Zima1948 0 Опубликовано 5 октября, 2014 Автор Share Опубликовано 5 октября, 2014 Высылаю лог. А с OTM и SITLog удалять. Если да то как? CollectionLog-2014.10.05-21.40.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 октября, 2014 Share Опубликовано 5 октября, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end;SetServiceStart('MgAssistService', 4); DeleteService('MgAssistService'); TerminateProcessByName('c:\program files\mobogenie\mgassist.exe'); TerminateProcessByName('c:\program files\mobogenie\daemonprocess.exe'); DeleteFile('c:\program files\mobogenie\daemonprocess.exe','32'); DeleteFile('c:\program files\mobogenie\mgassist.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); DeleteFile('C:\Users\Ягодка\AppData\Local\temp\_uninst_.bat','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\launcher.bat','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Компьютер перезагрузится. Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 октября, 2014 Share Опубликовано 5 октября, 2014 Здравствуйте! Деинсталлируйте: Mobogenie-->C:\Program Files\Mobogenie\uninst.exe test version 1.5-->"C:\Program Files\test\unins000.exe" WebSecurity Extension version 16.40-->"C:\Program Files\funex\unins000.exe" etranslator-->"C:\Users\Ягодка\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\launcher.bat',''); QuarantineFile('C:\iexplore.bat',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\launcher.bat','32'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cdd175f3488e9df941c761b02d7d93ac&text={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://zagugli.com R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe O4 - Startup: _uninst_.lnk = ? O9 - Extra button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - (no file) O9 - Extra button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - (no file) O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - (no file) Сделайте новые логи Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите FixerBroОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В главном окне программы нажмите на кнопку "Проверить" Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt) По окончанию сканирования нажмите на кнопку "Отчет". Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Zima1948 0 Опубликовано 5 октября, 2014 Автор Share Опубликовано 5 октября, 2014 Логи CollectionLog-2014.10.05-23.04.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 октября, 2014 Share Опубликовано 5 октября, 2014 Еще просили сделать лог AdwCleaner и FixerBro. Цитата Ссылка на сообщение Поделиться на другие сайты
Zima1948 0 Опубликовано 5 октября, 2014 Автор Share Опубликовано 5 октября, 2014 Пофиксил Hijack но забыл перезагрузить. Остальное сделал. Прилагаю логи. FixerBro_20141005.txt AdwCleanerR0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 октября, 2014 Share Опубликовано 5 октября, 2014 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". По окончанию сканирования снимите галочки со следующих строк: ***** [ Файлы / Папки ] ***** Папка Найдено : C:\Users\Ягодка\AppData\Local\Mail.Ru Папка Найдено : C:\Users\Ягодка\AppData\Local\MailRu Нажмите кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве. Запустите повторно FixerBro by glax24.Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления. C:\Users\Ягодка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\iexplore.bat "http://rupoisk21.ru" - (Объект запуска не найден)] C:\Users\Ягодка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\iexplore.bat "http://rupoisk21.ru" - (Объект запуска не найден)] C:\Users\Public\Desktop\Opera.lnk [C:\launcher.bat "http://rupoisk21.ru" - (Объект запуска не найден)] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk [C:\launcher.bat "http://rupoisk21.ru" - (Объект запуска не найден)] Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt). По окончанию удаления нажмите на кнопку "Отчет" Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме. В Firefox удалите расширения NetworkSecurity v14.8.21, SuperMegaBest.com Сделайте лог HiJackThis Цитата Ссылка на сообщение Поделиться на другие сайты
Zima1948 0 Опубликовано 6 октября, 2014 Автор Share Опубликовано 6 октября, 2014 Firefox с компа удален давно. Как удалить расширения NetworkSecurity v14.8.21, SuperMegaBest.com? После работы hijack или другой проги на рабочем столе появились 2 файла (полупрозрачные). AdwCleanerS0.txt FixerBro_20141006.txt hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 6 октября, 2014 Share Опубликовано 6 октября, 2014 удалите вручную. C:\Users\Ягодка\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Zima1948 0 Опубликовано 6 октября, 2014 Автор Share Опубликовано 6 октября, 2014 комп теперь загружается в обычном режиме! Винда обнавляется! но в Опере вылезают какие-то рекламы, или нажал прикрепить файл а вместо проводника в браузере загружается какая-то левая закладка с непонятным сайтом. Закрываю ее и со второй попытки все получается. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 6 октября, 2014 Share Опубликовано 6 октября, 2014 Отключите все расширения в браузере. Проверьте проблему. Цитата Ссылка на сообщение Поделиться на другие сайты
Zima1948 0 Опубликовано 6 октября, 2014 Автор Share Опубликовано 6 октября, 2014 Отключил (всего включенных было 2). Не помогло. При запуске браузера открывается вкладка с рекламным сайтом. Или открываются все вкладки открытые ранее и плюс рекламная. C:\Users\Ягодка\AppData\Roaming\Mozilla. А всю папку Mozilla можно удалить? А во название этой рекламной странички (http://dernaket.ru/?token=s2mlu). Сначало начинает грузится руспоиск21 (по англиски). А потом идет переадресация на дернакет Извините, что ссылку активную прислал! Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 6 октября, 2014 Share Опубликовано 6 октября, 2014 Сделайте свежий лог FixerBro. Цитата Ссылка на сообщение Поделиться на другие сайты
Zima1948 0 Опубликовано 6 октября, 2014 Автор Share Опубликовано 6 октября, 2014 сделал FixerBro_20141006 (2).txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 6 октября, 2014 Share Опубликовано 6 октября, 2014 Запустите повторно FixerBro by glax24. Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления. C:\Users\Public\Desktop\Opera.lnk [C:\Program Files\Opera\launcher.exe "http://rupoisk21.ru" ] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk [C:\launcher.bat "http://rupoisk21.ru" - (Объект запуска не найден)] Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt). По окончанию удаления нажмите на кнопку "Отчет" Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.