Несмотря на наличие антивируса, подхватил qone8.
Система х64. Логи прилагаю.
Не подскажете почему AVZ вылетает при выполнении скрипта №3 (Лечения/карантина)?
Несмотря на наличие антивируса, подхватил qone8.
Система х64. Логи прилагаю.
Не подскажете почему AVZ вылетает при выполнении скрипта №3 (Лечения/карантина)?
Уважаемый(ая) jeam, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за помощь.
Воспользовался очисткой AdwCleaner. Однако в реестре ещё полно ссылок на DealPly. Как грамотно их вычистить, если не все разделы содержащие DealPly удаётся удалить?
Последний раз редактировалось jeam; 05.11.2013 в 18:52.
Не подскажете, ответ будет или на этом можно тему закрывать?
Лог Mbam
Правда не совсем понятно что делать со ссылками в реестре на DealPly, которые неудаляемые?
- Удалите в MBAM:
Код:C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5V1324S9\sam__2268_il2173394[1].exe (PUP.Optional.InstallMonetizer) -> Действие не было предпринято. C:\Users\Admin\AppData\Local\Temp\is-HTSJP.tmp\sam__2268_il2173394.exe (PUP.Optional.InstallMonetizer) -> Действие не было предпринято. c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято. C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\qone8.xml (PUP.Optional.Qone8.A) -> Действие не было предпринято.
Вы пробовали их вручную удалять и они не удаляются?
Файлы удалил.
Да, ссылки вручную не удаляются.
И ещё вопрос. Есть (для примера) раздел 93BAD29AC2E44034A96BCB446EB8552E. В нем куча ключей и подразделов среди которых только 1 параметр содержит DealPly. Хочется конечно удалить корневую папку, но уверенности нет. Как определять насколько высоко можно подниматься по ветке при удалении? И нужно ли удалять файл aa7ad5.msi?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Installer\UserData\S-1-5-18\Products\93BAD29AC2E44034A96BCB446EB8552E]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Installer\UserData\S-1-5-18\Products\93BAD29AC2E44034A96BCB446EB8552E\Featu res]
"Complete"="0a5PL!)GT?sf9ax}}Y{_"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Installer\UserData\S-1-5-18\Products\93BAD29AC2E44034A96BCB446EB8552E\Insta llProperties]
"LocalPackage"="C:\\Windows\\Installer\\aa7ad5.msi "
"AuthorizedCDFPrefix"=""
"Comments"=""
"Contact"=""
"DisplayVersion"="1.3.23.0"
"HelpLink"=""
"HelpTelephone"=""
"InstallDate"="20131103"
"InstallLocation"=""
"InstallSource"="C:\\Program Files (x86)\\DealPlyLive\\Update\\1.3.23.0\\"
"ModifyPath"=hex(2):4d,00,73,00,69,00,45,00,78,00, 65,00,63,00,2e,00,65,00,78,\
00,65,00,20,00,2f,00,49,00,7b,00,41,00,39,00,32,00 ,44,00,41,00,42,00,33,00,\
39,00,2d,00,34,00,45,00,32,00,43,00,2d,00,34,00,33 ,00,30,00,34,00,2d,00,39,\
00,41,00,42,00,36,00,2d,00,42,00,43,00,34,00,34,00 ,45,00,36,00,38,00,42,00,\
35,00,35,00,45,00,32,00,7d,00,00,00
"Publisher"="DealPly Technologies Ltd"
"Readme"=""
"Size"=""
"EstimatedSize"=dword:00000029
"SystemComponent"=dword:00000001
"UninstallString"=hex(2):4d,00,73,00,69,00,45,00,7 8,00,65,00,63,00,2e,00,65,00,\
78,00,65,00,20,00,2f,00,49,00,7b,00,41,00,39,00,32 ,00,44,00,41,00,42,00,33,\
00,39,00,2d,00,34,00,45,00,32,00,43,00,2d,00,34,00 ,33,00,30,00,34,00,2d,00,\
39,00,41,00,42,00,36,00,2d,00,42,00,43,00,34,00,34 ,00,45,00,36,00,38,00,42,\
00,35,00,35,00,45,00,32,00,7d,00,00,00
"URLInfoAbout"=""
"URLUpdateInfo"=""
"VersionMajor"=dword:00000001
"VersionMinor"=dword:00000003
"WindowsInstaller"=dword:00000001
"Version"=dword:01030017
"Language"=dword:00000409
"ShimFlags"=dword:00000200
"DisplayName"="Google Update Helper"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Installer\UserData\S-1-5-18\Products\93BAD29AC2E44034A96BCB446EB8552E\Patch es]
"AllPatches"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Installer\UserData\S-1-5-18\Products\93BAD29AC2E44034A96BCB446EB8552E\Usage]
Гм... Вопросы нарастают. Почему при экспорте из реестра в некоторых местах вставлются двойные слэши \\, хотя в реестре стоят одинарные?
Последний раз редактировалось jeam; 07.11.2013 в 10:43.
Удаляйте, и переустанавливайте chrome.
Проверьте на https://www.virustotal.com/
Это экранирование строковых значений.
Удалил все ссылки и файл aa7ad5.msi.
Пока полет нормальный.
БОЛЬШОЕ спасибо за помощь.
Уважаемый(ая) jeam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.