Решена Как удалить mystartsearch?

Статус
В этой теме нельзя размещать новые ответы.

renreg

Новый пользователь
Сообщения
25
Реакции
0
Как удалить mystartsearch в Firefox, Chrome, Imternet Explorer?
Система Windows 7 x86
 

Вложения

  • CollectionLog-2015.04.25-11.22.zip
    151.1 KB · Просмотры: 4
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files\xtab\protectservice.exe');
 TerminateProcessByName('c:\program files\xtab\cmdshell.exe');
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('IHProtect Service', 4);
 StopService('WindowsMangerProtect');
 StopService('IHProtect Service');
 QuarantineFile('C:\Users\Renreg\AppData\Local\Temp\WiFiPasswordService.exe', '');
 QuarantineFile('C:\Program Files\XTab\SupTab.dll', '');
 QuarantineFile('C:\Program Files\XTab\IeWatchDog.dll', '');
 QuarantineFile('C:\Program Files\XTab\BrowerWatchFF.dll', '');
 QuarantineFile('C:\Program Files\XTab\BrowerWatchCH.dll', '');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe', '');
 QuarantineFile('c:\program files\xtab\protectservice.exe', '');
 QuarantineFile('c:\program files\xtab\cmdshell.exe', '');
 DeleteFile('C:\Program Files\XTab\IeWatchDog.dll', '32');
 DeleteFile('C:\Program Files\XTab\ProtectService.exe', '32');
 DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe', '32');
 DeleteFile('C:\Program Files\xtab\browerwatchch.dll', '32');
 DeleteFile('C:\Program Files\xtab\browerwatchff.dll', '32');
 DeleteFile('C:\Program Files\xtab\cmdshell.exe', '32');
 DeleteFile('C:\Program Files\xtab\suptab.dll', '32');
 DeleteService('WindowsMangerProtect');
 DeleteService('IHProtect Service');
 DeleteFileMask('C:\Program Files\xtab\', '*', true);
 DeleteDirectory('C:\Program Files\xtab\');
 DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
BC_ImportAll;
 ExecuteWizard('SCU', 2, 3, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1429943905&from=ima&uid=HitachiXHDS721010CLA332_JP2940HZ1NZYAC1NZYACX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1429943905&from=ima&uid=HitachiXHDS721010CLA332_JP2940HZ1NZYAC1NZYACX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1429943905&from=ima&uid=HitachiXHDS721010CLA332_JP2940HZ1NZYAC1NZYACX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1429943905&from=ima&uid=HitachiXHDS721010CLA332_JP2940HZ1NZYAC1NZYACX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1429943905&from=ima&uid=HitachiXHDS721010CLA332_JP2940HZ1NZYAC1NZYACX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1429943905&from=ima&uid=HitachiXHDS721010CLA332_JP2940HZ1NZYAC1NZYACX


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Все, что мог сделал. Файлы прикрепил
 

Вложения

  • AdwCleaner[R3].txt
    25.1 KB · Просмотры: 1
  • CollectionLog-2015.04.25-11.22.zip
    151.1 KB · Просмотры: 0
Последнее редактирование:
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.



Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".


    B92LqRQ.png


  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
 
Выполнил все указания. Файлы прикрепил. Все получилось. Спасибо
 

Вложения

  • AdwCleaner[S1].txt
    11.3 KB · Просмотры: 2
  • Addition.txt
    46.1 KB · Просмотры: 2
  • FRST.txt
    79.6 KB · Просмотры: 2
Выполните скрипт в Farbar Recovery Scan Tool
Код:
start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:036B9593
AlternateDataStreams: C:\ProgramData\TEMP:15B79D44
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D
AlternateDataStreams: C:\ProgramData\TEMP:9F49E34B
AlternateDataStreams: C:\ProgramData\TEMP:A303874F
AlternateDataStreams: C:\ProgramData\TEMP:C31F31E6
AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9
AlternateDataStreams: C:\ProgramData\TEMP:D287FACF
AlternateDataStreams: C:\ProgramData\TEMP:D3A96964
AlternateDataStreams: C:\ProgramData\TEMP:FB1B13D8
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  No File
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  No File
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  No File
ShellIconOverlayIdentifiers: [BitcasaBadFileOverlay] -> {EC168C82-5053-422A-BB08-3CD9ACA22E85} =>  No File
ShellIconOverlayIdentifiers: [BitcasaIconOverlay] -> {A6975448-A999-49BB-B3E4-7730CF6A82C0} =>  No File
ShellIconOverlayIdentifiers: [BitcasaMirrorOverlay] -> {8C403C00-4544-4A53-879B-1949390CDE13} =>  No File
ShellIconOverlayIdentifiers: [BitcasaProgressOverlay] -> {6FB8D52A-0064-45B2-B687-F596FEAD09C2} =>  No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} =>  No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} =>  No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} =>  No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} =>  No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} =>  No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
ShellExecuteHooks:  - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} -  No File [ ]
ShellExecuteHooks:  - {4F07DA45-8170-4859-9B5F-037EF2970034} -  No File [ ]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Renreg\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-13]
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - https://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3601327674-2190578478-637353986-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
S3 ATP; system32\DRIVERS\cmdatp.sys [X]
S3 cleanhlp; \??\C:\Program Files\Emsisoft Anti-Malware\cleanhlp32.sys [X]
S3 MBfilt; system32\drivers\MBfilt32.sys [X]
S3 SWDUMon; system32\DRIVERS\SWDUMon.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
EmptyTemp:
Reboot:
end
+
Почистите кэш и куки в браузерах.
 
Скрипт выполнил. Куки почистил при помощи программы Ccleaner
 
Что с проблемами?
 
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Сделал.
 

Вложения

  • SecurityCheck.txt
    5 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу