Решена Комп однокурсницы

[regist]

GamesDesktop 033.264 - сами ставили? Если нет, то деинсталируйте. (программа вчера была установлена). А также вчера было установлено Edu App вместе с ниже указанными адварными программами.

+ Деинсталируйте AnyProtect, SmartWeb и istartsurf uninstall

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v3.85.22 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v385c
   BREG
   delall %SystemDrive%\USERS\�������\APPDATA\ROAMING\2V59XQKZQS.EXE
   delall %SystemDrive%\USERS\�������\APPDATA\ROAMING\DQHNEEGCE6XE9Z2KE8P9FQNB.EXE
   delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.5_0\CHROME HOTWORD SHARED MODULE
   del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME.BAT
   delall %SystemDrive%\USERS\EF67~1\APPDATA\LOCAL\TEMP\CFCABFIBCDG.EXE
   delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\LOCAL\TEMP\CFCABFIBCDG.EXE
   delref HTTP://WWW.ISTARTSURF.COM/?TYPE=SC&TS=1433099414&Z=1EDFAD9F6804D60924EFF61G5Z3C3C0EAT7T2Z1GEO&FROM=FACE&UID=WDCXWD5000LPVT-24G33T1_WD-WX31E73NRC13NRC13
   delall %SystemDrive%\LAUNCHER.BAT
   dirzooex %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\96FC8D81-1431876363-11CB-A83C-9CD92252F4E4
   zoo %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\96FC8D81-1431876363-11CB-A83C-9CD92252F4E4\NSE91FF.TMP
   bl F74FB5AB659B0783E226CCDD5A5AA4A7 159744
   delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\96FC8D81-1431876363-11CB-A83C-9CD92252F4E4\NSE91FF.TMP
   delall HTTP:\\SEARCHS-POISK.RU
   zoo %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\LАUNСHЕR - ЯРЛЫК.LNK
   bl 65783B7599D37367D98D4F5EE65682A8 1894
   delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\LАUNСHЕR - ЯРЛЫК.LNK
   deldir %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\ROAMING\96FC8D81-1431876363-11CB-A83C-9CD92252F4E4
   delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\LOCAL\TEMP\IS-RU6QA.TMP\SOLUN.EXE
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

сделайте свежий лог uVS + Check Browsers' LNK by Dragokas & regist

 

[ScriptMakeR]

Все удалил без интернета, почти. Больше не замечаю. Скрипт выполнил, зоопарк отправил. Логи прилагаю.

 

[Кирилл]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v3.85.22 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v385c
   breg
   ; C:\PROGRAMDATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE
   zoo %SystemDrive%\PROGRAMDATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE
   bl 6FE69F8416CB2771101DD9553D544733 697000
   addsgn 1A3D7D9B5583338CF42B627DA804DEC9E94630A1DF716B5C95488998445D0D682F9C02DCEF565B72D5F68CA4BE19CB927EDFE87DEFFFC4666477A55CC0F5869A 64 Adware.Mutabaha.328 [DrWeb]
   
   ; C:\PROGRAM FILES (X86)\XTAB\BROWSERACTION.DLL
   zoo %SystemDrive%\PROGRAM FILES (X86)\XTAB\BROWSERACTION.DLL
   bl 5785680870EFF9BA7B4F58C726552013 1720320
   addsgn A7679B1928664D070E3C66B464C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3D2D833D906C49451649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Adware.Mutabaha.265 [DrWeb]
   
   ; C:\WINDOWS\SYSTEM32\DRIVERS\{36ED28A4-AC0A-4653-91FF-10BEB4246550}GW64.SYS
   zoo %Sys32%\DRIVERS\{36ED28A4-AC0A-4653-91FF-10BEB4246550}GW64.SYS
   bl 11095CB8081C14E1BBBFEE89223B2D8E 48776
   addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A27ECAF29BD805BD5C3573E559D492B80849F12D049FADD4EE8727D1BB02C2D77A42FC7062273 64 Trojan.Yontoo.1808 [DrWeb]
   
   ; C:\WINDOWS\SYSTEM32\DRIVERS\{EB01AED1-BBA3-4E72-8323-A77BB027B1D4}GW64.SYS
   zoo %Sys32%\DRIVERS\{EB01AED1-BBA3-4E72-8323-A77BB027B1D4}GW64.SYS
   bl CB062AABD486BA09B6BE6D13DE2DC9BD 48776
   delref %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\ANYPROTECT.EXE
   delref HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1433183659&Z=D28FD5B65BCBC137D3F1A02GBZ0C4CDG7B8CAQ0W6Q&FROM=CMI&UID=WDCXWD5000LPVT-24G33T1_WD-WX31E73NRC13NRC13
   delref HTTP://WWW.OURSURFING.COM/WEB/?TYPE=DS&TS=1433183659&Z=D28FD5B65BCBC137D3F1A02GBZ0C4CDG7B8CAQ0W6Q&FROM=CMI&UID=WDCXWD5000LPVT-24G33T1_WD-WX31E73NRC13NRC13&Q={SEARCHTERMS}
   delref HTTP://OSTYTE.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=2EC136D8A1F99E5801A1C1749740E4FF
   delref HTTP://SKINAPP.RU/THEMES.HTML
   deltmp
   czoo
   chklst
   delvir
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

Повторите лог uvs

 

[ScriptMakeR]

Скрипт выполнил, зоопарк отправил. Лог прилагаю. В Chrome вернулась стартовая страница istartsurf.

 

[regist]

Свежий лог Adw и uVS прикрепите.

 

[ScriptMakeR]

Блин, лог забыл.

 

[regist]

лог AdwCleaner свежий также прикрепите.

 

[ScriptMakeR]

Лог AdwCleaner

 

[regist]

+

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v3.85.22 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v385c
   BREG
   del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\СHRОMЕ.BАT.EXE
   delall %SystemDrive%\USERS\СВЯЗНОЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.5_1\CHROME HOTWORD SHARED MODULE
   delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\WINDESKWINSEARCH\WINDESK WINSEARCH.EXE
   dirzoo %SystemDrive%\PROGRAM FILES (X86)\XTAB
   deldir %SystemDrive%\PROGRAM FILES (X86)\XTAB
   regt 27
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

повторите эти два лога.

 

[ScriptMakeR]

Логи

 

[regist]

Из Хрома удали расширение Chrome Hotword Shared Module, либо как минимум папку

C:\USERS\СВЯЗНОЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Удалить).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

что с проблемой?

 

[ScriptMakeR]

Расширения не было, удалил папку. AdwCleaner удалил. Проблемы не наблюдаются.
Гранд мерси всем участвующим

 

[regist]

папку C:\FRST удалите.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.