Здрасти, жена в браузере кликнула на обновить флеш плеер для запуска видео и понеслось...
По возможности удалил весь мусор но осталась стартовая страница в хроме.
Да и мало что там могло остаться. Удалял через унинстал тулс.
Здрасти, жена в браузере кликнула на обновить флеш плеер для запуска видео и понеслось...
По возможности удалил весь мусор но осталась стартовая страница в хроме.
Да и мало что там могло остаться. Удалял через унинстал тулс.
Уважаемый(ая) federal24, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('c:\windows\system32\tiltwheelmouse.exe',''); SetServiceStart('MPCKpt', 4); DeleteService('MPCKpt'); DeleteService('grkCachePls.exe'); SetServiceStart('SoEasySvc', 4); DeleteService('SoEasySvc'); SetServiceStart('MPCProtectService', 4); DeleteService('MPCProtectService'); QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys',''); TerminateProcessByName('c:\program files (x86)\sosoeasy\sosoeasysvc.exe'); QuarantineFile('c:\program files (x86)\sosoeasy\sosoeasysvc.exe',''); TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe'); QuarantineFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe',''); DeleteFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe','32'); DeleteFile('c:\program files (x86)\sosoeasy\sosoeasysvc.exe','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\LpcManager.dll','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\Report.dll','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\Support.dll','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\Utility.dll','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\WinService.dll','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\XProcessBus.dll','32'); DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32'); DeleteFile('C:\Program Files (x86)\Bvafivagh\grkCachePls.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Gerkmiwegh Cache','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
При выполнении первого скрипта аваст грязно выругался на авз (кажется файл avz4). Но пк перезагрузился. Карантин отправил.
Теперь стартовая страница майловская. А новые логи вот:
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Чё там? Чёто конкретное засело? Пароли уже надо начинать менять?
На форум не влезла залить залил на Ядиск
https://yadi.sk/d/yMiw3IJHucQVz
Только adware, но весьма живучее.
Скопируйте скрипт из окна "код" ниже в буфер обмена:
Закройте все броузеры, отключите до перезагрузки все экраны Avastзапустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".Код:;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c OFFSGNSAVE cexec tools\CreateRestorePoint.exe BeforeCure ; C:\PROGRAM FILES (X86)\BVAFIVAGH\GRKCACHEPHG.EXE addsgn 1A2E379A5583338CF42BFB3A88370771E5C9FC9C88592BB9C1C32DB316D671B3561F2BF37B559DCA16B445DB461610A308D78273BD2FF52C2D2ECC26C306E29B 8 PUP/Qksee [Panda] zoo %SystemDrive%\PROGRAM FILES (X86)\BVAFIVAGH\GRKCACHEPHG.EXE ;------------------------autoscript--------------------------- sreg chklst delvir delref SEARCH.MPC.AM delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCPROTECTSERVICE.EXE del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCPROTECTSERVICE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\SUPPORT.DLL del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\SUPPORT.DLL delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\ADCLEANER.EXE del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\ADCLEANER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCDESKTOP.EXE del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCDESKTOP.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPC.EXE del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCTRAY.EXE del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCTRAY.EXE regt 28 regt 29 del %Sys32%\DRIVERS\MPCKPT.SYS delref %Sys32%\DRIVERS\MPCKPT.SYS deldir %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER deldir %SystemDrive%\PROGRAM FILES (X86)\BVAFIVAGH delref %SystemRoot%\TEMP\A407CB49-1B4E-400C-AAE9-7EE40CFC3D9E delref %SystemDrive%\USERS\GRAF\APPDATA\LOCAL\TEMP\CHROME_BITS_3932_27743\MAIN delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE deltmp czoo areg ;-------------------------------------------------------------
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
При выполнении скрипта, выскочила ошибка, невозможно изменить (или переместить) реестр.
Где?
+
- Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
- В меню Tools ->Options (Инструменты ->Настройки) отметьте:
- Сброс политик IE
- Сброс политик Chrome
- Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Вот:
Ах да, ещё момент. У меня в автозагрузку прописывается игра вар тандер. Я её оттуда отключал, а она всё равно туда прописывается. Разработчики пожимают плечами.
Сделайте свежий лог AdwCleaner-а.
Вот новый лог:
1. В AdwCleaner выберите "Инструменты" => "Настройки".
2. В настройках выберите режим "Отладка" и нажмите "ОК".
3. Повторно просканируйте и удалите найденное. Далее найдите лог C:\AdwCleaner\AdwCleaner_dbg.log и прикрепите его к сообщению.
Сделайте свежий лог uVS.
Последний раз редактировалось regist; 31.08.2016 в 22:05.
WBR,
Vadim
вот
Предыдущее сообщение обновлено. Выполните, что там написано.
А чем плох? я через него дефрагментацию делаю. Что посоветуете в качестве альтернативы?2) Auslogics BoostSpeed v9.0.0 - советую деинсталировать.
Чёто я не помню такое, вроде драйвер джениус...Уже не использую.От Iobit что-нибудь используете? Если да, то тоже советую деинсталировать.
Да, оно выключено, когда надо включаю.3) Расширение "RDS BAR (SEO: ТИЦ, PR, DMOZ, YANDEX)" - сами ставили?
Кстати у меня ярлык хрома внизу на панели задач, при открытии появляется ещё один ярлык, до заражения такого не было
Логи:
Это, скорее всего, не ярлык, а открытый хром на панели задач.
WBR,
Vadim
Уважаемый(ая) federal24, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.