При загрузки системы автоматически запускается Opera и происходит автоматическое открытие страницы http://lyll.net, далее переадресовывает на http://gamezonenews.net.
При загрузки системы автоматически запускается Opera и происходит автоматическое открытие страницы http://lyll.net, далее переадресовывает на http://gamezonenews.net.
Уважаемый(ая) Gorkavchenko, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\m.gorkavchenko\AppData\Local\Installer\Install_26704\DCytdieamodc_amodc_setup.exe',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\plugins\FileSmash\QMSoftExt.dll',''); QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe',''); QuarantineFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe',''); QuarantineFile('C:\Windows\system32\drivers\tsskx64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TS888x64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMUdisk64.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys',''); QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe',''); QuarantineFile('C:\Users\M7BE0~1.GOR\AppData\Local\Temp\usetup.exe', ''); QuarantineFile('C:\Users\M7BE0~1.GOR\AppData\Local\Temp\wind.vbs', ''); DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','32'); DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TS888x64.sys','32'); DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe','32'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\plugins\FileSmash\QMSoftExt.dll','32'); DeleteFile('C:\Users\m.gorkavchenko\AppData\Local\Installer\Install_26704\DCytdieamodc_amodc_setup.exe','32'); DeleteFile('C:\Users\M7BE0~1.GOR\AppData\Local\Temp\usetup.exe', '32'); DeleteFile('C:\Users\M7BE0~1.GOR\AppData\Local\Temp\wind.vbs', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Inst_Rep" /F', 0, 15000, true); DeleteService('TSSKX64'); DeleteService('TS888x64'); DeleteService('QMUdisk'); DeleteService('BAPIDRV'); DeleteService('SPBIUpd'); DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe Flash Player SU'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DevidAgent'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wind'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wind'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Подготовьте лог сканирования AdwCleaner.
Лог
1.
- Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
- Нажмите кнопку "Scan" ("Сканировать").
- По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс настроек Proxy
- Сброс политик IE
- Сброс политик Chrome
- Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Shortcut.txt не создался. FRST64 и adwcleaner_5.029 обе зависают.
При работе с утилитами антивирус следует отключать.
Если проблема сохраняется, сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Логи
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:O2 - BHO: RichMediaViewV1release1609 - {1f01b60a-2ab4-4492-b10f-70368af05dad} - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release1609\ie\RichMediaViewV1release1609.dll (file missing) O2 - BHO: MediaWatchV1home2502 - {237ac9c4-ee8c-4c24-b3d8-22496f8bf80a} - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home2502\ie\MediaWatchV1home2502.dll (file missing)
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда
Лог
Выполните скрипт в uVS:На вопросы об удалении программ рекомендую соглашаться.Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c BREG zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL bl 72E60011AEBB26994353E6D52E1D1389 67144 addsgn 71905392541F499A70C2AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB34023FF564F3E55623D0F846C7350164905480328724532762F2D77CCD0C706228C 64 baidu delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.0.0.5166\BAIDUANTRAY.EXE delall %SystemDrive%\USERS\M.GORKAVCHENKO\APPDATA\LOCAL\23079\UPDATER.EXE delall %SystemDrive%\PROGRAM FILES (X86)\MEDIAWATCHV1\MEDIAWATCHV1HOME2502\FF delall %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWV1\MEDIAVIEWV1ALPHA3338\FF delall %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWERV1\MEDIAVIEWERV1ALPHA1005\FF delall %SystemDrive%\PROGRAM FILES (X86)\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA470\FF delall %SystemDrive%\PROGRAM FILES (X86)\VIDEOPLAYERV3\VIDEOPLAYERV3BETA520\FF delall %SystemDrive%\PROGRAM FILES (X86)\BETTER-SURF\FF delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL delall %SystemDrive%\PROGRAM FILES (X86)\MEDIABUZZV1\MEDIABUZZV1MODE8700\CH\MEDIABUZZV1MODE8700.CRX delall %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWERV1\MEDIAVIEWERV1ALPHA1005\CH\MEDIAVIEWERV1ALPHA1005.CRX delall %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWV1\MEDIAVIEWV1ALPHA3338\CH\MEDIAVIEWV1ALPHA3338.CRX delall %SystemDrive%\PROGRAM FILES (X86)\MEDIAWATCHV1\MEDIAWATCHV1HOME2502\CH\MEDIAWATCHV1HOME2502.CRX delall %SystemDrive%\PROGRAM FILES (X86)\RICHMEDIAVIEWV1\RICHMEDIAVIEWV1RELEASE1609\CH\RICHMEDIAVIEWV1RELEASE1609.CRX delall %SystemDrive%\PROGRAM FILES (X86)\TRUSTMEDIAVIEWERV1\TRUSTMEDIAVIEWERV1ALPHA4176\CH\TRUSTMEDIAVIEWERV1ALPHA4176.CRX delall %SystemDrive%\PROGRAM FILES (X86)\VIDEOPLAYERV3\VIDEOPLAYERV3BETA520\CH\VIDEOPLAYERV3BETA520.CRX chklst delvir czoo restart
Компьютер перезагрузится.
Сообщите что с проблемой.
Проблема ушла.
В завершение:
1.
- Пожалуйста, запустите adwcleaner.exe
- Нажмите Uninstall (Деинсталлировать).
- Подтвердите удаление, нажав кнопку: Да.
2. Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\shopperpro\spbiu.exe - not-a-virus:Monitor.Win64.SSPro.hm ( DrWEB: Adware.Siggen.31171 )
Уважаемый(ая) Gorkavchenko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.