Появилась программа VuuPC удалить не могу, сама открывает браузер и свою страницу, тормозят Яндекс и другие программы.hijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip
Появилась программа VuuPC удалить не могу, сама открывает браузер и свою страницу, тормозят Яндекс и другие программы.hijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip
Уважаемый(ая) kotovskiy1, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
1. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
2.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
4. Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. Поиск не закрывайте.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Профиксил в HiJackThis, отметил все строчки, сохранило в виде папки backups?которую я архивировал для прикрепления к осту, но она не прикрепляется, весит более 3-х Мб, прикрепить никак немогу, может не так что то сделал? остальные файлы прикрепил.
- - - Добавлено - - -
прикрепил файл
1. Удалите все найденное в AVZ ключи с Webalta: ПКМ по списку - выбрать все - нажать "удалить отмеченное".
2.
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
- По окончанию сканирования снимите галочки со следующих строк:
Код:Folder Found C:\Program Files\Mail.Ru Folder Found C:\Users\Константин\AppData\LocalLow\Mail.Ru Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} Key Found : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}- Нажмите кнопку "Clean" и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.
3. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Подробнее читайте в руководстве
4. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.Код:Обнаруженные ключи в реестре: 18 HKCR\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840} (PUP.Funmoods) -> Действие не было предпринято. HKCR\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} (PUP.Funmoods) -> Действие не было предпринято. HKCR\esrv.funmoodsESrvc.1 (PUP.Funmoods) -> Действие не было предпринято. HKCR\esrv.funmoodsESrvc (PUP.Funmoods) -> Действие не было предпринято. HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE063412-BEA4-4D76-8ED3-183BE6220D17} (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE063412-BEA4-4D76-8ED3-183BE6220D17} (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A} (PUP.Funmoods) -> Действие не было предпринято. HKCU\SOFTWARE\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. HKCU\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято. HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято. HKCU\Software\Systweak\RegClean Pro (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. HKLM\SOFTWARE\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. HKLM\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BonanzaDealsLive.exe (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. Обнаруженные параметры в реестре: 3 HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято. HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1L1J1L1S1R1N -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs|Tabs (PUP.FunMoods) -> Параметры: http://searchfunmoods.com/?f=2&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzu0ByC0D0B0Czyzy0ByC0AtBtC0ByEtB0BtN0D0Tzu0CtAyByBtN1L2XzutBtFtBtFtCtFyEtDyB&cr=912581114 -> Действие не было предпринято. Объекты реестра обнаружены: 4 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято. Обнаруженные папки: 7 C:\ProgramData\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. C:\ProgramData\BonanzaDealsLive\Update (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. C:\ProgramData\BonanzaDealsLive\Update\Log (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. C:\Users\Константин\AppData\Local\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. C:\Users\Константин\AppData\Local\BonanzaDealsLive\CrashReports (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. C:\Program Files\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. C:\Program Files\BonanzaDealsLive\CrashReports (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. Обнаруженные файлы: C:\Users\Константин\AppData\Local\Temp\is45637729\27491775_stp\bd.exe (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. C:\Users\Константин\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C5ZLN58Y\rcpsetup17970[1].exe (PUP.Optional.RegCleanerPro) -> Действие не было предпринято. C:\Users\Константин\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C5ZLN58Y\ClickMeInGeneric[1].exe (PUP.Optional.Clickmein) -> Действие не было предпринято. C:\Users\Константин\Pictures\MediaGet_id3905859ids2s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. C:\Users\Константин\Pictures\Setup.exe (PUP.Optional.Installcore) -> Действие не было предпринято. C:\Users\Константин\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято. C:\Users\Константин\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято. C:\Users\Константин\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe (PUP.FunMoods) -> Действие не было предпринято. C:\Windows\System32\roboot.exe (PUP.Optional.PCPerformer.A) -> Действие не было предпринято. C:\ProgramData\BonanzaDealsLive\Update\Log\BonanzaDealsLive.log (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
просканировал, удалил
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
На своем ноутбуке уже не могу отправить сообщение в теме, выдает ошибку, за долгое ожидание, не переходит на страницы, не загружает файлы на вирусинфо.
Еще раз пожалуйста сделайте отчет AdwCleaner.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Просканировал, получилось 2 файла, возможно птому что запускал программу 2 раза, первый раз просто, второй раз от имени администратора, вкладываю оба файла.
1.
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
- По окончанию сканирования снимите галочки со следующих строк:
Код:Folder Found C:\Program Files\Mail.Ru Folder Found C:\Users\Константин\AppData\LocalLow\Mail.Ru Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}- Нажмите кнопку "Clean" и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
просканировал, снял галочки, нажал "КЛЕНЕ" програма выдала окно о закрытии программы и ошибке, но отчет сохранился,прилагаю.
Попробуйте в безопасном режиме произвести удаление.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Как это? в безопасном режиме? Мне при нажатии на "Клене" пишет что виндоус закроет программу т.к. возникла ошибка. Как удалять файлы вэтой программе и в безопасном режиме я не знаю.
Хорошо тогда попробуем по другому удалить это.
- Скачайте Junkware Removal Tool by thisisu отсюда и сохраните утилиту на Рабочем столе
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Запустите утилиту (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
- Дождитесь окончания сканирования и удаления
- По завершению сканирования лог (JRT.txt) будет сохранен на Рабочем столе и автоматически открыт в Блокноте.
- Прикрепите полученный лог JRT.txt к своему следующему сообщению.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Скачал, отключил все антивирусы, запустил от имени администратора, в черном окне, предложили нажать любую клавишу-нажал, спросили продолжить или отложить? (y\n) нажал у, процесс пошел и всплывает окно, что Виндоус закроется через 1 минуту, ноут перегружается, опять всплывает черное окно утилиты, а через некоторое время гаснет и открывается браузер с VuuPC, никакого текстового документа не появилось.
Закройте все программы
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Внимание! Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\program files\vuupc\remoteenginehelper.exe'); TerminateProcessByName('c:\program files\vuupc\remoteengine.exe'); TerminateProcessByName('c:\program files\vuupc\connectivity.exe'); SetServiceStart('VuuPCConnectivity', 4); SetServiceStart('RemoteEngineService', 4); StopService('VuuPCConnectivity'); StopService('RemoteEngineService'); DeleteFile('c:\program files\vuupc\remoteenginehelper.exe','32'); DeleteFile('C:\Program Files\VuuPC\remoteengine.exe','32'); DeleteFile('C:\Program Files\VuuPC\Connectivity.exe','32'); DeleteFile('C:\windows\system32\Tasks\Funmoods','32'); DeleteFile('C:\Users\D9F8~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\windows\system32\Tasks\VuuPCUpdate','32'); DeleteFile('C:\windows\system32\Tasks\VuuPCUpdateLogin','32'); DeleteFile('C:\Program Files\VuuPC\VuuPCUpdater.exe','32'); DeleteService('VuuPCConnectivity'); DeleteService('RemoteEngineService'); DeleteFileMask('C:\Program Files\VuuPC', '*', true, ' '); DeleteDirectory('C:\Program Files\VuuPC'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
выполнил, загрузил
- Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
- Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
Запустите, выберите проверку файлов за последние три месяца и нажмите "Продолжить". Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
прикрепил
Уважаемый(ая) kotovskiy1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.