последствия от случайной загрузки MPC Cleaner: в Firefox - 12kotov, в Chrome - startgo123.com

**Max_Yaremenko** · 04.09.2016, 13:49

Здравствуйте!
После случайной зарузки MPC cleaner остались следующие вредоностные коды:
в браузере Firefox - автозагрузка браузера со стартовой страницей поиска 12kotov,
в браузере Chrome - тоже со startgo123.com
при этом при перезагрузке выходит сообщение с темой future_helper.exe о невозможности открыть программу из-за отсутсвия файла protocolfilters.dll
после чистки компьютера adwcleaner_v6.010, антивирусом Касперского и SUPERAntiSpyware Professional симптомы уходят, но на следующий день снова появляются.
Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.09.2016, 13:51

Уважаемый(ая) Max_Yaremenko, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 04.09.2016, 17:24

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\1234\appdata\local\filterstart\filterstart.exe');
 QuarantineFile('c:\users\1234\appdata\local\filterstart\filterstart.exe', '');
 DeleteFile('C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job', '64');
 DeleteFile('C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job', '64');
 DeleteFile('c:\users\1234\appdata\local\filterstart\filterstart.exe', '32');
 DeleteService('1F01B5C');
 DeleteService('1F3ADFC');
 DeleteService('20D3226');
 DeleteService('224ECE2');
 DeleteService('243E0A8');
 DeleteService('24CC775');
 DeleteService('24F041C');
 DeleteService('25D1CCC');
 DeleteService('260A857');
 DeleteService('263E5D4');
 DeleteService('26A0A34');
 DeleteService('272BF5E');
 DeleteService('27AC445');
 DeleteService('27CEF5C');
 DeleteService('281A8FB');
 DeleteService('2844F19');
 DeleteService('2858EDF');
 DeleteService('28A4F1C');
 DeleteService('29975BF');
 DeleteService('2A46E44');
 DeleteService('2AA3143');
 DeleteService('2CF6C46');
 DeleteService('3B22D85');
 DeleteFileMask('c:\users\1234\appdata\local\filterstart', '*', true);
 DeleteDirectory('c:\users\1234\appdata\local\filterstart');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "AVG-Secure-Search-Update_JUNE2013_HP_rmv" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "AVG-Secure-Search-Update_JUNE2013_TB_rmv" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Request RunTime Mgr" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\srfujetyff', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Max_Yaremenko** · 05.09.2016, 09:47

Карантин отправил. FRST.txt и Addition.txt прикрепляю. Кстати после базовых операций сегодня следов вируса не обнаружил. Спасибо!

**Vvvyg** · 05.09.2016, 20:39

Деинсталлируйте SUPERAntiSpyware, это недоразумение не нужно при наличии серьёзного антивируса.

Включите детектирование потенциально нежелательных программ в Kaspersky Total Security.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
Handler: WSAMVCUchrome - No CLSID Value
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [hchmljaagncpkojnaklllmcebphkchip] - hxxp://clients2.google.com/service/update2/crx
2016-09-01 11:36 - 2016-09-01 11:36 - 00000000 ____D C:\Users\1234\AppData\Local\Вoйти в Интeрнет
2016-09-01 11:30 - 2016-09-01 11:30 - 00000000 ____D C:\Users\1234\AppData\Local\Поиcк в Интeрнете
2016-09-01 11:29 - 2016-09-01 12:57 - 00000000 ____D C:\Users\1234\AppData\Roaming\GameLauncher
2016-01-21 16:49 - 2016-01-21 16:49 - 0000016 _____ () C:\ProgramData\mntemp
Task: {2AA01F9E-4A4A-4ACD-AFB1-5AC79C04DEC8} - \ComDev -> No File <==== ATTENTION
Task: {4A47BF4C-76B7-44A8-9946-13D39E46E899} - System32\Tasks\{10268F81-B90A-4532-9EDE-220547E67901} => Firefox.exe 
C:\Users\1234\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\1234\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [136]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
CMD: ipconfig /flushdns
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**Max_Yaremenko** · 06.09.2016, 10:31

SUPERAntiSpyware часто помогал когда под рукой небыло антивируса, не всегда есть возможность использовать платный антивирус, но надежных способов миновать покупку лицензии пока не нашел.
файлы прилагаю

**Vvvyg** · 06.09.2016, 21:51

Есть множество полноценных бесплатных антивирусов с гораздо более серьёзными возможностями.

А второй антивирус параллельно - лишние тормоза.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 101.

В остальном - порядок.

**Max_Yaremenko** · 06.09.2016, 23:11

Спасибо! AVG достойный вариант?
Я поддержал проект, надеюсь благодарность и до вас дойдет...

**Vvvyg** · 07.09.2016, 07:12

Вполне, на уровне. Есть ещё Avast, Kaspersky Free...

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 07.09.2016, 07:22

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

последствия от случайной загрузки MPC Cleaner: в Firefox - 12kotov, в Chrome - startgo123.com (заявка № 203726)

Опции темы