• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена QQPCTray

Статус
В этой теме нельзя размещать новые ответы.

scarletthawtorn

Новый пользователь
Сообщения
19
Симпатии
0
#1
Скачивала программы на непроверенном сайте, внезапно начали самоустанавливаться всякие амиго, игры от мэйл.ру, в браузере заменились стартовые страницы и настройки. Их удалось удалить, но вот эта китайская программа QQPCTray все еще здесь :( попробовала вырубить ее в диспетчере задач - он ругался и говорил, что в доступе отказано. Компьютер только привезли из ремонта, до вчерашнего дня там вообще ничего не было. Что делать?
 

Кирилл

Команда форума
Администратор
Сообщения
13,298
Симпатии
5,849
#4
Да,все верно.
Как только на форуме появится свободный консультант вам дадут инструкции.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,979
Симпатии
5,670
#6
Здравствуйте!

eTranslator [2015/07/09 22:01:53]-->"C:\Users\Анна\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
GamesDesktop 033.005010026 [20150709]-->"C:\Program Files (x86)\gmsd_ru_005010026\unins000.exe"
oursurfing uninstall [2015/07/10 11:27:23]-->C:\Users\Анна\AppData\Roaming\oursurfing\UninstallManager.exe -ptid=age
деинсталируйте.

Forum Terminal [2015/07/09 22:19:34]-->C:\Users\Анна\AppData\Local\D06FE7A3-1436480338-11E0-9DD4-D480BF0C80B3\Uninstall.exe
Free Up Expand [2015/07/09 22:16:27]-->"C:\Users\Анна\AppData\Local\D06FE7A3-1436480171-11E0-9DD4-D480BF0C80B3\uninstall.exe"
Аудио и видео скачивание [20150709]-->"C:\Program Files (x86)\Аудио и видео скачивание\unins000.exe"
если сами не ставили, то также деинсталируйте.
Игровой центр@Mail.Ru [2015/07/07 19:38:49]-->"C:\Users\Анна\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall
если не использует, то тоже.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\Анна\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe');
StopService('fiqovuby');
QuarantineFile('c:\users\Анна\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\D06FE7A3-1436469149-11E0-9DD4-D480BF0C80B3\knsdCAAA.tmpfs', '');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010026\gmsd_ru_005010026.exe', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozillа Firеfоx.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Chrоmе.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Eхplоrеr Browser.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Gооgle Сhromе.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Chrоme.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr (2).lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxplorеr (Nо Add-оns).lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Ехрlоrеr.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Gоoglе Chrome.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Моzillа Firеfох.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Оpera.lnk', '');
QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 30.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzilla Firefox (2).lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzilla Firefox.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Mozilla Firefox.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Opera.lnk', '');
QuarantineFile('C:\Users\Public\Desktop\Drаgon Аge 2.(Лаунчер).lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DАEМОN Тools Lite.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Skyrim - Legendary Edition\Игрaть Skyrim - Lеgеndаry Edition.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Dragon Age 2.v 1.04 + 16 DLC\Drаgon Аge 2.(Лaунчер).lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Кinoroom Вrowsеr.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\DАЕMОN Тоols Lite.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\Skyrim - Lеgеndаry Editiоn.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.emorhc.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.xoferif.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.arepo.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnual2eganogard.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualtd.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.resworbrk.bat', '');
QuarantineFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT', '');
QuarantineFile('C:\Users\Анна\AppData\Local\Mail.Ru\GameCenter\Chrome\3.2272.2050\libEGL.dll', '');
QuarantineFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe', '');
QuarantineFile('C:\Users\Анна\AppData\Local\Host installer\2121005966_installcube.exe', '');
DeleteFile('c:\users\Анна\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe', '32');
DeleteFile('C:\Users\Анна\AppData\Roaming\D06FE7A3-1436469149-11E0-9DD4-D480BF0C80B3\knsdCAAA.tmpfs', '32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_005010026\gmsd_ru_005010026.exe', '32');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.emorhc.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.xoferif.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.arepo.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnual2eganogard.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualtd.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.resworbrk.bat', '');
DeleteFile('C:\Windows\system32\Tasks\Soft installer', '64');
DeleteFile('C:\Users\Анна\AppData\Local\Host installer\2121005966_installcube.exe', '32');
DeleteFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe', '32');
DeleteService('fiqovuby');
DeleteFileMask('C:\Program Files (x86)\Tencent\', '*', true);
DeleteFileMask('C:\Users\233B~1', '*', true);
DeleteFileMask('C:\Users\4E68~1', '*', true);
DeleteDirectory('C:\Program Files (x86)\Tencent\');
DeleteDirectory('C:\Users\233B~1');
DeleteDirectory('C:\Users\4E68~1');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010026');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010026.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'fgevkcjeic');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 

scarletthawtorn

Новый пользователь
Сообщения
19
Симпатии
0
#7
1. eTranslator [2015/07/09 22:01:53]-->"C:\Users\Анна\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall

попробовала деинсталлировать, гугл хром закрылся и высветилась ошибка (скрин приложен)

2. Игровой центр@Mail.Ru [2015/07/07 19:38:49]-->"C:\Users\Анна\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall

этим пользуюсь, оставила

3. заполнила форму и отправила по ней quarantine.zip

4. файлы прикрепляю.

Большое спасибо :) жду дальнейших указаний.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,979
Симпатии
5,670
#8
1) Remote Desktop Access (VuuPC) - деинсталируйте.

2)
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.25 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    chklst
    delvir
    dirzooex %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA
    dirzooex %SystemDrive%\USERS\АННА\APPDATA\ROAMING\VOPACKAGE
    bl DACBEBE491EB6029FD72F600AB2E7171 297608
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCRTP.EXE
    bl FBA2C8E98479CA22B40FE48A4354E234 481632
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\SQLITE.DLL
    bl 9EB532FA17EBF25F9E7BACD55406C0ED 55648
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMDNS.DLL
    bl 0A0A417349368EBE3CA7EF1D7395CE5B 3112504
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKTT.DLL
    bl DF8F742AFD14BA10C6DA5ABD10EF2C4C 174432
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVE.DLL
    bl 53D9EF730A99458C7181E1DBF67FF58D 682336
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMFILEMON.DLL
    bl 51C1EDB55CF0C4F0835F306021B12FE5 354656
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCHARDWARE.DLL
    bl 6AD127B60B4B1385CA56A7B0CAB1D767 96736
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMREPAIRPLUGIN.DLL
    bl 2F83D9BAC50FD31B52059908BCBD9945 317792
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMUL.DLL
    bl EE3B1BB3FD1B652003408C73AB4D739B 241208
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKREPORT.DLL
    bl D5714576699479C8E670354622AE3999 106040
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKCOM.DLL
    bl 3EC71A2292EB0A5D48A9ED9ECC808931 216632
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKPROXY.DLL
    bl A11FBCCD3BCE836F66F77EE5227FD6D3 84320
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMSAFEBOXHELPERDLL.DLL
    bl 93DE4D3CF2D6396EEB82220FCF4D3801 92512
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMRTPDLL.DLL
    bl EF952AA851B9ADC57324FD7D4DC0BD10 100704
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMHIPS.DLL
    bl C0318178C6F3277B976A76C51D59F749 84320
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMAVPROXY.DLL
    bl EE0314F9E4A035144346C8C7F4AC6A51 18784
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\ODAYPROTECT.DLL
    bl D8B6BDB55EF5F2314F5A90863B8283BA 48480
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\COMMUNIC.DLL
    bl D3E013980C2AA2E5E45869B308D1F85A 26464
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMCPM.DLL
    bl BFC613808359FC5ACD9FD3C43F56CA25 739680
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCFIXATDLL.DLL
    bl C2FC17493DD2309F5212D4FFD5FEDBEA 203104
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQFILEFLT.DLL
    bl 0499B92ACE41977107C7DE249A96AB87 84320
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\SOFTMGR\PROCESSLOGDLL.DLL
    bl 1D9B5EB844CACB3A2FAFD9394BBEA76B 203104
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVINTERFACE.DLL
    bl 185895FAFD966E809EB765006082067B 28512
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMBDSCANNER.DAT
    bl BDBB30FA72718461FD9B77109A3A7F1E 305504
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMRTPCHECK.DLL
    bl 9C313D9B5F5AC1F1D6E47CDDCFCE64F9 149856
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMEMMAT.DLL
    bl FE6E03DFE5AB6255E2045B5D3B1B321E 67936
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\RTPCOMMON.DLL
    bl BD36627974E508860C76F9BB0561F906 39776
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\SYSSPEEDUPRTPPLUGIN\SYSSPEEDUPRTPPLUGIN.DLL
    bl 421C26F38F286D01547789FA644A599C 63840
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMIEMALRTPPLUGIN\QMIEMALRTPPLUGIN.DLL
    bl B9CF3CAE9A46AF76ADA02EC06638E441 145760
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\SPECIALPLUGIN\QMHIPSSPECIAL.DLL
    bl 298632B12499C3A416BE430BA823A715 555360
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMCLOUDINTER\QMCLOUDINTER.DLL
    bl 735EE40251A0168C826AA4DF73C9211A 117088
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\SXCOMBASE.DLL
    bl D70EE763BB18647BF0E5202E8CC8C415 199008
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMSCRIPTHOST.DLL
    bl 046A3F89356803FA1D2DAFF49918A981 117088
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMEXT.DLL
    bl BD6C48BA68DAEB86833AA6B850541F2C 88416
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\ZLIB.DLL
    bl F7C0487F908DB5F317C7620BD4E23E99 1878368
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMSYSREPPROV.DLL
    bl DDD6B6A8F602F498236E819CB55D9AD2 325984
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMASSOCSCAN.DLL
    bl A2BD2519554DE4063639D8925A088671 510304
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVUPLOAD.DLL
    bl 799073388CA60181F9DA391A92E2E56F 432480
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVCACHE.DLL
    bl 550167A257C2A2F112F2C3A5FBC5EF29 92512
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKITPROXY.DLL
    bl 596F967C0D60B4319B421CB53EDA7FE2 1194336
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMHIPSENGINE.DLL
    bl 5F793A74F36A00B9CF77609B683A8D6D 231776
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMNETWORKMGR.DLL
    bl B028DC1B85E52EAE2234C09C93EEF08A 100704
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TINYXML.DLL
    bl EA3A36ED7595F766811AE4AAAECDB4AA 670048
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVENG.DLL
    bl 9DF9EA7E4FA242782FC3059564651E82 203104
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMTRAYPLUGIN\QMPERFCTRL\QMPERF.DLL
    bl F000D34393212B181BCB4E2C619F96BD 174432
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMIPC.DLL
    bl F1D6A38959CDF0C43FFF7A0539D789AF 84320
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PTRATE.DLL
    bl 3AD6A8DCE0D9A383A0B6C07A4324612D 424288
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\DR.DLL
    bl E690C907ED0BC5DDF9B5C938BE14A3BA 149856
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\REFUSEINJECT.DLL
    bl 5BA77691A0034836359D67502E5C2D3B 715104
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCOMMON.DLL
    bl 2D743A40DD9B9692CA73B9E5D9D8C07B 63840
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCONTEXTUNINSTALL64.DLL
    bl C33D68057BF0E6B29577750B7956CBC0 94048
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCONTEXTSCAN64.DLL
    bl B9A73D2AD107A7EF0F8F0C4DB2B63C6C 461152
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMGCSHELLEXT64.DLL
    bl 8B9BC8CA493517547FEE9524A7529D92 223072
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\EXNSCAN64.DLL
    bl 757D320CED91219BE8ABE68D6B4C8CBB 84320
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\NPQMEXTENSIONSMOZILLA.DLL
    bl 082330935A1B2B3FD364FAD107E4604C 355296
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCTRAY.EXE
    bl 8D91621F5953012405E1A4C69FA93958 88416
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCONTEXTSCAN.DLL
    bl CC8AD9A3B418F86D72592F54876023B6 414560
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSWEBMON64.DAT
    bl F3CFAAACDD1B3DA0EAF8335967E1D16C 129336
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQSYSMONX64.SYS
    zoo %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
    bl D4AEDDCC80AE2781A1E0C89484C27D4B 99640
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TAOACCELERATOR64.SYS
    zoo %Sys32%\DRIVERS\TAOKERNEL64.SYS
    bl EB42B24ACCB1E700AC00912EA2F3C2D2 174392
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TAOKERNEL64.SYS
    zoo %Sys32%\DRIVERS\TFSFLTX64.SYS
    bl 510466333F1647D444742819E7DE951F 87864
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TFSFLTX64.SYS
    bl 4833F5BE6843247F3E35842532F2682D 42296
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSCPM64.SYS
    bl 6416EFF7B5B704469B3B7AFB6665E71F 28472
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSDEFENSEBT64.SYS
    zoo %Sys32%\DRIVERS\TSSKX64.SYS
    bl 566770559DCFB325BB589CB602FAA531 38200
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TSSKX64.SYS
    bl CB0FCAF7C06DF799CA37A12BFE220D34 87352
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKIT64.SYS
    bl 833E0552ADF9B2FB266C5ABC921EDAFC 88416
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\NPQMEXTENSIONSIE.DLL
    bl 366A7869E9E72D579FF2341C4CC7B8E1 293856
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAOFRAME.EXE
    bl 16E27465FC02E6974704FD2187E92144 1097272
    delall \\?\C:\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
    bl 34991C81906C294CD86D660BFEDC2584 1408480
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCSOFTMGR.EXE
    deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\
    deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\  del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL2EGANOGARD.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALMIRYKS.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTD.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.RESWORBRK.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT
    deldir %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\PANEL
    deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\VOPACKAGE
    delall HTTP://HAO.QQ.COM/?UNC=O400493_1&S=O400493_1
    delall HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1436516830&Z=4C5D08165CC89D44B94F1B4G5Z0CEQ4W4G0QBB1C4W&FROM=AGE&UID=HITACHIXHTS725050A9A364_100720PCK404VLJSNKHJX
    delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL
    delall HTTP://WWW.OURSURFING.COM/NEWTAB/?TYPE=NT&TS=1436516830&Z=4C5D08165CC89D44B94F1B4G5Z0CEQ4W4G0QBB1C4W&FROM=AGE&UID=HITACHIXHTS725050A9A364_100720PCK404VLJSNKHJX
    zoo %SystemDrive%\USERS\АННА\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
    bl 603344F2722ECEFA8711525EA48CC774 51149
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
    delall HTTP://LIBUMA.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=2F5A6EE5633FCA0CB69F0C4796D738E2&UTM_TERM=B4FF1F99D2CB3F721555693095F3DD20
    delref %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI\3.0.3_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delref %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC\3.0.3_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\3.0.3_0\ПОИСК MAIL.RU
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KINOROOM BROWSER.LNK
    bl B6615A97691AA42EDE5DAE9097A08891 1980
    delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KINOROOM BROWSER.LNK
    czoo
    areg
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

3) - Удалите в AdwCleaner всё кроме папок от mail.ru. Отчет после удаления прикрепите.

4) - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

5) Сделайте свежий лог uVS.
 

scarletthawtorn

Новый пользователь
Сообщения
19
Симпатии
0
#9
1. во время исполнения пункта 4 у меня снова внезапно начали устанавливаться амиго, вконтакте, одноклассники, гугл хром заменился на crossbar
сейчас все поудалялось, кроме амиго и музыки амиго

2. архив отправила на почту

3. логи:
апд: амиго вместе с музыкой так же внезапно исчезли
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,979
Симпатии
5,670
#10
4) - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.
По ссылке которую я вам дал другая версия программы скачивается ;).
1) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk
C:\Users\Анна\Desktop\lll\Оpera.lnk
C:\Users\Анна\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozillа Firеfоx.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Gооgle Сhromе.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Chrоme.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr (2).lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.Музыка.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxplorеr (Nо Add-оns).lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Ехрlоrеr.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk
C:\Users\Анна\Desktop\lll\Gоoglе Chrome.lnk
C:\Users\Анна\Desktop\lll\Моzillа Firеfох.lnk
C:\Users\Анна\Desktop\Амиго.Музыка.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
C:\Users\Анна\Desktop\Амиго.lnk
C:\Users\Public\Desktop\Drаgon Аge 2.(Лаунчер).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DАEМОN Тools Lite.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Skyrim - Legendary Edition\Игрaть Skyrim - Lеgеndаry Edition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Dragon Age 2.v 1.04 + 16 DLC\Drаgon Аge 2.(Лaунчер).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Кinoroom Вrowsеr.lnk
C:\Users\Анна\Desktop\lll\DАЕMОN Тоols Lite.lnk
C:\Users\Анна\Desktop\Skyrim - Lеgеndаry Editiоn.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета\Панель запуска.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета\Удалить панель запуска.lnk
C:\Users\Анна\Desktop\lll\Corel Home Office.lnk
C:\Users\Анна\Desktop\lll\проги\G10 Multi-Mode.lnk
C:\Users\Public\Desktop\Dragon Age 2.(Лаунчер).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DAEMON Tools Lite.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Skyrim - Legendary Edition\Играть Skyrim - Legendary Edition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Dragon Age 2.v 1.04 + 16 DLC\Dragon Age 2.(Лаунчер).lnk
C:\Users\Анна\Desktop\lll\DAEMON Tools Lite.lnk
C:\Users\Анна\Desktop\Skyrim - Legendary Edition.lnk
C:\Users\Анна\Favorites\Links\Интернет.url
2)
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.25 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    vreg
    del %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL2EGANOGARD.BAT
    del %SystemDrive%\USERS\PUBLIC\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL2EGANOGARD.BAT
    del %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALMIRYKS.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALMIRYKS.BAT
    del %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTD.BAT
    delall %SystemDrive%\USERS\����\APPDATA\ROAMING\MCN3I62V12MDBFC6NZ7BHUXN.EXE
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\PANEL\KOMETALAUNCHPANEL.EXE
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT
    delall %SystemDrive%\USERS\����\APPDATA\ROAMING\JMLSSLQ8IDAV2IMSLOAGFN.EXE
    dirzooex %SystemDrive%\USERS\АННА\APPDATA\LOCAL\13485
    deldir %SystemDrive%\USERS\АННА\APPDATA\LOCAL\13485
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\КINOROOM ВROWSЕR.LNK
    bl 6D0380F7AA99146D5CB15091854CAC72 1153
    delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\КINOROOM ВROWSЕR.LNK
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
    zoo %SystemDrive%\USERS\АННА\APPDATA\LOCAL\TEMP\FSDB443.EXE
    bl 353CA2E9685ED8C67B118775EECDEAC5 3001344
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\TEMP\FSDB443.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCTRAY.EXE
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\PANEL\PANELREMOVE.EXE
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\ETRANSLATOR\ETRANSLATOR.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\ANKI\ANKI.EXE
    delall HTTP:\\LIBUMA.RU\?UTM_SOURCE=STARTLINK03&UTM_TERM=B4FF1F99D2CB3F721555693095F3DD20
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\АМИГО.LNK
    bl 41E97492C03E4EFEE0F58C09704C2EC9 2234
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\АМИГО.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.LNK
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK
    bl E0D4C9AFA6E0BE58E4725058C9808430 2211
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АМИГО.LNK
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АМИГО.LNK
    zoo %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.LNK
    bl CECA6E5B8B241264F4DE257079786C83 2209
    delall %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.МУЗЫКА.LNK
    bl 37836D936102C4145287C4957EC2DB75 2777
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.МУЗЫКА.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРИЛОЖЕНИЯ АМИГО\АМИГО.МУЗЫКА.LNK
    bl 33344E0A7A69990BC92FEA20A2141DC3 2604
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРИЛОЖЕНИЯ АМИГО\АМИГО.МУЗЫКА.LNK
    zoo %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.МУЗЫКА.LNK
    bl F25C7567EC0422329083621AEC8BBAF7 2763
    delall %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.МУЗЫКА.LNK
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI\3.0.3_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC\3.0.3_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\3.0.3_0\ПОИСК MAIL.RU
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\УДАЛИТЬ ПАНЕЛЬ ЗАПУСКА.LNK
    bl 45CB12850DE8BC60B058E41255D50EAA 1997
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\УДАЛИТЬ ПАНЕЛЬ ЗАПУСКА.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\ПАНЕЛЬ ЗАПУСКА.LNK
    bl 33BE940C56AC4F34509B3DA1AD6F7DA4 2027
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\ПАНЕЛЬ ЗАПУСКА.LNK
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BFAOHPMJMHDGNJBLOJEKJLNADHEHIADJ\1.26.57_0\CIPLUS-4.5VV10.07
    deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\
    deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРИЛОЖЕНИЯ АМИГО\
    deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\
    deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\ETRANSLATOR\
    deldir %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\
    delall %SystemDrive%\Users\Анна\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico 
    deltmp
    czoo
    areg
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

3) Сделайте свежий лог AdwCleaner-а.

4) Переделайте лог Check Browsers' LNK той версий, что я просил.
 

scarletthawtorn

Новый пользователь
Сообщения
19
Симпатии
0
#11

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,979
Симпатии
5,670
#12
1) Папку
Код:
C:\Users\理磬\
удалите вручную.

2) - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

3) Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

4) Что с проблемой?
 

scarletthawtorn

Новый пользователь
Сообщения
19
Симпатии
0
#13
1. этой папки нет
та, что с непонятными значками создана 2го числа, это вроде как не она. скрин приложен

3. у меня запустился авз, все верно? в любом случае, приложила лог

4. китайской программы больше не слышно, это победа :) спасибо большое!
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,979
Симпатии
5,670
#14
1)
WordSurfer 1.10.0.19 [2015/07/10 18:38:02]-->C:\Program Files (x86)\WordSurfer_1.10.0.19\Uninstall.exe
Амиго [20150710]-->"C:\Users\Анна\AppData\Local\Amigo\Application\32.0.1723.105\Installer\setup.exe" --uninstall
Деинсталируйте.

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
SetServiceStart('wsasvc_1.10.0.19', 4);
StopService('wsasvc_1.10.0.19');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Service\wsasvc.exe', '');
DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Service\wsasvc.exe', '32');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\GameXPService Autoupdate', '64');
DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_Анна', '64');
DeleteService('wsasvc_1.10.0.19');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_C0E5D2B775FDDC4A046829E7FA07F827');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{B19ED566-D419-470b-B111-3C89040BC027}');
ExecuteSysClean;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

3)
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

4) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

5)
та, что с непонятными значками создана 2го числа, это вроде как не она. скрин приложен
это как раз она, удалите её.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,979
Симпатии
5,670
#16
На всякий случай попробуйте в безопасном режиме сделать лог.
 

scarletthawtorn

Новый пользователь
Сообщения
19
Симпатии
0
#17
пару секунд эта программа в безопасном режиме поработала, потом снова та же ошибка высветилась.

сделать лог uvs? или чего-то другого?
 

Вложения

  • 10.4 KB Просмотры: 3

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,979
Симпатии
5,670
#18
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-4182067106-2409426851-3225599235-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Extension: No Name - C:\Users\Анна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Видимых проблем больше нет?
По поводу FRST подумаю, что можно сделать. В принципе заразу вычистили, но хотелось убедится, что и все хвосты от неё удалены.
Папку с иероглифами удалили?


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

scarletthawtorn

Новый пользователь
Сообщения
19
Симпатии
0
#19
папку удалила, скрипт дал ссылку на установку Adobe Flash Player, установила. берусь за рекомендации после лечения.

Видимых проблем больше нет?
нет, больше ничего не вылезает. ура! спасибо вам огромное :)
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,298
Симпатии
5,849
#20
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите содержимое файла к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу