1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Словил Tencent-QQPCMgr

Тема в разделе "Удаление компьютерных вирусов", создана пользователем magicwd, 24 авг 2015.

Метки:
Статус темы:
Закрыта.
  1. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    Здравствуйте! Все банально пошло, скачал и установил файл WindowsPhonePowerTools.exe и приобрел полный китайский фарш для винды). Удалось удалить службу QQPCMgrRTPService методом описаным по ссылке (Tencent QQPCMgr - как удалить с компьютера?), через их собственный китайский деинсталятор. Но рекламные окна в браузерах остались, вылазят при каждом открытии новой вкладки. Посоветуйте пожалуйста как избавиться от инфекции.
     
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    Кое-что забыл, прилагаю.
     

    Вложения:

  4. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.215
    Симпатии:
    5.569
    Здравствуйте!
    Удалите через установку и удаление программ:
    Browser Extensions
    Search Protection
    Surfing Protection
    swMSM

    Это вам знакомо? IObit

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Chrome Apps & Extensions Developer Tool.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndeх.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndeх.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet Exрlоrer Вrowsеr.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrome (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Exрlorеr.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Еxplоrer (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орera (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орera.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Еxplorer (Nо Add-оns).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Пaнель запуска приложений Сhrоme.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Сhrome Аpрs & Еxtеnsiоns Develoреr Тoоl.lnk','');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оperа.lnk','');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоmе.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Nokia Care Suite.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk','');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb tegdiw eboda.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualretrevnocxvid.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnuallenaplortnocxvid.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnual_tsilkcalb.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '');
     QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '');
     QuarantineFile('C:\Program Files\Hide Folders\WiFi-autostart.bat', '');
     QuarantineFile('QMUdisk.sys', '');
     QuarantineFile('C:\Windows\system32\Drivers\TS888x64.sys', '');
     QuarantineFile('C:\Windows\MPK\mpk.exe', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb tegdiw eboda.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualretrevnocxvid.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnuallenaplortnocxvid.bat', '');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnual_tsilkcalb.bat', '');
     DeleteFile('C:\Windows\system32\Drivers\TS888x64.sys', '32');
     DeleteFile('QMUdisk.sys', '32');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '32');
     DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '32');
     DeleteService('QMUdisk');
     DeleteService('TS888x64');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Dragokas и magicwd нравится это.
  5. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    swMSM, вот эту гадость не нашел, прикрепляю логи. quarantine.zip отправил через форму. как было указанно выше
     

    Вложения:

  6. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.215
    Симпатии:
    5.569
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    magicwd нравится это.
  7. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    Удалил все отмеченное что было после сканирования
     

    Вложения:

  8. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.215
    Симпатии:
    5.569
    А остальное?
     
    magicwd нравится это.
  9. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    Готово.
     

    Вложения:

    • Addition.txt
      Размер файла:
      83 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      49 КБ
      Просмотров:
      2
    • Shortcut.txt
      Размер файла:
      215,4 КБ
      Просмотров:
      1
  10. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.215
    Симпатии:
    5.569
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\008i.com -> 008i.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\008k.com -> 008k.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\00hq.com -> 00hq.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0190-dialers.com -> 0190-dialers.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\01i.info -> 01i.info
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\02pmnzy5eo29bfk4.com -> 02pmnzy5eo29bfk4.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\05p.com -> 05p.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\07ic5do2myz3vzpk.com -> 07ic5do2myz3vzpk.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\08nigbmwk43i01y6.com -> 08nigbmwk43i01y6.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\093qpeuqpmz6ebfa.com -> 093qpeuqpmz6ebfa.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0calories.net -> 0calories.net
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0cj.net -> 0cj.net
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0scan.com -> 0scan.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-britney-spears-nude.com -> 1-britney-spears-nude.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-domains-registrations.com -> 1-domains-registrations.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-se.com -> 1-se.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1001movie.com -> 1001movie.com
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1001night.biz -> 1001night.biz
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\100gal.net -> 100gal.net
    IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\100sexlinks.com -> 100sexlinks.com
    FirewallRules: [{8432FC9D-6EF3-4BE3-B6B7-32532CF39651}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
    FirewallRules: [{7292BB3F-C122-43C3-ACA2-5EEB2DE03E57}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
    ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  No File
    Toolbar: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
    FF Plugin HKU\S-1-5-21-1166898318-1680202229-4136601030-1000: @acestream.net/acestreamplugin,version=2.1.7.1 -> C:\Users\Dany\AppData\Roaming\ACEStream\player\npace_plugin.dll [2014-07-09] (Innovative Digital Technologies)
    CHR HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lkgikdljlijdigcpknpecodlmihmdmij] - C:\Users\Dany\AppData\Local\CRE\lkgikdljlijdigcpknpecodlmihmdmij.crx [2013-05-09]
    CHR HKLM-x32\...\Chrome\Extension: [acaoakiamfeidcmgooclgeleejkbaecf] - C:\Program Files (x86)\WinToFlash Suggestor\WinToFlashSuggestor.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [lkgikdljlijdigcpknpecodlmihmdmij] - C:\Users\Dany\AppData\Local\CRE\lkgikdljlijdigcpknpecodlmihmdmij.crx [2013-05-09]
    OPR Extension: (Quick Searcher) - C:\Users\Dany\AppData\Roaming\Opera Software\Opera Stable\Extensions\heildphpnddilhkemkielfhnkaagiabh [2015-08-24]
    S2 XapcnPhoneService; C:\Program Files (x86)\爱应用PC版\wp8svc.exe [34776 2014-06-20] () [File not signed]
    2015-08-24 00:51 - 2015-08-24 00:51 - 00000000 ____D C:\Users\Dany\AppData\Local\gmsd_ua_025010027
    2015-08-24 00:51 - 2015-08-24 00:51 - 00000000 ____D C:\Program Files (x86)\gmsd_ua_025010027
    2015-08-24 00:50 - 2015-08-24 00:50 - 00000000 ____D C:\Program Files (x86)\798CA8FF-1440366645-E211-B805-B888E3A77292
    cmd: Mkdir C:\MPKsz
    unlock: C:\Windows\MPK
    cmd: copy /y C:\Windows\MPK\* C:\MPKsz
    cmd: del /f/q C:\Windows\MPK
    Reg: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v userinit /t REG_SZ /d "C:\\WINDOWS\\system32\\userinit.exe,"
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Папки C:\MPKsz и C:\FRST\Quarantine упаковать в архив с паролем virus и отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Предыдущий карантин я от вас так и не увидел.
    Жду.

    + смените пароли.
     
    Последнее редактирование: 24 авг 2015
    magicwd нравится это.
  11. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    Письмо отправил с первым карантином и Fixlog.txt, а созданный архив с Папки C:\MPKsz и C:\FRST\Quarantine получился 25 Мб, ни с яндекса ни с gmail немогу отправить, может на яндекс диск вам ссылку дать?
    Яндекс.Диск

    --- Объединённое сообщение, 24 авг 2015 ---
    А пароли где сменить?)
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      11,6 КБ
      Просмотров:
      4
    Последнее редактирование: 24 авг 2015
  12. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.215
    Симпатии:
    5.569
    Все.
    У вас клавиатурный шпион сидел.

    Registry Trash Keys Finder вам знаком?Ваше?

    Повторите лог FRST.

    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
    magicwd нравится это.
  13. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    Спасибо, после работы уже все выполню. Registry Trash Keys Finder не знаком. В браузерах еще есть реклама.
     
  14. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    Повторил и вот, что произошло. Винда загружается, а на рабочем столе все мертвое, ни одна прога незапускается с иконок, выключил ноут только с розетки) и так 2 раза. Решил зайти в безопасный с сет.драйверами, чтоб отписаться, прикрепляю лог
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      10,6 КБ
      Просмотров:
      5
  15. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.215
    Симпатии:
    5.569
    Вы были не внимательны - я просил не выполнить старый скрипт,а сделать новый лог.
    Откатитесь на точку восстановления на 25 августа,на время когда первый раз выполнили скрипт FRST.

    Когда вернете нормальную загрузку системы продолжайте начиная с сбора лога Malwarebytes' Anti-Malware.
     
    magicwd нравится это.
  16. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    Вот это надо было сделать? у меня восстановление системы отключенно, никак откат не сделаю. Так малваре с безопасно ненужно запускать?
    --- Объединённое сообщение, 25 авг 2015, Дата первоначального сообщения: 25 авг 2015 ---
    Ну вообщем я сделал сканирование в безопасном режиме на всякий. Подскажите мне пожалуйста выход из ситуации, при том, что я теперь окатиться не могу на раннюю точку?
     

    Вложения:

  17. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    Я так понимаю, сносить винду единственный выход из сложившейся ситуации? Не в моем положении торопить события, но мне ноут для работы необходим, поэтому хочу определиться, если нельзя исправить, то буду переустанавливать., что вы скажете?
     
  18. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.215
    Симпатии:
    5.569
    В безопасном режиме нормально загружается?
    Диагностируйте источник проблем с загрузкой и запуском программ:
    Windows - Диагностика загрузки Windows

    Как сможете нормально работать с компьютером продолжим лечение.
     
    magicwd нравится это.
  19. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    Да, в безопасном режиме все в норме, я и рекламу в браузерах отключил путем поиска значений в реестре. Но не все ключи получилось удалить, как оказалось у меня прав недостаточно) Ок спасибо, займусь диагностикой загрузки.
     
  20. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.215
    Симпатии:
    5.569
    Это добьем,не переживайте.
    Жду вашего возвращения,потом
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве.

    Код (Text):

    Данные реестра: 2
    PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Хорошо: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Плохо: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[ed1c907d18731f17ae1acd8c45c0de22]
    PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Хорошо: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Плохо: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[ca3fde2f7912ae88dbed46138c791be5]

    Папки: 9
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\S-1-5-21-1166898318-1680202229-4136601030-1000, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    Refog.KeyLogger, C:\ProgramData\MPK, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\1, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\1\HCAL, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\CPDA, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\CPDM, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor, , [69a012fbfc8f3ff78d6658c214efe719],

    Файлы: 37

    PUP.Optional.Conduit.A, C:\ministub.exe, , [6a9f69a4b4d79e989656d7486c94a957],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Bulgarian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Croatian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Czech.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Danish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Dutch.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\English.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Finnish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\French.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\German.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Greek.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Hungarian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Indonesian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Italian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Japanese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Norwegian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Polish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Portuguese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Romanian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Russian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\SimpChinese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Spanish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Swedish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Thai.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\TradChinese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Turkish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\S-1-5-21-1166898318-1680202229-4136601030-1000\Settings.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4],
    Refog.KeyLogger, C:\ProgramData\MPK\M0000, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\S0000, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\1\D0000, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\1\S0000, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\CPDM\cpfm.bin, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor\Купить сейчас!.lnk, , [69a012fbfc8f3ff78d6658c214efe719],
    Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor\Сайт  MIPKO Employee Monitor в Интернете.lnk, , [69a012fbfc8f3ff78d6658c214efe719],


     
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
     
    magicwd нравится это.
  21. magicwd

    magicwd Пользователь

    Сообщения:
    40
    Симпатии:
    4
    Результаты удаления прикрепляю, через 20мин досканирует будет отчет после удаления
    --- Объединённое сообщение, 26 авг 2015, Дата первоначального сообщения: 26 авг 2015 ---
    Готово
     

    Вложения:

Загрузка...
Похожие темы - Словил Tencent QQPCMgr
  1. lostsaturn
    Ответов:
    6
    Просмотров:
    1.466
  2. nikis25
    Ответов:
    9
    Просмотров:
    2.408
  3. Soival
    Ответов:
    43
    Просмотров:
    4.357
  4. Martin
    Ответов:
    39
    Просмотров:
    2.330
  5. SPIR_i_T
    Ответов:
    13
    Просмотров:
    1.710
  6. Alfar
    Ответов:
    20
    Просмотров:
    4.059
Статус темы:
Закрыта.

Поделиться этой страницей