Решена Вредоносное ПО. Замена поисковой системы. Комета. Какие-то улучшайзеры

Статус
В этой теме нельзя размещать новые ответы.

Alex100

Новый пользователь
Сообщения
8
Реакции
1
Каюсь - своими руками дал запуститься файлу с летит би. Перед этим проверил авастом - не пискнул. Никак не верещал и при установке. В результате поимел какие-то улучшайзеры, комету (не запускал), смену поисковых систем (не возможно их сменить). Что то вычистил Revo uninstaller'ом. Не могу убрать IObit, Tencent, QQPCMgr и безобразие с браузерами. И заглавная страница левая.
 

Вложения

  • CollectionLog-2015.08.08-00.26.zip
    97.6 KB · Просмотры: 4
Последнее редактирование:
Здравствуйте.
Удалите через установку и удаление программ:
Chrome Search
Skype Click to Call

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('TSSKX64');
 StopService('QQPCRTP');
 QuarantineFile('C:\Program Files\Alwil Software\Avast5\HTMLayout.dll', '');
 QuarantineFile('C:\Program Files\Sony\VAIO Care\ESRV\task.vbs', '');
 QuarantineFile('C:\Temp\install\Alcohol 120% 2.0.1 Build 2033\Portable', '');
 QuarantineFile('c:\windows\system32\srvany.exe', '');
 QuarantineFile('C:\Program Files (x86)\IObit\IObit', '');
 QuarantineFile('C:\Program Files (x86)\IObit\Advanced', '');
 QuarantineFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TsDefenseBT64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCRtp.exe', '');
 QuarantineFileF('C:\Program Files (x86)\IObit', '*', true, '', 0 , 0);
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCRtp.exe', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TsDefenseBT64.sys', '32');
 DeleteFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\ASC8_SkipUac_Juice', '64');
 DeleteFile('C:\Program Files (x86)\IObit\Advanced', '32');
 DeleteFile('C:\Windows\system32\Tasks\ASC8_PerformanceMonitor', '64');
 DeleteFile('C:\Program Files (x86)\IObit\IObit', '32');
 DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_Juice', '64');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '');
 DeleteService('TSSKX64');
 DeleteService('TsDefenseBt');
 DeleteService('QQPCRTP');
 DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
 DeleteFileMask('C:\Program Files (x86)\IObit', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Tencent', '');
 DeleteDirectory('C:\Program Files (x86)\IObit', '');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 ExecuteRepair(2);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 
Извиняюсь))

  • - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
 
Хорошо.

Как проблемы?
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

  • Addition.txt
    57.3 KB · Просмотры: 1
  • FRST.txt
    72.4 KB · Просмотры: 1
  • Shortcut.txt
    87.1 KB · Просмотры: 0
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
Task: {225E0F09-CD46-46EE-9156-C346C842602C} - \Soft installer No Task File <==== ATTENTION
Task: {4BB4E1A3-F924-484E-B99D-3E9D6AF84FD5} - \ASC8_SkipUac_Juice No Task File <==== ATTENTION
Task: {5C64F4CD-4CA7-4E4C-9975-63FB65F68499} - \ASC8_PerformanceMonitor No Task File <==== ATTENTION
Task: {909A0D31-52B8-433E-B559-3B593D1D12FE} - \Uninstaller_SkipUac_Juice No Task File <==== ATTENTION
FirewallRules: [{5950D597-CF64-4B68-9B70-DB8689841E10}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{B693D71C-21FD-4FB9-B9B0-C9694F9B8123}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-886961789-1419917610-723514172-1001] ATTENTION ==> Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-886961789-1419917610-723514172-1001 -> {8226B488-3DBD-4E53-8D4E-52BC2A288959} URL = http://services.zinio.com/search?s={searchTerms}&rf=sonyslices
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll No File
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\Alwil Software\Avast5\aswWebRepIE64.dll [2015-08-05] (AVAST Software)
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll [No File]
FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
2015-08-06 21:17 - 2015-08-07 22:13 - 00000000 ____D C:\Users\Juice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
2015-08-06 21:15 - 2015-08-06 21:15 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2015-08-06 21:15 - 2015-07-30 13:43 - 00930936 ____H (Opera Software) C:\lаunсhеr.bаt.exe
2015-08-06 21:14 - 2015-08-06 21:16 - 00000000 ____D C:\Users\Все пользователи\IObit
2015-08-06 21:14 - 2015-08-06 21:16 - 00000000 ____D C:\ProgramData\IObit
2015-08-06 21:14 - 2015-08-06 21:15 - 00000000 ____D C:\Users\Juice\AppData\Roaming\IObit
2015-08-06 21:14 - 2015-08-06 21:14 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-08-06 21:14 - 2015-08-06 21:14 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Удалите папку FRST.

Создайте точку восстановления,остальные - очистите.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 

Вложения

  • Fixlog.txt
    7.6 KB · Просмотры: 1
D C:\Users\Juice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
Это удалите вручную,жду выполнения остальных пунктов.
 
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

  • Прикрепите этот файл к своему следующему сообщению.
 

Вложения

  • SecurityCheck.txt
    7 KB · Просмотры: 4
VLC media player 2.0.8 v.2.0.8 Внимание! Скачать обновления
----------------
QuickTime 7 v.7.76.80.95 Внимание! Скачать обновления
-----------
Adobe AIR v.17.0.0.124 Внимание! Скачать обновления
Adobe Flash Player 17 ActiveX v.17.0.0.134 Внимание! Скачать обновления
Adobe Flash Player 10 Plugin v.10.0.45.2 Внимание! Скачать обновления

Выполните рекомендации после лечения.


Удачи.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу