• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена в настройках поиска указано установлен администратором

Статус
В этой теме нельзя размещать новые ответы.

Ely

Пользователь
Сообщения
7
Реакции
0
Баллы
41
Здравствуйте, при скачивании подцепила массу ..вредоносного ПО - большинство удалила. Но adwcleaner не помог разблокировать выбор поисковой системы в chrome. Что-то осталось- помогите, пожалуйста).
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
Здравствуйте.

Удалите через установку и удаление программ:

Hamster Free Archiver 2.0.1.8

amigo браузер ваше?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff\hnszbb26.tmp', '');
QuarantineFile('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff\jnsp9e42.tmp', '');
QuarantineFileF('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff', '*', true, '', 0 , 0);
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
QuarantineFileF('C:\Program Files (x86)\Zaxar', '*', true, '', 0 , 0);
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe', '');
QuarantineFile('C:\Users\Elvira\AppData\Local\promoskiki\config.json', '');
QuarantineFile('C:\Users\Elvira\AppData\Local\promoskiki\stub.exe', '');
QuarantineFile('C:\Users\Elvira\AppData\Roaming\KJB8XgiOzPmSOcGUSOLy8tzI.exe', '');
QuarantineFileF('C:\Users\Elvira\AppData\Local\promoskiki', '*', true, '', 0 , 0);
QuarantineFile('C:\Program Files (x86)\punto.bat', '');
QuarantineFile('C:\Program Files (x86)\Yandex\YandexDiskScreenshotEditor.bat', '');
QuarantineFile('C:\Program Files (x86)\Yandex\YandexDiskStarter.bat', '');
QuarantineFile('C:\iexplore.bat', '');
QuarantineFile('C:\Program Files (x86)\Launcher.bat', '');
QuarantineFile('C:\Program Files (x86)\diary.bat', '');
QuarantineFile('C:\Program Files (x86)\layouts.bat', '');
QuarantineFile('C:\Program Files (x86)\WelcomeToPunto.bat', '');
QuarantineFile('C:\Program Files (x86)\ps.bat', '');
DeleteFile('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff\hnszbb26.tmp');
DeleteFile('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff\jnsp9e42.tmp');
DeleteFile('C:\iexplore.bat');
DeleteFile('C:\Windows\system32\Tasks\KJB8XgiOzPmSOcGUSOLy8tzI', '64');
DeleteFile('C:\Users\Elvira\AppData\Roaming\KJB8XgiOzPmSOcGUSOLy8tzI.exe', '32');
DeleteFile('C:\Windows\Tasks\KJB8XgiOzPmSOcGUSOLy8tzI.job', '64');
DeleteFile('C:\Users\Elvira\AppData\Local\promoskiki\stub.exe', '32');
DeleteFile('C:\Users\Elvira\AppData\Local\promoskiki\config.json', '32');
DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe', '32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
DeleteFile('C:\Program Files (x86)\punto.bat', '');
DeleteFile('C:\Program Files (x86)\Yandex\YandexDiskScreenshotEditor.bat', '');
DeleteFile('C:\Program Files (x86)\Yandex\YandexDiskStarter.bat', '');
DeleteFile('C:\iexplore.bat', '');
DeleteFile('C:\Program Files (x86)\Launcher.bat', '');
DeleteFile('C:\Program Files (x86)\diary.bat', '');
DeleteFile('C:\Program Files (x86)\layouts.bat', '');
DeleteFile('C:\Program Files (x86)\WelcomeToPunto.bat', '');
DeleteFile('C:\Program Files (x86)\ps.bat', '');
DeleteService('comyninu');
DeleteService('hyverumu');
DeleteFileMask('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff', '*', true);
DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
DeleteFileMask('C:\Users\Elvira\AppData\Local\promoskiki', '*', true);
DeleteDirectory('c:\program files (x86)\45443439-1438070718-3637-4338-4131ffffffff', '');
DeleteDirectory('C:\Program Files (x86)\Zaxar', '');
DeleteDirectory('C:\Users\Elvira\AppData\Local\promoskiki', '');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\promoskiki', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(2);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


  • Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
 
Последнее редактирование:

Ely

Пользователь
Сообщения
7
Реакции
0
Баллы
41
Здравствуйте.
Удален Hamster Free Archiver 2.0.1.8
amigo браузер - не мой и не нужен.
Файл quarantine.zip отправлен.
Отчеты прикреплены.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
IE trusted site: HKU\S-1-5-21-3800399171-3995014911-1650129425-1000\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-3800399171-3995014911-1650129425-1000\...\webcompanion.com -> hxxp://webcompanion.com
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WindowsMangerProtect]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\promoskiki]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader]
FirewallRules: [TCP Query User{FA46D5A5-8CC0-44F5-8E0C-BE3AE3829C93}C:\users\elvira\appdata\local\temp\spoon\cache\0x9a5ede1ce1a0359a\stubexe\0xea434e2b09e08196\agent.exe] => (Block) C:\users\elvira\appdata\local\temp\spoon\cache\0x9a5ede1ce1a0359a\stubexe\0xea434e2b09e08196\agent.exe
FirewallRules: [UDP Query User{C0C29AB7-17F1-4F50-80A8-C7564C4CF37C}C:\users\elvira\appdata\local\temp\spoon\cache\0x9a5ede1ce1a0359a\stubexe\0xea434e2b09e08196\agent.exe] => (Block) C:\users\elvira\appdata\local\temp\spoon\cache\0x9a5ede1ce1a0359a\stubexe\0xea434e2b09e08196\agent.exe
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010043] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3800399171-3995014911-1650129425-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR Extension: (Google Search) - C:\Users\Elvira\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2013-08-31]
S2 zypyjyjo; C:\Program Files (x86)\45443439-1438070718-3637-4338-4131FFFFFFFF\knsu6ED3.tmpfs [X]
C:\Program Files (x86)\45443439-1438070718-3637-4338-4131FFFFFFFF\knsu6ED3.tmpfs [X]
2015-07-28 15:45 - 2015-07-28 15:45 - 00613255 _____ (CMI Limited) C:\Users\Elvira\AppData\Local\nszFBBF.tmp
2015-07-28 15:06 - 2015-07-28 15:06 - 00000127 ____H C:\Program Files (x86)\Launcher.bat
2015-07-28 15:06 - 2015-07-28 15:06 - 00000118 ____H C:\Program Files (x86)\WelcomeToPunto.bat
2015-07-28 15:06 - 2015-07-28 15:06 - 00000117 ____H C:\Program Files (x86)\layouts.bat
2015-07-28 15:06 - 2015-07-28 15:06 - 00000115 ____H C:\Program Files (x86)\punto.bat
2015-07-28 15:06 - 2015-07-28 15:06 - 00000115 ____H C:\Program Files (x86)\diary.bat
2015-07-28 15:06 - 2015-07-28 15:06 - 00000112 ____H C:\Program Files (x86)\ps.bat
2015-07-28 15:06 - 2015-06-26 00:43 - 00815312 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-07-28 15:06 - 2015-01-06 15:35 - 00514560 ____H C:\Program Files (x86)\Lаunсhеr.bаt.exe
2015-07-28 15:06 - 2012-12-26 22:50 - 01571808 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe
2015-07-28 15:06 - 2012-12-26 22:50 - 00290784 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe
2015-07-28 15:06 - 2012-12-26 22:50 - 00033760 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe
2015-07-28 15:45 - 2015-07-28 15:45 - 0613255 _____ (CMI Limited) C:\Users\Elvira\AppData\Local\nszFBBF.tmp
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ely

Пользователь
Сообщения
7
Реакции
0
Баллы
41
По-моему, все получилось.
Спасибо огромное за оперативную и эффективную помощь.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
Ely, перечитайте,пожалуйста,мой предыдущий пост внимательнее...
 

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Удалите папку FRSIT.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
Driver Booster 2.4 v.2.4 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.7.4.0.9058 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
----------------------------- [ End of Log ] ------------------------------

Выполните рекомендации после лечения.

Еще проблемы беспокоят?
 

Ely

Пользователь
Сообщения
7
Реакции
0
Баллы
41
Читала- прореагировала уже.) Все в порядке, доктор.
Еще раз благодарю за помощь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу