Решена Схватил Амиго. Помогите убить остатки

Статус
В этой теме нельзя размещать новые ответы.

Юрий

Новый пользователь
Сообщения
7
Реакции
1
Схватил месяца полтора назад наш горячо любимый Амиго. Удалиля все через панель управления. Потом подчищал в temp. Но осталась такая зараза, которую не могу выкурить:
hттp://search.sidecubes.com/?st=dn&q=

Эта дичь открываеться с любого браузера. Удаляю ее в настройках,чищу куки и кеш- не помогает. в реестре колупался - не помогло. Все-равно после перезагрузки браузера(и компа) он остаеться.
Раньше я его убивал в настройках хрома и он исчезал на 2-3 дня. Сейчас же - я убил его, запустил "новую вкладку" - норм(вылезает мо родной поиск в гугле", но когда запускаю вторую" новую вкладку" - снова он вылезает!
 
Последнее редактирование модератором:
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\airtostrong\airtostrong.exe');
 TerminateProcessByName('C:\Program Files\BitTorrent\BitTorrent.exe');
 TerminateProcessByName('c:\programdata\ocep\ocep.exe');
 TerminateProcessByName('c:\programdata\logic handler\set.exe');
 TerminateProcessByName('c:\programdata\xifs\xifs.exe');
 SetServiceStart('xifs', 4);
 SetServiceStart('ocep', 4);
 SetServiceStart('BitTorrent', 4);
 SetServiceStart('backlh', 4);
 SetServiceStart('Airtostrong', 4);
 QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
 QuarantineFile('c:\programdata\airtostrong\airtostrong.exe','');
 QuarantineFile('c:\programdata\xifs\xifs.exe','');
 QuarantineFile('c:\programdata\ocep\ocep.exe','');
 QuarantineFile('c:\programdata\logic handler\set.exe','');
 DeleteFile('c:\programdata\logic handler\set.exe','32');
 DeleteFile('c:\programdata\ocep\ocep.exe','32');
 DeleteFile('c:\programdata\xifs\xifs.exe','32');
 DeleteFile('c:\programdata\airtostrong\airtostrong.exe','32');
 DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32');
 DeleteService('Airtostrong');
 DeleteService('backlh');
 DeleteService('BitTorrent');
 DeleteService('ocep');
 DeleteService('xifs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 
Отправил на почту письмо. И вот новые логи
Скрип не помог=(
 

Вложения

Последнее редактирование:
Менеджер браузеров и вулкан ваше? Сами установили?
Программы connect и kuler?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1P1Hz0Fys-sh0ffhmjGDswELtQytFBHN-4IqQ8n7k53DyUgr3iejURa3_QQLx6GCmvAIAsLIryD7ii1qGoOdSKtBKKGR9Cc7kEsPILs6n9-Cz41BwoTFq58Vc-DDuuBXSOUO5uQJTtbOecIMdv&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1P1Hz0Fys-sh0ffhmjGDswELtQytFBHN-4IqQ8n7k53DyUgr3iejURa3_QQLx6GCmvAIAsLIryD7ii1qGoOdSKtBKKGR9Cc7kEsPILs6n9-Cz41BwoTFq58Vc-DDuuBXSOUO5uQJTtbOecIMdv&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1P1Hz0Fys-sh0ffhmjGDswELtQytFBHN-4IqQ8n7k53DyUgr3iejURa3_QQLx6GCmvAIAsLIryD7ii1qGoOdSKtBKKGR9Cc7kEsPILs6n9-Cz41BwoTFq58Vc-DDuuBXSOUO5uQJTtbOecIMdv&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1P1Hz0Fys-sh0ffhmjGDswELtQytFBHN-4IqQ8n7k53DyUgr3iejURa3_QQLx6GCmvDHwT7BPUyLUEOkoEBVIxuGcfibLrxLcjVB-VFhcRVz-7AEILHwCBtslNdZRnp8dgMNnPI_8hdk3zj3kW
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1P1Hz0Fys-sh0ffhmjGDswELtQytFBHN-4IqQ8n7k53DyUgr3iejURa3_QQLx6GCmvAIAsLIryD7ii1qGoOdSKtBKKGR9Cc7kEsPILs6n9-Cz41BwoTFq58Vc-DDuuBXSOUO5uQJTtbOecIMdv&q={searchTerms}
O2 - BHO: (no name) - {A692062A-11A1-461B-BE98-B520F01F96FC} - (no file)


- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"      -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> %SNP%]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"       -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> %SNP%]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk"      -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> %SNP%]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk"    -> ["C:\Program Files (x86)\Mozilla Firefox\firefox.exe"  =>> %SNF%]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk"     -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> %SNP%]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk"         -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> %SNP%]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> %SNP%]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk"  -> ["C:\Program Files (x86)\Mozilla Firefox\firefox.exe"  =>> %SNF%]

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
Vulkan мое, остальной софт - хз. Я его(эти три программы) даже не нашел в установленных.
Вот логи. После сканирования через AdwCleaner - ничего не очищал. Сделал тупо все как Вы написати, по инструкции
 

Вложения

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Повторите лог Adwcleaner

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Сделал все как написали. Вроде норм, но иногда выскакивает эта дичь. при повторном сканировании через AdwCleaner- нашло ету фигню еще раз удалил и уже не выскакиевает. ну по крайней мере не замечал. Спасибо Вам большое!
 

Вложения

Последнее редактирование:
Менеджер браузеров - удалите через установку и удаление программ.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk -> C:\Users\User\AppData\Local\Yandex\BrowserManager\BrowserManager.exe (No File)
FF Extension: (supermegabest) - C:\Users\User\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-21]
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
2016-08-09 11:52 - 2016-08-09 11:52 - 2936289 _____ () C:\Program Files\Common Files\doaxlzmi.exe
2016-08-02 01:53 - 2016-08-02 01:53 - 2944864 _____ () C:\Program Files\Common Files\scomsstl.exe
2016-08-04 13:10 - 2016-08-04 13:10 - 2940996 _____ () C:\Program Files\Common Files\tb0fcpzn.exe
File: C:\Users\User\AppData\Roaming\Sanlax.exe
File: C:\Users\User\AppData\Roaming\Silzap.exe
File: C:\Users\User\AppData\Local\quoquote.exe.config
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Повторите лог.
 
В установках и удалении менеджера браузеров - нет!
 

Вложения

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Менеджер браузеров (x32 Version: 2.2.1.614 - Яндекс) Hidden
2016-08-01 22:51 - 2016-08-01 22:48 - 0681984 _____ () C:\Users\User\AppData\Roaming\Sanlax.exe
2016-08-01 22:51 - 2016-08-01 22:51 - 1906512 _____ () C:\Users\User\AppData\Roaming\Sanlax.tst
2016-08-01 22:50 - 2016-08-01 22:48 - 0681984 _____ () C:\Users\User\AppData\Roaming\Silzap.exe
2016-08-01 22:50 - 2016-08-01 22:50 - 0072713 _____ () C:\Users\User\AppData\Roaming\Silzap.tst
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


В установках и удалении менеджера браузеров - нет!
После этого скрипта - появится.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Сообщите о проблемах.
 
Какие то проблемы есть еще?

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу