• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вредоносное ПО. Замена поисковой системы. Комета. Какие-то улучшайзеры

Статус
В этой теме нельзя размещать новые ответы.

Alex100

Пользователь
Сообщения
8
Реакции
1
Баллы
43
Каюсь - своими руками дал запуститься файлу с летит би. Перед этим проверил авастом - не пискнул. Никак не верещал и при установке. В результате поимел какие-то улучшайзеры, комету (не запускал), смену поисковых систем (не возможно их сменить). Что то вычистил Revo uninstaller'ом. Не могу убрать IObit, Tencent, QQPCMgr и безобразие с браузерами. И заглавная страница левая.
 

Вложения

Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
Здравствуйте.
Удалите через установку и удаление программ:
Chrome Search
Skype Click to Call

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('TSSKX64');
 StopService('QQPCRTP');
 QuarantineFile('C:\Program Files\Alwil Software\Avast5\HTMLayout.dll', '');
 QuarantineFile('C:\Program Files\Sony\VAIO Care\ESRV\task.vbs', '');
 QuarantineFile('C:\Temp\install\Alcohol 120% 2.0.1 Build 2033\Portable', '');
 QuarantineFile('c:\windows\system32\srvany.exe', '');
 QuarantineFile('C:\Program Files (x86)\IObit\IObit', '');
 QuarantineFile('C:\Program Files (x86)\IObit\Advanced', '');
 QuarantineFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TsDefenseBT64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCRtp.exe', '');
 QuarantineFileF('C:\Program Files (x86)\IObit', '*', true, '', 0 , 0);
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCRtp.exe', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TsDefenseBT64.sys', '32');
 DeleteFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\ASC8_SkipUac_Juice', '64');
 DeleteFile('C:\Program Files (x86)\IObit\Advanced', '32');
 DeleteFile('C:\Windows\system32\Tasks\ASC8_PerformanceMonitor', '64');
 DeleteFile('C:\Program Files (x86)\IObit\IObit', '32');
 DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_Juice', '64');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '');
 DeleteService('TSSKX64');
 DeleteService('TsDefenseBt');
 DeleteService('QQPCRTP');
 DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
 DeleteFileMask('C:\Program Files (x86)\IObit', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Tencent', '');
 DeleteDirectory('C:\Program Files (x86)\IObit', '');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 ExecuteRepair(2);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
Извиняюсь))

  • - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
 

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
Хорошо.

Как проблемы?
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
Task: {225E0F09-CD46-46EE-9156-C346C842602C} - \Soft installer No Task File <==== ATTENTION
Task: {4BB4E1A3-F924-484E-B99D-3E9D6AF84FD5} - \ASC8_SkipUac_Juice No Task File <==== ATTENTION
Task: {5C64F4CD-4CA7-4E4C-9975-63FB65F68499} - \ASC8_PerformanceMonitor No Task File <==== ATTENTION
Task: {909A0D31-52B8-433E-B559-3B593D1D12FE} - \Uninstaller_SkipUac_Juice No Task File <==== ATTENTION
FirewallRules: [{5950D597-CF64-4B68-9B70-DB8689841E10}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{B693D71C-21FD-4FB9-B9B0-C9694F9B8123}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-886961789-1419917610-723514172-1001] ATTENTION ==> Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-886961789-1419917610-723514172-1001 -> {8226B488-3DBD-4E53-8D4E-52BC2A288959} URL = http://services.zinio.com/search?s={searchTerms}&rf=sonyslices
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll No File
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\Alwil Software\Avast5\aswWebRepIE64.dll [2015-08-05] (AVAST Software)
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll [No File]
FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
2015-08-06 21:17 - 2015-08-07 22:13 - 00000000 ____D C:\Users\Juice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
2015-08-06 21:15 - 2015-08-06 21:15 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2015-08-06 21:15 - 2015-07-30 13:43 - 00930936 ____H (Opera Software) C:\lаunсhеr.bаt.exe
2015-08-06 21:14 - 2015-08-06 21:16 - 00000000 ____D C:\Users\Все пользователи\IObit
2015-08-06 21:14 - 2015-08-06 21:16 - 00000000 ____D C:\ProgramData\IObit
2015-08-06 21:14 - 2015-08-06 21:15 - 00000000 ____D C:\Users\Juice\AppData\Roaming\IObit
2015-08-06 21:14 - 2015-08-06 21:14 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-08-06 21:14 - 2015-08-06 21:14 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Удалите папку FRST.

Создайте точку восстановления,остальные - очистите.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

Alex100

Пользователь
Сообщения
8
Реакции
1
Баллы
43
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
D C:\Users\Juice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
Это удалите вручную,жду выполнения остальных пунктов.
 

Alex100

Пользователь
Сообщения
8
Реакции
1
Баллы
43
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

  • Прикрепите этот файл к своему следующему сообщению.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
VLC media player 2.0.8 v.2.0.8 Внимание! Скачать обновления
----------------
QuickTime 7 v.7.76.80.95 Внимание! Скачать обновления
-----------
Adobe AIR v.17.0.0.124 Внимание! Скачать обновления
Adobe Flash Player 17 ActiveX v.17.0.0.134 Внимание! Скачать обновления
Adobe Flash Player 10 Plugin v.10.0.45.2 Внимание! Скачать обновления

Выполните рекомендации после лечения.


Удачи.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу