleteService('TsDefenseBt');
     DeleteService('QQPCRTP');
     DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
     DeleteFileMask('C:\Program Files (x86)\IObit', '*', true);
     DeleteDirectory('C:\Program Files (x86)\Tencent', '');
     DeleteDirectory('C:\Program Files (x86)\IObit', '');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     ExecuteRepair(2);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  3. Alex100
    Оффлайн

    Alex100 Новый пользователь

    Сообщения:
    8
    Симпатии:
    1
    Отчет ClearLNK.
    --- Объединённое сообщение, 8 авг 2015, Дата первоначального сообщения: 8 авг 2015 ---
    Отчет AdwCleaner (by Xplode)
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
    • По окончанию сканирования снимите галочки со следующих строк:
      Код (Text):


       
    • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
     
  5. Alex100
    Оффлайн

    Alex100 Новый пользователь

    Сообщения:
    8
    Симпатии:
    1
    Не указано откуда снять галочки
     
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Извиняюсь))

    • - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
     
  7. Alex100
    Оффлайн

    Alex100 Новый пользователь

    Сообщения:
    8
    Симпатии:
    1

    Вложения:

  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Хорошо.

    Как проблемы?
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  9. Alex100
    Оффлайн

    Alex100 Новый пользователь

    Сообщения:
    8
    Симпатии:
    1
    На что я обратил внимание - удалились
    --- Объединённое сообщение, 8 авг 2015, Дата первоначального сообщения: 8 авг 2015 ---
    отчеты Farbar Recovery Scan Tool
     

    Вложения:

    • Addition.txt
      Размер файла:
      57,3 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      72,4 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      87,1 КБ
      Просмотров:
      0
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    Task: {225E0F09-CD46-46EE-9156-C346C842602C} - \Soft installer No Task File <==== ATTENTION
    Task: {4BB4E1A3-F924-484E-B99D-3E9D6AF84FD5} - \ASC8_SkipUac_Juice No Task File <==== ATTENTION
    Task: {5C64F4CD-4CA7-4E4C-9975-63FB65F68499} - \ASC8_PerformanceMonitor No Task File <==== ATTENTION
    Task: {909A0D31-52B8-433E-B559-3B593D1D12FE} - \Uninstaller_SkipUac_Juice No Task File <==== ATTENTION
    FirewallRules: [{5950D597-CF64-4B68-9B70-DB8689841E10}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
    FirewallRules: [{B693D71C-21FD-4FB9-B9B0-C9694F9B8123}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
    GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    URLSearchHook: [S-1-5-21-886961789-1419917610-723514172-1001] ATTENTION ==> Default URLSearchHook is missing
    SearchScopes: HKU\S-1-5-21-886961789-1419917610-723514172-1001 -> {8226B488-3DBD-4E53-8D4E-52BC2A288959} URL = http://services.zinio.com/search?s={searchTerms}&rf=sonyslices
    BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll No File
    BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\Alwil Software\Avast5\aswWebRepIE64.dll [2015-08-05] (AVAST Software)
    Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll No File
    Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
    Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll [No File]
    FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    2015-08-06 21:17 - 2015-08-07 22:13 - 00000000 ____D C:\Users\Juice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
    2015-08-06 21:15 - 2015-08-06 21:15 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
    2015-08-06 21:15 - 2015-07-30 13:43 - 00930936 ____H (Opera Software) C:\lаunсhеr.bаt.exe
    2015-08-06 21:14 - 2015-08-06 21:16 - 00000000 ____D C:\Users\Все пользователи\IObit
    2015-08-06 21:14 - 2015-08-06 21:16 - 00000000 ____D C:\ProgramData\IObit
    2015-08-06 21:14 - 2015-08-06 21:15 - 00000000 ____D C:\Users\Juice\AppData\Roaming\IObit
    2015-08-06 21:14 - 2015-08-06 21:14 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    2015-08-06 21:14 - 2015-08-06 21:14 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    Удалите папку FRST.

    Создайте точку восстановления,остальные - очистите.

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  11. Alex100
    Оффлайн

    Alex100 Новый пользователь

    Сообщения:
    8
    Симпатии:
    1
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      7,6 КБ
      Просмотров:
      1
  12. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    D C:\Users\Juice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
    Это удалите вручную,жду выполнения остальных пунктов.
     
  13. Alex100
    Оффлайн

    Alex100 Новый пользователь

    Сообщения:
    8
    Симпатии:
    1
     

    Вложения:

  14. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    VLC media player 2.0.8 v.2.0.8 Внимание! Скачать обновления
    ----------------
    QuickTime 7 v.7.76.80.95 Внимание! Скачать обновления
    -----------
    Adobe AIR v.17.0.0.124 Внимание! Скачать обновления
    Adobe Flash Player 17 ActiveX v.17.0.0.134 Внимание! Скачать обновления
    Adobe Flash Player 10 Plugin v.10.0.45.2 Внимание! Скачать обновления

    Выполните рекомендации после лечения.


    Удачи.
     
  15. Alex100
    Оффлайн

    Alex100 Новый пользователь

    Сообщения:
    8
    Симпатии:
    1
    Koza Nozdri, огромное спасибо!!!
    На радостях даже не поблагодарил.
     
    Kиpилл нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей