Удалить Search Protect

[serj477]

не получается удалить вредоносное ПО, скачанное попутно с нормальной прогой.

 

Прошу помощи в диагностике и лечении.

[Mark D. Pearlstone]

 

Порядок оформления запроса о помощи

 

[serj477]

извиняюсь, поторопился, исправляюсь -привязываю.

CollectionLog-2015.07.03-20.15.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\program files\miuitab\protectservice.exe');
 TerminateProcessByName('c:\program files\miuitab\cmdshell.exe');
 TerminateProcessByName('c:\program files\miuitab\hpnotify.exe');
 SetServiceStart('speccy', 4);
 SetServiceStart('IHProtect Service', 4);
 StopService('IHProtect Service');
 QuarantineFile('C:\Program Files\miuitab\browerwatchch.dll','');
 QuarantineFile('C:\Program Files\LastPass\LPBar.dll','');
 QuarantineFile('C:\Program Files\MiuiTab\SupTab.dll','');
 QuarantineFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\Rar$EX00.812\winio.sys','');
 QuarantineFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\576b0aa7-86b0-41b0-a5f6-6f3d581abf73','');
 QuarantineFile('C:\Program Files\MiuiTab\IeWatchDog.dll','');
 QuarantineFile('C:\Program Files\MiuiTab\BrowerWatchFF.dll','');
 QuarantineFile('c:\program files\miuitab\protectservice.exe','');
 QuarantineFile('c:\program files\miuitab\cmdshell.exe','');
 QuarantineFile('c:\program files\miuitab\hpnotify.exe','');
 DeleteFile('C:\Program Files\MiuiTab\BrowerWatchFF.dll','32');
 DeleteFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\576b0aa7-86b0-41b0-a5f6-6f3d581abf73','32');
 DeleteFile('C:\Program Files\LastPass\LPBar.dll','32');
 DeleteFile('C:\Program Files\miuitab\browerwatchch.dll','32');
 DeleteFile('C:\Program Files\miuitab\cmdshell.exe','32');
 DeleteFile('C:\Program Files\miuitab\hpnotify.exe','32');
 DeleteFile('C:\Program Files\miuitab\iewatchdog.dll','32');
 DeleteFile('C:\Program Files\miuitab\protectservice.exe','32');
 DeleteFile('C:\Program Files\miuitab\suptab.dll','32');
 DeleteFileMask('C:\Program Files\miuitab\ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files\miuitab\',' ');
 DelBHO('51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F');
 DelBHO('95D9ECF5-2A4D-4550-BE49-70D42F71296E');
 DelBHO('9f6b5cc3-5c7b-4b5c-97af-19dec1e380e5');
 DeleteService('speccy');
 DeleteService('IHProtect Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R3 - Default URLSearchHook is missing
 

 

Сделайте новые логи по правилам (только пункт 2).
+ лог AdwCleaner
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

[serj477]

Отправил - жду ответа, потом отпишусь.

[thyrex]

Делать новые логи нужно, не дожидаясь ответа

[serj477]

Делать новые логи нужно, не дожидаясь ответа

Понятно, но уж так сложилось , что времени не хватило (дачный сезон).

теперь вот, по возможности, всё доделал а заодно и получил ответ от Касперского:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

browerwatchch.dll

BrowerWatchFF.dll,

cmdshell.exe,

IeWatchDog.dll,

LPBar.dll,

protectservice.exe,

SupTab.dll

hpnotify.exe

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

Логи привязываю, визуально проблема решена, проверьте пожалуйста логи и сообщите так ли это?

 

CollectionLog-2015.07.05-23.31.zip

AdwCleanerR0.txt

Изменено 5 июля, 2015 пользователем serj477

[thyrex]

И где же новые логи?

[serj477]

И где же новые логи?

Медленно на компе работаю, логи выше.

[serj477]

Как только увидел Search Protect почемуто решил, что проблема с браузером и сразу снёс Мозилу, теперь вот думаю, если восстановлю мозилу из сохранённого файла данных не восстановится ли Search Protect ?

[thyrex]

Сделайте лог полного сканирования МВАМ

[serj477]

Anti Malware.txt

[Roman_Five]

выберите карантин всего найденного в MBAM (кроме Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d], )
новый лог приложите

[serj477]

В карантине ставлю везде галочки, кроме Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d] и удаляю всё с галочками? Я Вас правильно понял?

Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d]  - в карантине его не вижу.

Изменено 6 июля, 2015 пользователем serj477

[Roman_Five]

 

 

Я Вас правильно понял?

да.

в карантине его не вижу.

значит, уже удалили. ничего страшного.