RamZis Опубликовано 3 сентября, 2012 Опубликовано 3 сентября, 2012 Помогите удалить mystart.incredibar в Mozilla. Все то что я испробовал НЕ РАБОТАЕТ, Это: 1) Открыл новую вкладку в браузере и написал about:config Далее нашел строчки с mystart.incredibar и заменил их на необходимый сайт (http://firefox.yandex.ru/) После закрытия браузера все сброшенные настройки mystart.incredibar прописываются вновь. Начальная страница открывается вот эта: mystart.incredibar.com/mb178?a=6OyL4L59aw&loc=FF_NT 2) Панель управления=> программы и компоненты ничего нет. Все что было с ним связано удалил. 3)В Firefox-е в расширениях удалил. 4) В реестере (regedit) все что смог найти с mystart.incredibar (не уверен что все нашел) удалил. 5) Вот как описано на этом сайте также все сделал по этапно для всех 3-х браузеров, вылечить удалось только Explorer. Ничего не помогает((( При открытии новой вкладки открывается долбаный http://mystart.incredibar.com/mb178?a=6OyL...w&loc=FF_NT Скачал и записал как образ Kaspersky Rescue Disk, при попытке загрузиться в графическом режиме пишет "не предвиденная ошибка" и загружается в текстовом режиме. А в текстовом режиме я незнаю как пользоваться. Может он не может загрузиться из-за того что у меня стоит другой антивирус (avast)? virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt
akoK Опубликовано 4 сентября, 2012 Опубликовано 4 сентября, 2012 Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
thyrex Опубликовано 4 сентября, 2012 Опубликовано 4 сентября, 2012 + Скачайте ComboFix здесь и сохраните на Рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe
RamZis Опубликовано 4 сентября, 2012 Автор Опубликовано 4 сентября, 2012 Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Вот сделал log.txt
akoK Опубликовано 5 сентября, 2012 Опубликовано 5 сентября, 2012 Повторите сканирование MBAM и удалите только: Обнаруженные файлы: 31 C:\Windows\System32\H@tKeysH@@k.DLL (HackTool.HotKeyHook) -> Действие не было предпринято. C:\Windows\SysWOW64\H@tKeysH@@k.DLL (Trojan.Agent) -> Действие не было предпринято. C:\Windows\svhost.exe (Backdoor.Bot) -> Действие не было предпринято. Скачайте ComboFix здесь и сохраните на Рабочий стол Тоже нужно.
RamZis Опубликовано 5 сентября, 2012 Автор Опубликовано 5 сентября, 2012 Повторите сканирование MBAM и удалите только: Обнаруженные файлы: 31 C:\Windows\System32\H@tKeysH@@k.DLL (HackTool.HotKeyHook) -> Действие не было предпринято. C:\Windows\SysWOW64\H@tKeysH@@k.DLL (Trojan.Agent) -> Действие не было предпринято. C:\Windows\svhost.exe (Backdoor.Bot) -> Действие не было предпринято. Тоже нужно. Вот ComboFix сделал. Лог файл вложил. А вот C:\Windows\System32\H@tKeysH@@k.DLL (HackTool.HotKeyHook) в этой папке нет H@tKeysH@@k.DLL. А эти удалил: C:\Windows\SysWOW64\H@tKeysH@@k.DLL (Trojan.Agent) -> Действие не было предпринято ; C:\Windows\svhost.exe (Backdoor.Bot) -> Действие не было предпринято. Из за этого пока не стал сканировать MBAM. Как найти и удалить тот файл? log1.txt
Roman_Five Опубликовано 5 сентября, 2012 Опубликовано 5 сентября, 2012 Из за этого пока не стал сканировать MBAM. Как найти и удалить тот файл? удалять нужно было в MBAM Удалите в MBAM только следующие объекты: C:\Windows\System32\H@tKeysH@@k.DLL После удаления откройте лог и прикрепите его к сообщению. Что с проблемой?
RamZis Опубликовано 5 сентября, 2012 Автор Опубликовано 5 сентября, 2012 удалять нужно было в MBAMУдалите в MBAM только следующие объекты: C:\Windows\System32\H@tKeysH@@k.DLL После удаления откройте лог и прикрепите его к сообщению. Что с проблемой? В смысле что с проблемой? Завтра скину лог MBAM, примерно в это же время.
RamZis Опубликовано 11 сентября, 2012 Автор Опубликовано 11 сентября, 2012 Вот лог файл который просили в MBAM mbam_log_2012_09_11__19_15_18_.txt
akoK Опубликовано 12 сентября, 2012 Опубликовано 12 сентября, 2012 Проверьте на www.virustotal.com файл C:\x-force_2012_x64.exe Результат сообщите. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt Проблемы остались?
RamZis Опубликовано 12 сентября, 2012 Автор Опубликовано 12 сентября, 2012 Проверьте на www.virustotal.com файлC:\x-force_2012_x64.exe Результат сообщите. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt Проблемы остались? Проблемы остались((((
Roman_Five Опубликовано 15 сентября, 2012 Опубликовано 15 сентября, 2012 Проблемы остались(((( покажите скриншоты
icotonev Опубликовано 15 сентября, 2012 Опубликовано 15 сентября, 2012 + Если у вас 32 разрядная версия windows, то скачайте SystemLook (32-bit) Если у вас 64 разрядная версия windows, то необходимо скачать эту версию SystemLook (64-bit) Дважды щелкните SystemLook.exe для его запуска. ! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Скопируйте содержимое скрипта и вставьте его в текстовое поле программы::filefind *mystart.incredibar* :folderfind *mystart.incredibar* :regfind *mystart.incredibar* Нажмите на кнопку Look, чтобы начать сканирование. Когда сканирование будет завершено, откроется окно Блокнота с результатами сканирования. Пожалуйста, скопируйте текст отчета в следующее сообщение. Если Вы закрыли Блокнот, то файл лога можно найти на рабочем столе: SystemLook.txt.
RamZis Опубликовано 16 сентября, 2012 Автор Опубликовано 16 сентября, 2012 + Если у вас 32 разрядная версия windows, то скачайте SystemLook (32-bit) Если у вас 64 разрядная версия windows, то необходимо скачать эту версию SystemLook (64-bit) Дважды щелкните SystemLook.exe для его запуска. ! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Скопируйте содержимое скрипта и вставьте его в текстовое поле программы::filefind *mystart.incredibar* :folderfind *mystart.incredibar* :regfind *mystart.incredibar* Нажмите на кнопку Look, чтобы начать сканирование. Когда сканирование будет завершено, откроется окно Блокнота с результатами сканирования. Пожалуйста, скопируйте текст отчета в следующее сообщение. Если Вы закрыли Блокнот, то файл лога можно найти на рабочем столе: SystemLook.txt. Вот лог SystemLook.txt
icotonev Опубликовано 16 сентября, 2012 Опубликовано 16 сентября, 2012 • Отключите временно: Антивирус/Файерволл • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); DeleteFile('C:\Users\Ilmas and RamZis\AppData\Local\Microsoft\Internet Explorer\DOMStore\5C0QJ9VM\mystart.incredibar[1].xml'); DeleteFile('C:\Users\Ilmas and RamZis\AppData\Local\Opera\Opera\icons\http%3A%2F%2Fmystart.incredibar.com%2Ffavicon.png'); DeleteFile('C:\Users\Ilmas and RamZis\AppData\Local\Opera\Opera\icons\mystart.incredibar.com.idx'); DeleteFile('C:\Users\Ilmas and RamZis\AppData\Roaming\Microsoft\Windows\Cookies\ilmas_and_ramzis@mystart.incredibar[1].txt'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Что с проблемами?
Рекомендуемые сообщения