Здрасти, жена в браузере кликнула на обновить флеш плеер для запуска видео и понеслось...
По возможности удалил весь мусор но осталась стартовая страница в хроме.
Да и мало что там могло остаться. Удалял через унинстал тулс.
Printable View
Здрасти, жена в браузере кликнула на обновить флеш плеер для запуска видео и понеслось...
По возможности удалил весь мусор но осталась стартовая страница в хроме.
Да и мало что там могло остаться. Удалял через унинстал тулс.
Уважаемый(ая) [B]federal24[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\windows\system32\tiltwheelmouse.exe','');
SetServiceStart('MPCKpt', 4);
DeleteService('MPCKpt');
DeleteService('grkCachePls.exe');
SetServiceStart('SoEasySvc', 4);
DeleteService('SoEasySvc');
SetServiceStart('MPCProtectService', 4);
DeleteService('MPCProtectService');
QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','');
TerminateProcessByName('c:\program files (x86)\sosoeasy\sosoeasysvc.exe');
QuarantineFile('c:\program files (x86)\sosoeasy\sosoeasysvc.exe','');
TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe');
QuarantineFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe','');
DeleteFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe','32');
DeleteFile('c:\program files (x86)\sosoeasy\sosoeasysvc.exe','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\LpcManager.dll','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\Report.dll','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\Support.dll','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\Utility.dll','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\WinService.dll','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\XProcessBus.dll','32');
DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32');
DeleteFile('C:\Program Files (x86)\Bvafivagh\grkCachePls.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Gerkmiwegh Cache','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][COLOR="Red"]Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи[/COLOR][/B]
При выполнении первого скрипта аваст грязно выругался на авз (кажется файл avz4). Но пк перезагрузился. Карантин отправил.
Теперь стартовая страница майловская. А новые логи вот:
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Чё там? Чёто конкретное засело? Пароли уже надо начинать менять?
На форум не влезла залить залил на Ядиск
[URL="https://yadi.sk/d/yMiw3IJHucQVz"]https://yadi.sk/d/yMiw3IJHucQVz[/URL]
Только adware, но весьма живучее.
Скопируйте скрипт из окна "код" ниже в буфер обмена:
[CODE];uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
; C:\PROGRAM FILES (X86)\BVAFIVAGH\GRKCACHEPHG.EXE
addsgn 1A2E379A5583338CF42BFB3A88370771E5C9FC9C88592BB9C1C32DB316D671B3561F2BF37B559DCA16B445DB461610A308D78273BD2FF52C2D2ECC26C306E29B 8 PUP/Qksee [Panda]
zoo %SystemDrive%\PROGRAM FILES (X86)\BVAFIVAGH\GRKCACHEPHG.EXE
;------------------------autoscript---------------------------
sreg
chklst
delvir
delref SEARCH.MPC.AM
delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCPROTECTSERVICE.EXE
del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCPROTECTSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\SUPPORT.DLL
del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\SUPPORT.DLL
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\ADCLEANER.EXE
del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\ADCLEANER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCDESKTOP.EXE
del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCDESKTOP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPC.EXE
del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCTRAY.EXE
del %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCTRAY.EXE
regt 28
regt 29
del %Sys32%\DRIVERS\MPCKPT.SYS
delref %Sys32%\DRIVERS\MPCKPT.SYS
deldir %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER
deldir %SystemDrive%\PROGRAM FILES (X86)\BVAFIVAGH
delref %SystemRoot%\TEMP\A407CB49-1B4E-400C-AAE9-7EE40CFC3D9E
delref %SystemDrive%\USERS\GRAF\APPDATA\LOCAL\TEMP\CHROME_BITS_3932_27743\MAIN
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
deltmp
czoo
areg
;-------------------------------------------------------------
[/CODE]
Закройте все броузеры, отключите до перезагрузки все экраны Avastзапустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
При выполнении скрипта, выскочила ошибка, невозможно изменить (или переместить) реестр.
[quote="Vvvyg;1401237"]В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.[/quote]
Где?
+
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Tools[/b] ->[b]Options [/b] ([b]Инструменты[/b] ->[b]Настройки[/b]) отметьте:
[list][*]Сброс политик IE[*]Сброс политик Chrome[/list][*]Нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Вот:
Ах да, ещё момент. У меня в автозагрузку прописывается игра вар тандер. Я её оттуда отключал, а она всё равно туда прописывается. Разработчики пожимают плечами.
Сделайте свежий лог AdwCleaner-а.
Вот новый лог:
1. В AdwCleaner выберите "Инструменты" => "Настройки".
2. В настройках выберите режим "Отладка" и нажмите "ОК".
3. Повторно просканируйте и удалите найденное. Далее найдите лог C:\AdwCleaner\AdwCleaner_dbg.log и прикрепите его к сообщению.
Сделайте свежий лог uVS.
вот
Предыдущее [URL="http://virusinfo.info/showthread.php?t=203507&p=1401368&viewfull=1#post1401368"]сообщение[/URL] обновлено. Выполните, что там написано.
[url]https://yadi.sk/d/0koPE4bDueZgZ[/url]
1) [quote="Vvvyg;1401368"]найдите лог C:\AdwCleaner\AdwCleaner_dbg.log и прикрепите его к сообщению.[/quote]
Не прикрепили.
2) Auslogics BoostSpeed v9.0.0 - советую деинсталировать.
От Iobit что-нибудь используете? Если да, то тоже советую деинсталировать.
3) Расширение "RDS BAR (SEO: ТИЦ, PR, DMOZ, YANDEX)" - сами ставили?
4) Ещё раз свежий лог AdwCleaner-а сделайте.
[QUOTE]2) Auslogics BoostSpeed v9.0.0 - советую деинсталировать.[/QUOTE]
А чем плох? я через него дефрагментацию делаю. Что посоветуете в качестве альтернативы?
[QUOTE]От Iobit что-нибудь используете? Если да, то тоже советую деинсталировать.[/QUOTE]
Чёто я не помню такое, вроде драйвер джениус...Уже не использую.
[QUOTE]3) Расширение "RDS BAR (SEO: ТИЦ, PR, DMOZ, YANDEX)" - сами ставили?[/QUOTE]
Да, оно выключено, когда надо включаю.
Кстати у меня ярлык хрома внизу на панели задач, при открытии появляется ещё один ярлык, до заражения такого не было
Логи:
Это, скорее всего, не ярлык, а открытый хром на панели задач.
Сейчас это выглядит так:
[ATTACH=CONFIG]640481[/ATTACH]
А раньше выглядело так:
[ATTACH=CONFIG]640482[/ATTACH]
То есть открытость хрома отображалась в том же месте где и ярлык.