• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вирус Tencent (QQPCMgr)

Статус
В этой теме нельзя размещать новые ответы.

Rezet

Активный пользователь
Сообщения
17
Реакции
0
Баллы
171
Здравствуйте! В интернете скачал программу WinRar, начал устанавливать, в результате чего вместо данной программы на компьютер проник этот вирус. Многочисленные всплывающие окна и прочие программы на китайском языке не дают спокойно жить =(. Прочитал правила оформления заявки на помощь, делаю все как там изложено. Застопорился на логгах: запускаю программу, она доходит до 3 скрипта и потом просит перезагрузить компьютер для продолжения сканирования.После перезагрузки ничего не происходит. Прошу Вас помочь мне разобраться в этом.
 

Кирилл

Команда форума
Администратор
Сообщения
14,056
Реакции
6,111
Баллы
993
Удалите через установку и удаление программ:
Chrome Search
GamesDesktop 033.005010001
GamesDesktop 033.005010002
GamesDesktop 033.290
mystartsearch
SmartWeb

Вам знакома программа
erLT
Менеджер браузеров?

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Rezet

Активный пользователь
Сообщения
17
Реакции
0
Баллы
171
Программа erLT мне не знакома. Прикрепляю отчет о работе утилиты ClearLNK и результаты сканирования AdwCleaner. Вышеперечисленные программы удалил.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,056
Реакции
6,111
Баллы
993
Выполните загрузку в безопасном режиме.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

После перезагрузки повторите сканирование в обычном варианте загрузки и прикрепите новый лог.

Подробнее читайте в этом руководстве.
 

Кирилл

Команда форума
Администратор
Сообщения
14,056
Реакции
6,111
Баллы
993
Почти отлично.
Какие жалобы остаются?

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:

Rezet

Активный пользователь
Сообщения
17
Реакции
0
Баллы
171
Жалоба на самопроизвольное открытие новых вкладок в GoogleChrome, открывает всякий спам, игры, интернет магазины и т.д. А так все работает как раньше. Отчеты сканирования программы Farbar Recovery Scan Tool прилагаю.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,056
Реакции
6,111
Баллы
993
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
Task: D:\WINDOWS\Tasks\AmiUpdXp.job => D:\Documents and Settings\;448<8D.D4586D306D714B5.000\Application Data\9495\Updater.exe <==== ATTENTION
Task: D:\WINDOWS\Tasks\At1.job => D:\DOCUME~1\F5F1~1.D45\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: D:\WINDOWS\Tasks\SmartWeb Upgrade Trigger Task.job => D:\Documents and Settings\;448<8D.D4586D306D714B5.000\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe <==== ATTENTION
Task: D:\WINDOWS\Tasks\Soft installer.job => D:\Documents and Settings\;448<8D.D4586D306D714B5.000\Local Settings\Application Data\Host installer\2824004470_monster.exe
2015-06-10 20:26 - 2015-06-10 20:26 - 00744960 _____ () D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\00000000-1433879110-0000-0000-00241DC6D6A9\nsp38D.tmp
2015-06-12 15:24 - 2015-06-12 15:24 - 00219136 _____ () D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\00000000-1433879110-0000-0000-00241DC6D6A9\jnsl4E9.tmp
2015-06-12 15:24 - 2015-06-12 15:24 - 03983016 _____ () D:\Program Files\gmsd_ru_290\gmsd_ru_290.exe
2015-06-12 15:24 - 2015-06-11 14:25 - 03984552 _____ () D:\Program Files\gmsd_ru_005010001\gmsd_ru_005010001.exe
2015-06-14 19:22 - 2015-06-13 14:58 - 03984552 _____ () D:\Program Files\gmsd_ru_005010002\gmsd_ru_005010002.exe
2015-06-13 17:37 - 2015-06-13 14:58 - 03304904 _____ () D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_005010002\upgmsd_ru_005010002.exe
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\96988a106b32ba79faf59eff]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ap]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb]
HKLM\...\Run: [ QQPCTray] => "D:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQPCTray.exe"  /regrun
HKLM\...\Run: [gmsd_ru_290] => D:\Program Files\gmsd_ru_290\gmsd_ru_290.exe [3983016 2015-06-12] ()
HKLM\...\Run: [gmsd_ru_005010001] => D:\Program Files\gmsd_ru_005010001\gmsd_ru_005010001.exe [3984552 2015-06-11] ()
HKLM\...\Run: [upgmsd_ru_005010001.exe] => D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_290\upgmsd_ru_005010001.exe -runhelper
HKLM\...\Run: [gmsd_ru_005010002] => D:\Program Files\gmsd_ru_005010002\gmsd_ru_005010002.exe [3984552 2015-06-13] ()
HKLM\...\Run: [upgmsd_ru_005010002.exe] => D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_005010002\upgmsd_ru_005010002.exe [3304904 2015-06-13] ()
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} =>  No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-606747145-1644491937-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://spacesearch.ru/?ri=1&rsid=16dd3538ca89263c333dd6f23c7a938f&q={searchTerms}
HKU\S-1-5-21-606747145-1644491937-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://spacesearch.ru/?ri=1&rsid=16dd3538ca89263c333dd6f23c7a938f&q={searchTerms}
URLSearchHook: HKU\S-1-5-21-606747145-1644491937-682003330-1003 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} -  No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
DefaultPrefix: => http://spacesearch.ru/?ri=1&rsid=16dd3538ca89263c333dd6f23c7a938f&q= <==== ATTENTION
FF Plugin: @qq.com/QQPCMgr -> D:\Program Files\Tencent\QQPCMgr\10.9.16349.225\npQMExtensionsMozilla.dll No File
CHR Extension: (Chrome Hotword Shared Module) - D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-06-04]
CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - https://clients2.google.com/service/update2/crx
R2 xoperoze; D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\00000000-1433879110-0000-0000-00241DC6D6A9\jnsl4E9.tmp [219136 2015-06-12] () [File not signed]
S2 insvc_1.10.0.14; "D:\Program Files\Infonaut_1.10.0.14\Service\insvc.exe" [X]
S2 kysykiti; D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\00000000-1433893693-0000-0000-00241DC6D6A9\snsd564.tmp [X]
S2 zedepory; D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\00000000-1433879110-0000-0000-00241DC6D6A9\hnsa4EC.tmp [X]
S2 UpdaterSvcClearThink; "D:\Program Files\ClearThink\updater.exe" [X]
S2 QQSysMon; \??\D:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQSysMon.sys [X]
S0 TsFltMgr; system32\drivers\TsFltMgr.sys [X]
S1 tsksp; \??\D:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TSKsp.sys [X]
S3 TSSK; System32\tssk.sys [X]
2015-06-14 22:33 - 2015-06-14 22:33 - 00000000 ____D D:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\gmsd_ru_290
2015-06-14 22:33 - 2015-06-14 22:33 - 00000000 ____D D:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\gmsd_ru_005010002
2015-06-14 22:33 - 2015-06-14 22:33 - 00000000 ____D D:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\gmsd_ru_005010001
2015-06-14 21:50 - 2015-06-14 21:50 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\istartsurf
2015-06-14 21:14 - 2015-06-14 21:14 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_290
2015-06-14 21:14 - 2015-06-14 21:14 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_005010001
2015-06-14 20:51 - 2015-06-14 20:53 - 00000000 ____D D:\Documents and Settings\Администратор.D4586D306D714B5\Application Data\Tencent
2015-06-13 17:37 - 2015-06-15 21:58 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_005010002
2015-06-13 17:37 - 2015-06-14 23:06 - 00000000 ____D D:\Program Files\gmsd_ru_005010002
2015-06-11 17:10 - 2015-06-13 17:11 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\Tencent
2015-06-10 22:58 - 2015-06-14 20:27 - 00000000 ____D D:\Program Files\gmsd_ru_290
2015-06-10 22:57 - 2015-06-15 21:55 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\SmartWeb
2015-06-10 22:57 - 2015-06-10 23:26 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\SmartWeb
2015-06-10 22:57 - 2015-06-10 23:26 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Application Data\mystartsearch
2015-06-10 22:57 - 2015-06-10 22:57 - 00000390 _____ D:\WINDOWS\Tasks\SmartWeb Upgrade Trigger Task.job
2015-06-10 22:19 - 2015-06-10 22:19 - 00000000 ____D D:\Documents and Settings\冷扈龛耱疣蝾餦Application Data\Tencent
2015-06-10 22:19 - 2015-06-10 22:19 - 00000000 ____D D:\Documents and Settings\Администратор\Application Data\Tencent
2015-06-10 00:08 - 2015-06-12 15:27 - 00000000 ____D D:\Documents and Settings\袙谢邪写懈屑懈褉.D4586D306D714B5.000\Local Settings\Temp
2015-06-10 00:08 - 2015-06-10 00:08 - 00000000 ____D D:\Documents and Settings\袙谢邪写懈屑懈褉.D4586D306D714B5.000
2015-06-10 00:05 - 2015-06-14 20:57 - 00030392 _____ (Tencent) D:\WINDOWS\system32\Drivers\TS888.sys
2015-06-09 23:59 - 2015-06-10 21:43 - 00000000 ____D D:\Program Files\gmsd_ru_284
2015-06-09 23:59 - 2015-06-10 21:43 - 00000000 ____D D:\Documents and Settings\Владимир.D4586D306D714B5.000\Local Settings\Application Data\gmsd_ru_284
2015-06-09 23:51 - 2015-06-09 23:51 - 00000000 ____D D:\Documents and Settings\码噤桁桊.D4586D306D714B5.000\Application Data\Tencent
2015-06-09 23:51 - 2015-06-09 23:51 - 00000000 ____D D:\Documents and Settings\码噤桁桊.D4586D306D714B5.000
2015-06-09 23:51 - 2015-06-09 23:49 - 00077016 _____ (Tencent) D:\WINDOWS\system32\Drivers\TAOAccelerator.sys
2015-06-09 23:49 - 2015-06-09 23:49 - 00139064 _____ (Tencent Technology(Shenzhen) Company Limited) D:\WINDOWS\system32\Drivers\TAOKernelXP.sys
2015-06-09 23:49 - 2015-06-09 23:49 - 00000758 _____ D:\Documents and Settings\All Users.WINDOWS\Главное меню\电脑管家.lnk
2015-06-09 23:49 - 2015-06-09 23:49 - 00000758 _____ D:\Documents and Settings\All Users.WINDOWS\Главное меню\电脑管家.lnk
2015-06-09 23:49 - 2015-06-09 23:49 - 00000000 ____D D:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\Tencent
2015-06-09 23:47 - 2009-03-08 14:09 - 00638816 ____H (Microsoft Corporation) D:\iехplоrе.bаt.exe
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Повторите лог Farbar Recovery Scan Tool,сообщите о проблемах.
 

Rezet

Активный пользователь
Сообщения
17
Реакции
0
Баллы
171
После фикса ничего не изменилось, все также работает вирусный mystartsearch, открывается куча окон и пытаются установиться какие-то программы. Лог фикса и повторный лог Farbar Recovery Scan Tool прилагаю.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,056
Реакции
6,111
Баллы
993
Ладно,по другому сделаем.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 

Кирилл

Команда форума
Администратор
Сообщения
14,056
Реакции
6,111
Баллы
993
Rezet, я уже не успеваю,либо ребята подхватят либо я утром отвечу.
 

Кирилл

Команда форума
Администратор
Сообщения
14,056
Реакции
6,111
Баллы
993
Удалите через установку и удаление программ:

GamesDesktop

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.24 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    breg
    sreg
    ; D:\PROGRAM FILES\MIUITAB\BROWSERACTION.DLL
    zoo %SystemDrive%\PROGRAM FILES\MIUITAB\BROWSERACTION.DLL
    bl 5785680870EFF9BA7B4F58C726552013 1720320
    addsgn A7679B1928664D070E3C66B464C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3D2D833D906C49451649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Adware.Mutabaha.265 [DrWeb]
    
    ; D:\PROGRAM FILES\GMSD_RU_005010003\GMSD_RU_005010003.EXE
    zoo %SystemDrive%\PROGRAM FILES\GMSD_RU_005010003\GMSD_RU_005010003.EXE
    bl 48F71C14F2FF634BC1039734570B29EA 3985576
    addsgn 1A55C39A5583C58CF42B254E3143FE86C9C65D5689821F4B404A804003E5AA1BA8EE4A0AFEDCC0F5107BF185AEFB0FFA7D18E86455DAB0C459F0A42F44CCDDF8 64 Adware.Downware.10601 [DrWeb]
    
    delref HTTP://SEARCH.QIP.RU
    delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HPPP&TS=1434398148&Z=CA50BA91B0F3B5CBF12DC4AG4ZAC5ZEZ8E7GCQ3B8T&FROM=CMI&UID=WDCXWD5000AADS-00M2B0_WD-WMAV5125867758677
    delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=SC&TS=1434469183&Z=1C363B9AB74E984032DF34FG9Z4C5ZCZFM6O3M7E9C&FROM=CMI&UID=WDCXWD5000AADS-00M2B0_WD-WMAV5125867758677
    delref HTTP://WWW.SMAXXI.BIZ
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР\KNYXI.EXE
    ; D:\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\APPLICATION DATA\9495\UPDATER.EXE
    addsgn 1A2B6F9B5583C58CF42B254E3143FE6F2FE0FC09FCF2F70F9EC2C53F94DA2C8FA8E896DCD2AAE845418AEE9FB9634112F4C4E972D61EA071EEFC5B7A4CEA7F9A 64 HEUR:Trojan.Win32.Generic [Kaspersky]
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\APPLICATION DATA\9495\UPDATER.EXE
    bl FC8FF437C8C9764B2EAE0AE6B16E0C4D 1179648
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\GMSD_RU_005010002\UPGMSD_RU_005010002.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\GMSD_RU_005010002\UPGMSD_RU_005010003.EXE
    delref HTTP:\\PLARIUM.COM\PLAY\RU\PIRATES\TOP\?ADCAMPAIGN=31909&CLICKID=ZZYE0CZY0BTBYB0D0EYEYC0A0ETAYBYC&PUBLISHERID=0_9_15_16_44
    ; D:\FRST\QUARANTINE\D\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\SMARTWEB\SMARTWEBHELPER.EXE
    addsgn 1A3B099A5583338CF42BFB3A8837076DA4C8FC9C88593324C6C32DFFD0D671B3561F2BEA55559DCA16ACD8DC461610A308D78273BDF3302C2D2ECC26C306E29B 64 Adware.Shopper.859 [DrWeb]
    
    zoo %SystemDrive%\FRST\QUARANTINE\D\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\SMARTWEB\SMARTWEBHELPER.EXE
    bl 153F088DFDB3F940AD9DAEB04A3ACC4D 270368
    ; D:\FRST\QUARANTINE\D\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\SMARTWEB\SMARTWEBAPP.EXE
    addsgn 1A3AF59A5583338CF42BFB3A883707E934CCFC9C88590BBDC2C32DFED4D671B3561F2B454C559DCA169441D8461610A308D78273BDF2342C2D2ECC26C306E29B 64 Adware.Shopper.859 [DrWeb]
    
    zoo %SystemDrive%\FRST\QUARANTINE\D\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\SMARTWEB\SMARTWEBAPP.EXE
    bl 44069C2AC699C8DAD80A96FB1C8DFE57 557088
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\APPLICATION DATA\00000000-1433879110-0000-0000-00241DC6D6A9\NSP38D.TMP
    delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DSPP&TS=1434398148&Z=CA50BA91B0F3B5CBF12DC4AG4ZAC5ZEZ8E7GCQ3B8T&FROM=CMI&UID=WDCXWD5000AADS-00M2B0_WD-WMAV5125867758677&Q={SEARCHTERMS}
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5.000\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.5_1\CHROME HOTWORD SHARED MODULE
    delref HTTP:\\WWW.MYSTARTSEARCH.COM\?TYPE=SC&TS=1434469183&Z=1C363B9AB74E984032DF34FG9Z4C5ZCZFM6O3M7E9C&FROM=CMI&UID=WDCXWD5000AADS-00M2B0_WD-WMAV5125867758677
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\MIPONY\MIPONY.LNK
    ; D:\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\MIPONY\MIPONY.LNK
    bl 43A97F30AFD1724CBA964C9039D79AE5 666
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\MIPONY\MIPONY.LNK
    deldir %SystemDrive%\PROGRAM FILES\MIPONY
    deltmp
    czoo
    chklst
    delvir
    areg
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Подготовьте новый лог uvs
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,056
Реакции
6,111
Баллы
993
Удалите через установку и удаление программ:
MYSTARTSEARCH


  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.24 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    breg
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\DEALPLY\UNINSTALL DEALPLY.LNK
    ; D:\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\DEALPLY\UNINSTALL DEALPLY.LNK
    bl AA48436C6EA8E07482ACAA20D1FC12FD 623
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\DEALPLY\UNINSTALL DEALPLY.LNK
    deldir %SystemDrive%\PROGRAM FILES\DEALPLY
    delref %SystemDrive%\DOCUME~1\F5F1~1.D45\LOCALS~1\TEMP\HNI34F.TMP
    delref %SystemDrive%\DOCUME~1\F5F1~1.D45\0016~1\SSSEXY~1.EXE
    delref %SystemDrive%\PROGRAM FILES\MIPONY\MIPONY.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДИМИР.D4586D306D714B5\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\MIPONY.LNK
    deltmp
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


Сообщите какие проблемы остаются.
 

Rezet

Активный пользователь
Сообщения
17
Реакции
0
Баллы
171
Архив отправил, программы Mystartsearch нет в установке и удалении программ, но она почему то открывается при запуске хрома
 

Кирилл

Команда форума
Администратор
Сообщения
14,056
Реакции
6,111
Баллы
993
Сделайте свежий лог AdwCleaner (by Xplode) и Farbar Recovery Scan Tool
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу