Решена Поисковик по умолчанию в Google Chrome с правами администратора

Статус
В этой теме нельзя размещать новые ответы.

DaDmAl

Новый пользователь
Сообщения
5
Реакции
0
Здравствуйте! установил стороннее п.о., которое теперь мне уставнавливает сторонние программы на компьютер, названий не помню так как удалил все(вроде бы)

последовал всем вашим инструкциям сделал логи, их и прикрепляю и прошу помощи в чистке.
 

Вложения

  • CollectionLog-2015.12.07-10.50.zip
    123.6 KB · Просмотры: 4
В AVZ меню "Файл" -> "Выполнить скрипт", вставьте содержимое окна "код" ниже и нажмите "Запустить":
Код:
begin
 TerminateProcessByName('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\jnsk3b35.tmp');
 TerminateProcessByName('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\knsf87ee.tmp');
 TerminateProcessByName('c:\users\aace~1\appdata\local\temp\2233113\mailruhomesearch.exe');
 TerminateProcessByName('c:\users\aace~1\appdata\local\temp\6926316\mailruhomesearch.exe');
 TerminateProcessByName('c:\users\Дмитрий\appdata\local\mail.ru\mailruupdater.exe');
 TerminateProcessByName('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe');
 TerminateProcessByName('c:\users\aace~1\appdata\local\temp\nsme4a2.tmp');
 TerminateProcessByName('c:\users\aace~1\appdata\local\temp\nss16d8.tmp');
 TerminateProcessByName('c:\users\дмитрий\appdata\local\temp\e65b6dd8-111d02a0-52a0627c-24e2be9c\ogtubaupdrl.exe');
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\windows\syswow64\searchprotectservice.exe');
 TerminateProcessByName('c:\users\Дмитрий\appdata\local\35453035-1449435878-3635-4235-4532ffffffff\snsre497.tmp');
 StopService('ginoquci');
 StopService('nukynyde');
 StopService('WindowsMangerProtect');
 StopService('woforemu');
 StopService('roqenufe');
 StopService('SPS');
 StopService('Updater.Mail.Ru');
 StopService('contentdefenderdrv');
 QuarantineFile('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\jnsk3b35.tmp', '');
 QuarantineFile('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\knsf87ee.tmp', '');
 QuarantineFile('c:\users\aace~1\appdata\local\temp\2233113\mailruhomesearch.exe', '');
 QuarantineFile('c:\users\aace~1\appdata\local\temp\6926316\mailruhomesearch.exe', '');
 QuarantineFile('c:\users\Дмитрий\appdata\local\mail.ru\mailruupdater.exe', '');
 QuarantineFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '');
 QuarantineFile('c:\users\aace~1\appdata\local\temp\nsme4a2.tmp', '');
 QuarantineFile('c:\users\aace~1\appdata\local\temp\nss16d8.tmp', '');
 QuarantineFile('c:\users\дмитрий\appdata\local\temp\e65b6dd8-111d02a0-52a0627c-24e2be9c\ogtubaupdrl.exe', '');
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '');
 QuarantineFile('c:\windows\syswow64\searchprotectservice.exe', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\KitFollow.dll', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\dqo.dll', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\{F79275BB-65E9-16F4-3C9D-95A94F3BFDD3}.dat', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\35453035-1449435878-3635-4235-4532FFFFFFFF\snsrE497.tmp', '');
 QuarantineFile('C:\Program Files\Content Defender\ContentDefender.exe', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\contentdefenderdrv.sys', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\ASPackage\ASPackage.exe', '');
 QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '');
 QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\R', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\Mail.ru\Sputnik\ptls\mailruhomesearch.exe', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\lcoupon\lcupstbl.exe', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\lcoupon\config.json', '');
 QuarantineFile('C:\ProgramData\Tmp0x0x\P', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
 QuarantineFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe', '');
 QuarantineFile('c:\users\дмитрий\appdata\local\temp\e65b6dd8-111d02a0-52a0627c-24e2be9c\ywskazcxdl4ca.exe', '');
 QuarantineFile('C:\WINDOWS\system32\searchprotectservice.exe', '');
 DeleteFile('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\jnsk3b35.tmp', '32');
 DeleteFile('c:\program files (x86)\35453035-1449414183-3635-4235-4532ffffffff\knsf87ee.tmp', '32');
 DeleteFile('c:\users\aace~1\appdata\local\temp\2233113\mailruhomesearch.exe', '32');
 DeleteFile('c:\users\aace~1\appdata\local\temp\6926316\mailruhomesearch.exe', '32');
 DeleteFile('c:\users\Дмитрий\appdata\local\mail.ru\mailruupdater.exe', '32');
 DeleteFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '32');
 DeleteFile('c:\users\aace~1\appdata\local\temp\nsme4a2.tmp', '32');
 DeleteFile('c:\users\aace~1\appdata\local\temp\nss16d8.tmp', '32');
 DeleteFile('c:\users\дмитрий\appdata\local\temp\e65b6dd8-111d02a0-52a0627c-24e2be9c\ogtubaupdrl.exe', '32');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '32');
 DeleteFile('c:\windows\syswow64\searchprotectservice.exe', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\KitFollow.dll', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\dqo.dll', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\Kit Follow\{EF516A6F-1B5F-8C94-D64C-DB5385F47083}\{F79275BB-65E9-16F4-3C9D-95A94F3BFDD3}.dat', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\35453035-1449435878-3635-4235-4532FFFFFFFF\snsrE497.tmp', '32');
 DeleteFile('C:\Program Files\Content Defender\ContentDefender.exe', '32');
 DeleteFile('nyneryxo.sys', '32');
 DeleteFile('C:\WINDOWS\system32\drivers\contentdefenderdrv.sys', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Roaming\ASPackage\ASPackage.exe', '32');
 DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '32');
 DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\R', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\Mail.ru\Sputnik\ptls\mailruhomesearch.exe', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\lcoupon\lcupstbl.exe', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\lcoupon\config.json', '32');
 DeleteFile('C:\ProgramData\Tmp0x0x\P', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
 DeleteFile('C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe', '32');
 DeleteFile('C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe', '32');
 DeleteFile('C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe', '32');
 DeleteFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe', '32');
 DeleteFile('c:\users\дмитрий\appdata\local\temp\e65b6dd8-111d02a0-52a0627c-24e2be9c\ywskazcxdl4ca.exe', '32');
 DeleteFile('C:\WINDOWS\system32\searchprotectservice.exe', '32');
 DeleteService('ginoquci');
 DeleteService('nukynyde');
 DeleteService('WindowsMangerProtect');
 DeleteService('woforemu');
 DeleteService('ContentDefender');
 DeleteService('nyneryxo');
 DeleteService('roqenufe');
 DeleteService('SPS');
 DeleteService('Updater.Mail.Ru');
 DeleteService('contentdefenderdrv');
 DeleteFileMask('c:\users\Дмитрий\appdata\local\mail.ru', '*', true);
 DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('C:\Users\Дмитрий\AppData\Local\Kit Follow', '*', true);
 DeleteFileMask('C:\Program Files\Content Defender', '*', true);
 DeleteFileMask('C:\Users\Дмитрий\AppData\Roaming\ASPackage', '*', true);
 DeleteFileMask('C:\Users\Дмитрий\AppData\Local\lcoupon', '*', true);
 DeleteFileMask('C:\Program Files (x86)\IObit', '*', true);
 DeleteFileMask('C:\Program Files (x86)\SwiftSearch_1.10.0.25', '*', true);
 DeleteDirectory('c:\users\Дмитрий\appdata\local\mail.ru');
 DeleteDirectory('c:\program files (x86)\mail.ru');
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('C:\Users\Дмитрий\AppData\Local\Kit Follow');
 DeleteDirectory('C:\Program Files\Content Defender');
 DeleteDirectory('C:\Users\Дмитрий\AppData\Roaming\ASPackage');
 DeleteDirectory('C:\Users\Дмитрий\AppData\Local\lcoupon');
 DeleteDirectory('C:\Program Files (x86)\IObit');
 DeleteDirectory('C:\Program Files (x86)\SwiftSearch_1.10.0.25');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster Scan" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (Дмитрий)" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster Update" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Kit Follow" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Kit Follow2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Update');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mailruhomesearch');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'lcoupon');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
ExecuteSysClean;
ExecuteRepair(23);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте его с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Удалите программы:
Content Defender
application extension version 1.5
Driver Booster 2.3
GamesDesktop 033.005010168
Kit Follow
SwiftSearch 1.10.0.25
Weatherbar
yoursearching uninstall
Интернет
Служба автоматического обновления программ

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
программы еще не удалял, скрипт выполнил, похоже проблема осталась.
 

Вложения

  • CollectionLog-2015.12.07-12.50.zip
    121.1 KB · Просмотры: 2
Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

В AVZ меню "Файл" -> "Выполнить скрипт", вставьте содержимое окна "код" ниже и нажмите "Запустить":
Код:
begin
ClearQuarantine;
TerminateProcessByName('c:\users\Дмитрий\appdata\local\gmsd_ru_005010168\upgmsd_ru_005010168.exe');
TerminateProcessByName('c:\program files (x86)\rec_en_77\rec_en_77.exe');
TerminateProcessByName('c:\users\Дмитрий\appdata\local\35453035-1449489236-3635-4235-4532ffffffff\qnsf9377.tmp');
StopService('hidekoqe');
QuarantineFileF('C:\Program Files (x86)\gmsd_ru_005010168\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFileF('c:\users\Дмитрий\appdata\local\35453035-1449489236-3635-4235-4532ffffffff\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFileF('c:\program files (x86)\rec_en_77', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010168\gmsd_ru_005010168.exe', '');
QuarantineFile('c:\users\Дмитрий\appdata\local\gmsd_ru_005010168\upgmsd_ru_005010168.exe', '');
QuarantineFile('c:\program files (x86)\rec_en_77\rec_en_77.exe', '');
QuarantineFile('c:\users\Дмитрий\appdata\local\35453035-1449489236-3635-4235-4532ffffffff\qnsf9377.tmp', '');
DeleteFile('c:\program files (x86)\rec_en_77\rec_en_77.exe', '32');
DeleteFile('C:\Users\Дмитрий\AppData\Local\35453035-1449489236-3635-4235-4532FFFFFFFF\qnsf9377.tmp', '32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_005010168\gmsd_ru_005010168.exe', '32');
DeleteFile('C:\Users\Дмитрий\AppData\Local\gmsd_ru_005010168\upgmsd_ru_005010168.exe', '32');
DeleteService('hidekoqe');
DeleteFileMask('C:\Users\Дмитрий\AppData\Local\gmsd_ru_005010168', '*', true);
DeleteFileMask('C:\Users\Дмитрий\AppData\Local\35453035-1449489236-3635-4235-4532FFFFFFFF', '*', true);
DeleteFileMask('c:\program files (x86)\rec_en_77', '*', true);
DeleteDirectory('C:\Users\Дмитрий\AppData\Local\gmsd_ru_005010168');
DeleteDirectory('C:\Users\Дмитрий\AppData\Local\35453035-1449489236-3635-4235-4532FFFFFFFF');
DeleteDirectory('c:\program files (x86)\rec_en_77');
ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Core" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Pending Update" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TextEditor');
ExecuteSysClean;
ExecuteRepair(23);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование модератором:
прикладываю отчеты о проделанной работе, согласно инструкции.
 

Вложения

  • ClearLNK-07.12.2015_18-13.log
    8.4 KB · Просмотры: 1
  • AdwCleaner[S1].txt
    15.2 KB · Просмотры: 1
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
Если используете программы от mail.ru то перед удалением снимите на вкладках галочки с упоминанием mail.ru
 
все равно похоже проблема осталась :(


p.s. последнего совета не видел, пока сообщение отправлял, сейчас попробуем. ;)
Уряяя. :Dance4: проблема похоже устранена. поисковик по умолчанию меняется, лишние вкладки сами собой не открываются. Спасибо большое всем помогающим. :)
 

Вложения

  • AdwCleaner[C1].txt
    15.4 KB · Просмотры: 2
Последнее редактирование:
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
все супер, avz написал, что уязвимостей не обнаружено.
единственное, что хотел бы дополнить, после всех процедур, пропал звук, но эта ситуация легко исправилась, переустановкой драйверов. :)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу