Решена QQPCTray

Статус
В этой теме нельзя размещать новые ответы.

scarletthawtorn

Активный пользователь
Сообщения
19
Реакции
0
Баллы
181
Скачивала программы на непроверенном сайте, внезапно начали самоустанавливаться всякие амиго, игры от мэйл.ру, в браузере заменились стартовые страницы и настройки. Их удалось удалить, но вот эта китайская программа QQPCTray все еще здесь :( попробовала вырубить ее в диспетчере задач - он ругался и говорил, что в доступе отказано. Компьютер только привезли из ремонта, до вчерашнего дня там вообще ничего не было. Что делать?
 

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Последнее редактирование:

scarletthawtorn

Активный пользователь
Сообщения
19
Реакции
0
Баллы
181
Здравствуйте!
Надеюсь, все сделала правильно.
 

Вложения

  • CollectionLog-2015.07.10-12.22.zip
    103.2 KB · Просмотры: 5

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Да,все верно.
Как только на форуме появится свободный консультант вам дадут инструкции.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,131
Реакции
6,302
Баллы
1,098
Здравствуйте!

eTranslator [2015/07/09 22:01:53]-->"C:\Users\Анна\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
GamesDesktop 033.005010026 [20150709]-->"C:\Program Files (x86)\gmsd_ru_005010026\unins000.exe"
oursurfing uninstall [2015/07/10 11:27:23]-->C:\Users\Анна\AppData\Roaming\oursurfing\UninstallManager.exe -ptid=age
деинсталируйте.

Forum Terminal [2015/07/09 22:19:34]-->C:\Users\Анна\AppData\Local\D06FE7A3-1436480338-11E0-9DD4-D480BF0C80B3\Uninstall.exe
Free Up Expand [2015/07/09 22:16:27]-->"C:\Users\Анна\AppData\Local\D06FE7A3-1436480171-11E0-9DD4-D480BF0C80B3\uninstall.exe"
Аудио и видео скачивание [20150709]-->"C:\Program Files (x86)\Аудио и видео скачивание\unins000.exe"
если сами не ставили, то также деинсталируйте.
Игровой центр@Mail.Ru [2015/07/07 19:38:49]-->"C:\Users\Анна\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall
если не использует, то тоже.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\Анна\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe');
StopService('fiqovuby');
QuarantineFile('c:\users\Анна\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\D06FE7A3-1436469149-11E0-9DD4-D480BF0C80B3\knsdCAAA.tmpfs', '');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010026\gmsd_ru_005010026.exe', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozillа Firеfоx.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Chrоmе.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Eхplоrеr Browser.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Gооgle Сhromе.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Chrоme.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr (2).lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxplorеr (Nо Add-оns).lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Ехрlоrеr.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Gоoglе Chrome.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Моzillа Firеfох.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Оpera.lnk', '');
QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 30.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzilla Firefox (2).lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzilla Firefox.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Mozilla Firefox.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\Opera.lnk', '');
QuarantineFile('C:\Users\Public\Desktop\Drаgon Аge 2.(Лаунчер).lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DАEМОN Тools Lite.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Skyrim - Legendary Edition\Игрaть Skyrim - Lеgеndаry Edition.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Dragon Age 2.v 1.04 + 16 DLC\Drаgon Аge 2.(Лaунчер).lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Кinoroom Вrowsеr.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\lll\DАЕMОN Тоols Lite.lnk', '');
QuarantineFile('C:\Users\Анна\Desktop\Skyrim - Lеgеndаry Editiоn.lnk', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.emorhc.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.xoferif.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.arepo.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnual2eganogard.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualtd.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat', '');
QuarantineFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.resworbrk.bat', '');
QuarantineFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT', '');
QuarantineFile('C:\Users\Анна\AppData\Local\Mail.Ru\GameCenter\Chrome\3.2272.2050\libEGL.dll', '');
QuarantineFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe', '');
QuarantineFile('C:\Users\Анна\AppData\Local\Host installer\2121005966_installcube.exe', '');
DeleteFile('c:\users\Анна\appdata\local\gmsd_ru_005010026\upgmsd_ru_005010026.exe', '32');
DeleteFile('C:\Users\Анна\AppData\Roaming\D06FE7A3-1436469149-11E0-9DD4-D480BF0C80B3\knsdCAAA.tmpfs', '32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_005010026\gmsd_ru_005010026.exe', '32');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.emorhc.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.xoferif.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.arepo.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnual2eganogard.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualtd.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat', '');
DeleteFile('C:\Users\Анна\AppData\Roaming\Browsers\exe.resworbrk.bat', '');
DeleteFile('C:\Windows\system32\Tasks\Soft installer', '64');
DeleteFile('C:\Users\Анна\AppData\Local\Host installer\2121005966_installcube.exe', '32');
DeleteFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe', '32');
DeleteService('fiqovuby');
DeleteFileMask('C:\Program Files (x86)\Tencent\', '*', true);
DeleteFileMask('C:\Users\233B~1', '*', true);
DeleteFileMask('C:\Users\4E68~1', '*', true);
DeleteDirectory('C:\Program Files (x86)\Tencent\');
DeleteDirectory('C:\Users\233B~1');
DeleteDirectory('C:\Users\4E68~1');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010026');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010026.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'fgevkcjeic');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 

scarletthawtorn

Активный пользователь
Сообщения
19
Реакции
0
Баллы
181
1. eTranslator [2015/07/09 22:01:53]-->"C:\Users\Анна\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall

попробовала деинсталлировать, гугл хром закрылся и высветилась ошибка (скрин приложен)

2. Игровой центр@Mail.Ru [2015/07/07 19:38:49]-->"C:\Users\Анна\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall

этим пользуюсь, оставила

3. заполнила форму и отправила по ней quarantine.zip

4. файлы прикрепляю.

Большое спасибо :) жду дальнейших указаний.
 

Вложения

  • етрансл.PNG
    етрансл.PNG
    78.3 KB · Просмотры: 19
  • AdwCleaner[R0].txt
    9.5 KB · Просмотры: 3
  • АННА-ПК_2015-07-10_16-46-31.7z
    593.4 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,131
Реакции
6,302
Баллы
1,098
1) Remote Desktop Access (VuuPC) - деинсталируйте.

2)
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.25 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    chklst
    delvir
    dirzooex %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA
    dirzooex %SystemDrive%\USERS\АННА\APPDATA\ROAMING\VOPACKAGE
    bl DACBEBE491EB6029FD72F600AB2E7171 297608
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCRTP.EXE
    bl FBA2C8E98479CA22B40FE48A4354E234 481632
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\SQLITE.DLL
    bl 9EB532FA17EBF25F9E7BACD55406C0ED 55648
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMDNS.DLL
    bl 0A0A417349368EBE3CA7EF1D7395CE5B 3112504
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKTT.DLL
    bl DF8F742AFD14BA10C6DA5ABD10EF2C4C 174432
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVE.DLL
    bl 53D9EF730A99458C7181E1DBF67FF58D 682336
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMFILEMON.DLL
    bl 51C1EDB55CF0C4F0835F306021B12FE5 354656
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCHARDWARE.DLL
    bl 6AD127B60B4B1385CA56A7B0CAB1D767 96736
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMREPAIRPLUGIN.DLL
    bl 2F83D9BAC50FD31B52059908BCBD9945 317792
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMUL.DLL
    bl EE3B1BB3FD1B652003408C73AB4D739B 241208
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKREPORT.DLL
    bl D5714576699479C8E670354622AE3999 106040
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKCOM.DLL
    bl 3EC71A2292EB0A5D48A9ED9ECC808931 216632
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TPK\1.0.0.1\TPKPROXY.DLL
    bl A11FBCCD3BCE836F66F77EE5227FD6D3 84320
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMSAFEBOXHELPERDLL.DLL
    bl 93DE4D3CF2D6396EEB82220FCF4D3801 92512
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMRTPDLL.DLL
    bl EF952AA851B9ADC57324FD7D4DC0BD10 100704
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMHIPS.DLL
    bl C0318178C6F3277B976A76C51D59F749 84320
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMAVPROXY.DLL
    bl EE0314F9E4A035144346C8C7F4AC6A51 18784
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\ODAYPROTECT.DLL
    bl D8B6BDB55EF5F2314F5A90863B8283BA 48480
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\COMMUNIC.DLL
    bl D3E013980C2AA2E5E45869B308D1F85A 26464
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMCPM.DLL
    bl BFC613808359FC5ACD9FD3C43F56CA25 739680
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCFIXATDLL.DLL
    bl C2FC17493DD2309F5212D4FFD5FEDBEA 203104
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQFILEFLT.DLL
    bl 0499B92ACE41977107C7DE249A96AB87 84320
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\SOFTMGR\PROCESSLOGDLL.DLL
    bl 1D9B5EB844CACB3A2FAFD9394BBEA76B 203104
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVINTERFACE.DLL
    bl 185895FAFD966E809EB765006082067B 28512
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMBDSCANNER.DAT
    bl BDBB30FA72718461FD9B77109A3A7F1E 305504
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMRTPCHECK.DLL
    bl 9C313D9B5F5AC1F1D6E47CDDCFCE64F9 149856
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMEMMAT.DLL
    bl FE6E03DFE5AB6255E2045B5D3B1B321E 67936
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\RTPCOMMON.DLL
    bl BD36627974E508860C76F9BB0561F906 39776
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\SYSSPEEDUPRTPPLUGIN\SYSSPEEDUPRTPPLUGIN.DLL
    bl 421C26F38F286D01547789FA644A599C 63840
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMIEMALRTPPLUGIN\QMIEMALRTPPLUGIN.DLL
    bl B9CF3CAE9A46AF76ADA02EC06638E441 145760
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\SPECIALPLUGIN\QMHIPSSPECIAL.DLL
    bl 298632B12499C3A416BE430BA823A715 555360
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMCLOUDINTER\QMCLOUDINTER.DLL
    bl 735EE40251A0168C826AA4DF73C9211A 117088
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\SXCOMBASE.DLL
    bl D70EE763BB18647BF0E5202E8CC8C415 199008
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMSCRIPTHOST.DLL
    bl 046A3F89356803FA1D2DAFF49918A981 117088
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMEXT.DLL
    bl BD6C48BA68DAEB86833AA6B850541F2C 88416
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\ZLIB.DLL
    bl F7C0487F908DB5F317C7620BD4E23E99 1878368
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMSYSREPPROV.DLL
    bl DDD6B6A8F602F498236E819CB55D9AD2 325984
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMASSOCSCAN.DLL
    bl A2BD2519554DE4063639D8925A088671 510304
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVUPLOAD.DLL
    bl 799073388CA60181F9DA391A92E2E56F 432480
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVCACHE.DLL
    bl 550167A257C2A2F112F2C3A5FBC5EF29 92512
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKITPROXY.DLL
    bl 596F967C0D60B4319B421CB53EDA7FE2 1194336
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QMHIPSENGINE.DLL
    bl 5F793A74F36A00B9CF77609B683A8D6D 231776
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMNETWORKMGR.DLL
    bl B028DC1B85E52EAE2234C09C93EEF08A 100704
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TINYXML.DLL
    bl EA3A36ED7595F766811AE4AAAECDB4AA 670048
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAVENG.DLL
    bl 9DF9EA7E4FA242782FC3059564651E82 203104
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMTRAYPLUGIN\QMPERFCTRL\QMPERF.DLL
    bl F000D34393212B181BCB4E2C619F96BD 174432
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMIPC.DLL
    bl F1D6A38959CDF0C43FFF7A0539D789AF 84320
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PTRATE.DLL
    bl 3AD6A8DCE0D9A383A0B6C07A4324612D 424288
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\DR.DLL
    bl E690C907ED0BC5DDF9B5C938BE14A3BA 149856
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\REFUSEINJECT.DLL
    bl 5BA77691A0034836359D67502E5C2D3B 715104
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCOMMON.DLL
    bl 2D743A40DD9B9692CA73B9E5D9D8C07B 63840
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCONTEXTUNINSTALL64.DLL
    bl C33D68057BF0E6B29577750B7956CBC0 94048
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCONTEXTSCAN64.DLL
    bl B9A73D2AD107A7EF0F8F0C4DB2B63C6C 461152
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMGCSHELLEXT64.DLL
    bl 8B9BC8CA493517547FEE9524A7529D92 223072
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\EXNSCAN64.DLL
    bl 757D320CED91219BE8ABE68D6B4C8CBB 84320
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\NPQMEXTENSIONSMOZILLA.DLL
    bl 082330935A1B2B3FD364FAD107E4604C 355296
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCTRAY.EXE
    bl 8D91621F5953012405E1A4C69FA93958 88416
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMCONTEXTSCAN.DLL
    bl CC8AD9A3B418F86D72592F54876023B6 414560
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSWEBMON64.DAT
    bl F3CFAAACDD1B3DA0EAF8335967E1D16C 129336
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQSYSMONX64.SYS
    zoo %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
    bl D4AEDDCC80AE2781A1E0C89484C27D4B 99640
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TAOACCELERATOR64.SYS
    zoo %Sys32%\DRIVERS\TAOKERNEL64.SYS
    bl EB42B24ACCB1E700AC00912EA2F3C2D2 174392
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TAOKERNEL64.SYS
    zoo %Sys32%\DRIVERS\TFSFLTX64.SYS
    bl 510466333F1647D444742819E7DE951F 87864
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TFSFLTX64.SYS
    bl 4833F5BE6843247F3E35842532F2682D 42296
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSCPM64.SYS
    bl 6416EFF7B5B704469B3B7AFB6665E71F 28472
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSDEFENSEBT64.SYS
    zoo %Sys32%\DRIVERS\TSSKX64.SYS
    bl 566770559DCFB325BB589CB602FAA531 38200
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TSSKX64.SYS
    bl CB0FCAF7C06DF799CA37A12BFE220D34 87352
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKIT64.SYS
    bl 833E0552ADF9B2FB266C5ABC921EDAFC 88416
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\NPQMEXTENSIONSIE.DLL
    bl 366A7869E9E72D579FF2341C4CC7B8E1 293856
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAOFRAME.EXE
    bl 16E27465FC02E6974704FD2187E92144 1097272
    delall \\?\C:\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
    bl 34991C81906C294CD86D660BFEDC2584 1408480
    delall \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCSOFTMGR.EXE
    deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\
    deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\  del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL2EGANOGARD.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALMIRYKS.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTD.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.RESWORBRK.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT
    deldir %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\PANEL
    deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\VOPACKAGE
    delall HTTP://HAO.QQ.COM/?UNC=O400493_1&S=O400493_1
    delall HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1436516830&Z=4C5D08165CC89D44B94F1B4G5Z0CEQ4W4G0QBB1C4W&FROM=AGE&UID=HITACHIXHTS725050A9A364_100720PCK404VLJSNKHJX
    delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL
    delall HTTP://WWW.OURSURFING.COM/NEWTAB/?TYPE=NT&TS=1436516830&Z=4C5D08165CC89D44B94F1B4G5Z0CEQ4W4G0QBB1C4W&FROM=AGE&UID=HITACHIXHTS725050A9A364_100720PCK404VLJSNKHJX
    zoo %SystemDrive%\USERS\АННА\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
    bl 603344F2722ECEFA8711525EA48CC774 51149
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ETRANSLATOR3.OEX
    delall HTTP://LIBUMA.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=2F5A6EE5633FCA0CB69F0C4796D738E2&UTM_TERM=B4FF1F99D2CB3F721555693095F3DD20
    delref %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI\3.0.3_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delref %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC\3.0.3_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\3.0.3_0\ПОИСК MAIL.RU
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KINOROOM BROWSER.LNK
    bl B6615A97691AA42EDE5DAE9097A08891 1980
    delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KINOROOM BROWSER.LNK
    czoo
    areg
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

3) - Удалите в AdwCleaner всё кроме папок от mail.ru. Отчет после удаления прикрепите.

4) - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

5) Сделайте свежий лог uVS.
 

scarletthawtorn

Активный пользователь
Сообщения
19
Реакции
0
Баллы
181
1. во время исполнения пункта 4 у меня снова внезапно начали устанавливаться амиго, вконтакте, одноклассники, гугл хром заменился на crossbar
сейчас все поудалялось, кроме амиго и музыки амиго

2. архив отправила на почту

3. логи:
апд: амиго вместе с музыкой так же внезапно исчезли
 

Вложения

  • AdwCleaner[S0].txt
    24.4 KB · Просмотры: 3
  • Check_Browsers_LNK.zip
    3.1 KB · Просмотры: 4
  • АННА-ПК_2015-07-10_19-52-27.7z
    582.2 KB · Просмотры: 3

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,131
Реакции
6,302
Баллы
1,098
4) - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.
По ссылке которую я вам дал другая версия программы скачивается ;).
1) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk
C:\Users\Анна\Desktop\lll\Оpera.lnk
C:\Users\Анна\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozillа Firеfоx.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Gооgle Сhromе.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Chrоme.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr (2).lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехрlоrеr.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.Музыка.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxplorеr (Nо Add-оns).lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Ехрlоrеr.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk
C:\Users\Анна\Desktop\lll\Gоoglе Chrome.lnk
C:\Users\Анна\Desktop\lll\Моzillа Firеfох.lnk
C:\Users\Анна\Desktop\Амиго.Музыка.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
C:\Users\Анна\Desktop\Амиго.lnk
C:\Users\Public\Desktop\Drаgon Аge 2.(Лаунчер).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DАEМОN Тools Lite.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Skyrim - Legendary Edition\Игрaть Skyrim - Lеgеndаry Edition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Dragon Age 2.v 1.04 + 16 DLC\Drаgon Аge 2.(Лaунчер).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Кinoroom Вrowsеr.lnk
C:\Users\Анна\Desktop\lll\DАЕMОN Тоols Lite.lnk
C:\Users\Анна\Desktop\Skyrim - Lеgеndаry Editiоn.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета\Панель запуска.lnk
C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета\Удалить панель запуска.lnk
C:\Users\Анна\Desktop\lll\Corel Home Office.lnk
C:\Users\Анна\Desktop\lll\проги\G10 Multi-Mode.lnk
C:\Users\Public\Desktop\Dragon Age 2.(Лаунчер).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DAEMON Tools Lite.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Skyrim - Legendary Edition\Играть Skyrim - Legendary Edition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Dragon Age 2.v 1.04 + 16 DLC\Dragon Age 2.(Лаунчер).lnk
C:\Users\Анна\Desktop\lll\DAEMON Tools Lite.lnk
C:\Users\Анна\Desktop\Skyrim - Legendary Edition.lnk
C:\Users\Анна\Favorites\Links\Интернет.url

2)
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.25 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    vreg
    del %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL2EGANOGARD.BAT
    del %SystemDrive%\USERS\PUBLIC\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL2EGANOGARD.BAT
    del %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALMIRYKS.BAT
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALMIRYKS.BAT
    del %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTD.BAT
    delall %SystemDrive%\USERS\����\APPDATA\ROAMING\MCN3I62V12MDBFC6NZ7BHUXN.EXE
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\PANEL\KOMETALAUNCHPANEL.EXE
    del %SystemDrive%\USERS\АННА\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT
    delall %SystemDrive%\USERS\����\APPDATA\ROAMING\JMLSSLQ8IDAV2IMSLOAGFN.EXE
    dirzooex %SystemDrive%\USERS\АННА\APPDATA\LOCAL\13485
    deldir %SystemDrive%\USERS\АННА\APPDATA\LOCAL\13485
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\КINOROOM ВROWSЕR.LNK
    bl 6D0380F7AA99146D5CB15091854CAC72 1153
    delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\КINOROOM ВROWSЕR.LNK
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
    zoo %SystemDrive%\USERS\АННА\APPDATA\LOCAL\TEMP\FSDB443.EXE
    bl 353CA2E9685ED8C67B118775EECDEAC5 3001344
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\TEMP\FSDB443.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCTRAY.EXE
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\PANEL\PANELREMOVE.EXE
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\ETRANSLATOR\ETRANSLATOR.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\ANKI\ANKI.EXE
    delall HTTP:\\LIBUMA.RU\?UTM_SOURCE=STARTLINK03&UTM_TERM=B4FF1F99D2CB3F721555693095F3DD20
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\АМИГО.LNK
    bl 41E97492C03E4EFEE0F58C09704C2EC9 2234
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\АМИГО.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.LNK
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK
    bl E0D4C9AFA6E0BE58E4725058C9808430 2211
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АМИГО.LNK
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АМИГО.LNK
    zoo %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.LNK
    bl CECA6E5B8B241264F4DE257079786C83 2209
    delall %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.МУЗЫКА.LNK
    bl 37836D936102C4145287C4957EC2DB75 2777
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\АМИГО.МУЗЫКА.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРИЛОЖЕНИЯ АМИГО\АМИГО.МУЗЫКА.LNK
    bl 33344E0A7A69990BC92FEA20A2141DC3 2604
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРИЛОЖЕНИЯ АМИГО\АМИГО.МУЗЫКА.LNK
    zoo %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.МУЗЫКА.LNK
    bl F25C7567EC0422329083621AEC8BBAF7 2763
    delall %SystemDrive%\USERS\АННА\DESKTOP\АМИГО.МУЗЫКА.LNK
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI\3.0.3_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC\3.0.3_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\3.0.3_0\ПОИСК MAIL.RU
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\УДАЛИТЬ ПАНЕЛЬ ЗАПУСКА.LNK
    bl 45CB12850DE8BC60B058E41255D50EAA 1997
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\УДАЛИТЬ ПАНЕЛЬ ЗАПУСКА.LNK
    zoo %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\ПАНЕЛЬ ЗАПУСКА.LNK
    bl 33BE940C56AC4F34509B3DA1AD6F7DA4 2027
    delall %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\ПАНЕЛЬ ЗАПУСКА.LNK
    delall %SystemDrive%\USERS\АННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BFAOHPMJMHDGNJBLOJEKJLNADHEHIADJ\1.26.57_0\CIPLUS-4.5VV10.07
    deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\БОКОВАЯ ПАНЕЛЬ - КОМЕТА\
    deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРИЛОЖЕНИЯ АМИГО\
    deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\
    deldir %SystemDrive%\USERS\АННА\APPDATA\ROAMING\ETRANSLATOR\
    deldir %SystemDrive%\USERS\АННА\APPDATA\LOCAL\KOMETA\
    delall %SystemDrive%\Users\Анна\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico 
    deltmp
    czoo
    areg
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

3) Сделайте свежий лог AdwCleaner-а.

4) Переделайте лог Check Browsers' LNK той версий, что я просил.
 

scarletthawtorn

Активный пользователь
Сообщения
19
Реакции
0
Баллы
181

Вложения

  • AdwCleaner[R4].txt
    2.8 KB · Просмотры: 2
  • Check_Browsers_LNK.log
    4.7 KB · Просмотры: 3
  • ClearLNK-11.07.2015_11-05.log
    21.2 KB · Просмотры: 3
  • Errors.log
    258.4 KB · Просмотры: 3

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,131
Реакции
6,302
Баллы
1,098
1) Папку
Код:
C:\Users\理磬\
удалите вручную.

2) - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

3) Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

4) Что с проблемой?
 

scarletthawtorn

Активный пользователь
Сообщения
19
Реакции
0
Баллы
181
1. этой папки нет
та, что с непонятными значками создана 2го числа, это вроде как не она. скрин приложен

3. у меня запустился авз, все верно? в любом случае, приложила лог

4. китайской программы больше не слышно, это победа :) спасибо большое!
 

Вложения

  • AdwCleaner[S1].txt
    2.9 KB · Просмотры: 1
  • рст.PNG
    рст.PNG
    88.7 KB · Просмотры: 20
  • CollectionLog-2015.07.11-14.11.zip
    71.1 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,131
Реакции
6,302
Баллы
1,098
1)
WordSurfer 1.10.0.19 [2015/07/10 18:38:02]-->C:\Program Files (x86)\WordSurfer_1.10.0.19\Uninstall.exe
Амиго [20150710]-->"C:\Users\Анна\AppData\Local\Amigo\Application\32.0.1723.105\Installer\setup.exe" --uninstall
Деинсталируйте.

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
SetServiceStart('wsasvc_1.10.0.19', 4);
StopService('wsasvc_1.10.0.19');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Service\wsasvc.exe', '');
DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Service\wsasvc.exe', '32');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\GameXPService Autoupdate', '64');
DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_Анна', '64');
DeleteService('wsasvc_1.10.0.19');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_C0E5D2B775FDDC4A046829E7FA07F827');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{B19ED566-D419-470b-B111-3C89040BC027}');
ExecuteSysClean;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

3)
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

4) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

5)
та, что с непонятными значками создана 2го числа, это вроде как не она. скрин приложен
это как раз она, удалите её.
 

scarletthawtorn

Активный пользователь
Сообщения
19
Реакции
0
Баллы
181
все кроме пункта 4 готово.
у меня выскакивает ошибка:
 

Вложения

  • Снимок.PNG
    Снимок.PNG
    39.5 KB · Просмотры: 18

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,131
Реакции
6,302
Баллы
1,098
На всякий случай попробуйте в безопасном режиме сделать лог.
 

scarletthawtorn

Активный пользователь
Сообщения
19
Реакции
0
Баллы
181
пару секунд эта программа в безопасном режиме поработала, потом снова та же ошибка высветилась.

сделать лог uvs? или чего-то другого?
 

Вложения

  • FRST.txt
    10.4 KB · Просмотры: 3

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,131
Реакции
6,302
Баллы
1,098
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-4182067106-2409426851-3225599235-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Extension: No Name - C:\Users\Анна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Видимых проблем больше нет?
По поводу FRST подумаю, что можно сделать. В принципе заразу вычистили, но хотелось убедится, что и все хвосты от неё удалены.
Папку с иероглифами удалили?


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

scarletthawtorn

Активный пользователь
Сообщения
19
Реакции
0
Баллы
181
папку удалила, скрипт дал ссылку на установку Adobe Flash Player, установила. берусь за рекомендации после лечения.

Видимых проблем больше нет?

нет, больше ничего не вылезает. ура! спасибо вам огромное :)
 

Вложения

  • Fixlog.txt
    1.3 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите содержимое файла к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу