robi_bo 0 Опубликовано 2 сентября, 2014 Share Опубликовано 2 сентября, 2014 Антивирус находит iwebar, shopperoro файлы. Я нажимаю удалить, он требует перезагрузки, я перезагружаюсь, и касперски опять находит их, и опять уничтажая, требует перезагрузки. В веб-браузере иногда появляется начальная страница http://www.istartsurf.com/, но ее я вроде почистил, но все равно она иногда появляется. CollectionLog-2014.09.02-13.52.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 сентября, 2014 Share Опубликовано 2 сентября, 2014 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('C:\Program Files\Common Files\PicRec\PicRecHelper\picrecs.exe'); TerminateProcessByName('c:\program files (x86)\sense\sense-nova.exe'); TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe'); TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe'); TerminateProcessByName('c:\windows\microsoft\updatingservice\newversiondownloader.exe'); TerminateProcessByName('c:\program files (x86)\iwebar\iwebar-nova.exe'); SetServiceStart('WindowsMangerProtect', 4); StopService('picrecupd'); StopService('UpdatingService'); StopService('WindowsMangerProtect'); QuarantineFile('TemproTray.exe',''); QuarantineFile('C:\Users\ROBIBO\AppData\Roaming\istartsurf\UninstallManager.exe',''); QuarantineFile('C:\Users\ROBIBO\Downloads\windirstat1_1_2_setup.exe',''); QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe',''); QuarantineFile('C:\Program Files (x86)\Sense\Sense-novainstaller.exe',''); QuarantineFile('C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5.exe',''); QuarantineFile('C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe',''); QuarantineFile('C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3.exe',''); QuarantineFile('C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.exe',''); QuarantineFile('C:\Program Files (x86)\Sense\Sense-codedownloader.exe',''); QuarantineFile('C:\Program Files (x86)\iWebar\iWebar-novainstaller.exe',''); QuarantineFile('C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe',''); QuarantineFile('C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe',''); QuarantineFile('C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.exe',''); QuarantineFile('C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe',''); QuarantineFile('C:\Program Files (x86)\SupTab\SupTab.dll',''); QuarantineFile('C:\Program Files (x86)\Sense\Sense-bho.dll',''); QuarantineFile('C:\Program Files (x86)\iWebar\iWebar-bho.dll',''); QuarantineFile('C:\Windows\SysWow64\insbgf64.exe',''); QuarantineFile('C:\Users\ROBIBO\AppData\Roaming\vipiko_tv\vipiko_tv.exe',''); QuarantineFile('C:\Program Files (x86)\Movienizer\movienizer.exe',''); QuarantineFile('C:\ProgramData\WindowsMangerPro',''); QuarantineFile('C:\ProgramData\IePluginSe',''); QuarantineFile('C:\Program Files\Common Files\PicRec\PicRecHelper\picrdrw.sys',''); QuarantineFile('C:\Windows\system32\drivers\netmon_wfp.sys',''); QuarantineFile('C:\Windows\Microsoft\UpdatingService\InstallerLibrary.dll',''); QuarantineFile('C:\Windows\Microsoft\UpdatingService\ConfigurationData.dll',''); QuarantineFile('C:\Windows\Microsoft\UpdatingService\BaseLibrary.dll',''); QuarantineFile('C:\Program Files\Common Files\PicRec\PicRecHelper\picrmi32.dll',''); QuarantineFile('C:\Program Files (x86)\Sense\Sense-nova.dll',''); QuarantineFile('C:\Program Files (x86)\iWebar\iWebar-nova.dll',''); QuarantineFile('C:\Program Files\Common Files\PicRec\PicRecHelper\picrecs.exe',''); QuarantineFile('c:\program files (x86)\sense\sense-nova.exe',''); QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe',''); QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe',''); QuarantineFile('c:\windows\microsoft\updatingservice\newversiondownloader.exe',''); QuarantineFile('c:\program files (x86)\iwebar\iwebar-nova.exe',''); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-nova.dll','32'); DeleteFile('C:\Program Files (x86)\Sense\Sense-nova.dll','32'); DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32'); DeleteFile('C:\ProgramData\IePluginSe','32'); DeleteFile('C:\ProgramData\WindowsMangerPro','32'); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-bho.dll','32'); DeleteFile('C:\Program Files (x86)\Sense\Sense-bho.dll','32'); DeleteFile('C:\Program Files (x86)\SupTab\SupTab.dll','32'); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe','32'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1.job','64'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.job','64'); DeleteFile('C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.exe','32'); DeleteFile('C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe','32'); DeleteFile('C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe','32'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.job','64'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.job','64'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6.job','64'); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-novainstaller.exe','32'); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-nova.exe','32'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7.job','64'); DeleteFile('C:\Program Files (x86)\Sense\Sense-codedownloader.exe','32'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-1.job','64'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.job','64'); DeleteFile('C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.exe','32'); DeleteFile('C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3.exe','32'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3.job','64'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.job','64'); DeleteFile('C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe','32'); DeleteFile('C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5.exe','32'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5.job','64'); DeleteFile('C:\Program Files (x86)\Sense\Sense-novainstaller.exe','32'); DeleteFile('C:\Program Files (x86)\Sense\Sense-nova.exe','32'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-6.job','64'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-7.job','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-1','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-6','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-7','64'); DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32'); DelBHO('3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C'); DelBHO('11111111-1111-1111-1111-110411821192'); DelBHO('11111111-1111-1111-1111-110311551110'); DeleteService('WindowsMangerProtect'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте новые логи по правилам. + лог AdwCleaneer и лог MBAM http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256 1 Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 сентября, 2014 Share Опубликовано 2 сентября, 2014 Здравствуйте! Деинсталлируйте что сможете из этого списка: iWebar-->C:\Program Files (x86)\iWebar\Uninstall.exe /fcp=1 PicRec-->"C:\Program Files\Common Files\PicRec\PicRecHelper\uninstall.exe" Sense-->C:\Program Files (x86)\Sense\Uninstall.exe /fcp=1 WindowsMangerProtect20.0.0.722-->C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -uninstall Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\program files (x86)\sense\sense-nova.exe'); TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe'); TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe'); TerminateProcessByName('c:\windows\microsoft\updatingservice\newversiondownloader.exe'); TerminateProcessByName('c:\program files (x86)\iwebar\iwebar-nova.exe'); SetServiceStart('WindowsMangerProtect', 4); SetServiceStart('UpdatingService', 4); SetServiceStart('IePluginServices', 4); StopService('WindowsMangerProtect'); StopService('UpdatingService'); StopService('IePluginServices'); QuarantineFile('C:\Windows\system32\drivers\netmon_wfp.sys',''); QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe',''); QuarantineFile('c:\program files (x86)\sense\sense-nova.exe',''); QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe',''); QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe',''); QuarantineFile('c:\windows\microsoft\updatingservice\newversiondownloader.exe',''); QuarantineFile('c:\program files (x86)\iwebar\iwebar-nova.exe',''); DeleteFile('c:\program files (x86)\iwebar\iwebar-nova.exe','32'); DeleteFile('c:\program files (x86)\sense\sense-nova.exe','32'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','32'); DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32'); DeleteFile('C:\Windows\Microsoft\UpdatingService\NewVersionDownloader.exe','32'); DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1.job','64'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.job','64'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.job','64'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.job','64'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6.job','64'); DeleteFile('C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7.job','64'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-1.job','64'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.job','64'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3.job','64'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.job','64'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5.job','64'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-6.job','64'); DeleteFile('C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-7.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6','64'); DeleteFile('C:\Windows\system32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-1','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-6','64'); DeleteFile('C:\Windows\system32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-7','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\{52BE3EB2-964B-4925-AF04-BFFA6E5A3668}','64'); DeleteService('WindowsMangerProtect'); DeleteService('UpdatingService'); DeleteService('IePluginServices'); DeleteService('globalUpdate'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1409482221&from=smt&uid=TOSHIBAXMK6475GSX_61F4P0FSTXX61F4P0FST R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409482221&from=smt&uid=TOSHIBAXMK6475GSX_61F4P0FSTXX61F4P0FST R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1409482221&from=smt&uid=TOSHIBAXMK6475GSX_61F4P0FSTXX61F4P0FST R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1409482221&from=smt&uid=TOSHIBAXMK6475GSX_61F4P0FSTXX61F4P0FST&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1409482221&from=smt&uid=TOSHIBAXMK6475GSX_61F4P0FSTXX61F4P0FST&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409482221&from=smt&uid=TOSHIBAXMK6475GSX_61F4P0FSTXX61F4P0FST O2 - BHO: CrossriderApp0035510 - {11111111-1111-1111-1111-110311551110} - C:\Program Files (x86)\iWebar\iWebar-bho.dll O2 - BHO: CrossriderApp0048292 - {11111111-1111-1111-1111-110411821192} - C:\Program Files (x86)\Sense\Sense-bho.dll O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (file missing) Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите FixerBroОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В главном окне программы нажмите на кнопку "Проверить" Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt) По окончанию сканирования нажмите на кнопку "Отчет". Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
robi_bo 0 Опубликовано 2 сентября, 2014 Автор Share Опубликовано 2 сентября, 2014 Спасибо. Рассказываю что сделал. 1. Удалил программы iWebar-->C:\Program Files (x86)\iWebar\Uninstall.exe /fcp=1PicRec-->"C:\Program Files\Common Files\PicRec\PicRecHelper\uninstall.exe"Sense-->C:\Program Files (x86)\Sense\Uninstall.exe /fcp=1WindowsMangerProtect20.0.0.722-->C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -uninstall 2. Выполнил скрипт Roman_Five, отправил файл карантин. 3. Выполнил скрипт mike 1, отправил файл карантин. 4. Профиксил в HiJackThis. Строк НЕ нашел O2 - BHO: CrossriderApp0035510 - {11111111-1111-1111-1111-110311551110} - C:\Program Files (x86)\iWebar\iWebar-bho.dllO2 - BHO: CrossriderApp0048292 - {11111111-1111-1111-1111-110411821192} - C:\Program Files (x86)\Sense\Sense-bho.dllO2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (file missing) 5. Составил отчеты AdwCleaner (при этом очистил ссылки istartsurf ) и FixerBro их прикрепляю Что то еще надо сделать? Спасибо Забыл написать. Пришли ответы от отправки файлов Карантин. 1 ответ: KLAN-1922204840 BaseLibrary.dll,ConfigurationData.dll,GoogleUpdate.exe,insbgf64.exe,InstallerLibrary.dll,movienizer.exe,netmon_wfp.sys,newversiondownloader.exe,picrdrw.sys,picrecs.exe,picrmi32.dll,pluginservice.exe,protectwindowsmanager.exe,UninstallManager.exe 2 ответ: KLAN-1922222739 netmon_wfp.sys,newversiondownloader.exe AdwCleanerR0.txt FixerBro_20140902.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 сентября, 2014 Share Опубликовано 2 сентября, 2014 Сделайте новые логи по правилам. Где? Цитата Ссылка на сообщение Поделиться на другие сайты
robi_bo 0 Опубликовано 2 сентября, 2014 Автор Share Опубликовано 2 сентября, 2014 Сори, пропустил, вставляю новый файл З.Ы, У меня в Хроме появилось расширение CSS reload!, хотя я не помню что бы его устанавливал (и сегодня я вообще не устанавливал никаких расширений) я его удалил CollectionLog-2014.09.02-21.29.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 сентября, 2014 Share Опубликовано 2 сентября, 2014 (изменено) Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве. Изменено 2 сентября, 2014 пользователем mike 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 сентября, 2014 Share Опубликовано 2 сентября, 2014 + забыли и лог MBAM 1 Цитата Ссылка на сообщение Поделиться на другие сайты
robi_bo 0 Опубликовано 2 сентября, 2014 Автор Share Опубликовано 2 сентября, 2014 Очень долго сканирует MBAM, поэтому пока выкладываю отчет AdwCleaner, который просил mike 1, как подготовится MBAM выложу и его. CollectionLog-2014.09.02-22.25.zip AdwCleanerR1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 сентября, 2014 Share Опубликовано 2 сентября, 2014 удаляйте в AdwCleaner ещё это [ Файл : C:\Users\ROBIBO\AppData\Local\Google\Chrome\User Data\Default\preferences ] Найдено [Search Provider] : hxxp://www.istartsurf.com/web/?type=ds&ts=1409482221&from=smt&uid=TOSHIBAXMK6475GSX_61F4P0FSTXX61F4P0FST&q={searchTerms} Найдено [Startup_urls] : hxxp://www.istartsurf.com/?type=hp&ts=1409482221&from=smt&uid=TOSHIBAXMK6475GSX_61F4P0FSTXX61F4P0FST 1 Цитата Ссылка на сообщение Поделиться на другие сайты
robi_bo 0 Опубликовано 2 сентября, 2014 Автор Share Опубликовано 2 сентября, 2014 сделал как вы сказали, но... У меня в это же время работала программа по проверке MBAM (уже 3 часа проверяла), а после того как я почистил AdwCleaner то что вы мне написали пошла перезагрузка компьютера. Поэтому я заново включаю MBAM, оставляю на ночь, надеюсь к утру он проверит. Вам же отправляю новые файлы, если что надо будет сделать, пишите, но я тогда это сделаю после того как составлю отчет MBAM, уж очень долго он делается. AdwCleanerR0.txt CollectionLog-2014.09.03-01.36.zip Цитата Ссылка на сообщение Поделиться на другие сайты
robi_bo 0 Опубликовано 3 сентября, 2014 Автор Share Опубликовано 3 сентября, 2014 сделал лог MBAM и новый CollectionLog проверьте пожалуйста CollectionLog-2014.09.03-07.16.zip MBAM.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 сентября, 2014 Share Опубликовано 3 сентября, 2014 удаляйте всё найденное в MBAM (в конце новой проверки поместите все записи в карантин). новые логи MBAM и AdwCleaner приложите Выполните в AVZ восьмой стандартный скрипт (главное окно AVZ - Файл - Стандартные скрипты - 8. VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК - Выполнить отмеченные скрипты). Загрузите архив virusinfo_auto_{name_PC}.zip из папки AVZ4/LOG через следующую форму, не забыв отметить пункт "Отправить отчет о сканировании на E-mail" и указать реальный адрес своей электронной почты. Ссылки на результаты проверки онлайн-сервисом VirusDetector и обсуждение результатов проверки из полученного письма с темой "VirusDetector - обработка карантина завершена" после загрузки карантина приложите здесь. Подробнее с правилами сервиса VirusDetector можно ознакомиться здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
robi_bo 0 Опубликовано 3 сентября, 2014 Автор Share Опубликовано 3 сентября, 2014 уточните пожалуйста удаляйте всё найденное в MBAM (в конце новой проверки поместите все записи в карантин). новые логи MBAM и AdwCleaner приложите мне нужно просканировать и удалить все найденое в MBAM, а потом еще раз просканировать и уже новые логи Вам отправить, или просканировать, все удалить, и логи этого сканирования Вам отправить? Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 сентября, 2014 Share Опубликовано 3 сентября, 2014 на ваше усмотрение. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.