Перейти к содержанию
Правила раздела

Удалить Search Protect

serj477

Автор serj477
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

serj477

serj477

Опубликовано
Опубликовано

не получается удалить вредоносное ПО, скачанное попутно с нормальной прогой.qpjF8O0m.png

 

Прошу помощи в диагностике и лечении.

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\program files\miuitab\protectservice.exe');
 TerminateProcessByName('c:\program files\miuitab\cmdshell.exe');
 TerminateProcessByName('c:\program files\miuitab\hpnotify.exe');
 SetServiceStart('speccy', 4);
 SetServiceStart('IHProtect Service', 4);
 StopService('IHProtect Service');
 QuarantineFile('C:\Program Files\miuitab\browerwatchch.dll','');
 QuarantineFile('C:\Program Files\LastPass\LPBar.dll','');
 QuarantineFile('C:\Program Files\MiuiTab\SupTab.dll','');
 QuarantineFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\Rar$EX00.812\winio.sys','');
 QuarantineFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\576b0aa7-86b0-41b0-a5f6-6f3d581abf73','');
 QuarantineFile('C:\Program Files\MiuiTab\IeWatchDog.dll','');
 QuarantineFile('C:\Program Files\MiuiTab\BrowerWatchFF.dll','');
 QuarantineFile('c:\program files\miuitab\protectservice.exe','');
 QuarantineFile('c:\program files\miuitab\cmdshell.exe','');
 QuarantineFile('c:\program files\miuitab\hpnotify.exe','');
 DeleteFile('C:\Program Files\MiuiTab\BrowerWatchFF.dll','32');
 DeleteFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\576b0aa7-86b0-41b0-a5f6-6f3d581abf73','32');
 DeleteFile('C:\Program Files\LastPass\LPBar.dll','32');
 DeleteFile('C:\Program Files\miuitab\browerwatchch.dll','32');
 DeleteFile('C:\Program Files\miuitab\cmdshell.exe','32');
 DeleteFile('C:\Program Files\miuitab\hpnotify.exe','32');
 DeleteFile('C:\Program Files\miuitab\iewatchdog.dll','32');
 DeleteFile('C:\Program Files\miuitab\protectservice.exe','32');
 DeleteFile('C:\Program Files\miuitab\suptab.dll','32');
 DeleteFileMask('C:\Program Files\miuitab\ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files\miuitab\',' ');
 DelBHO('51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F');
 DelBHO('95D9ECF5-2A4D-4550-BE49-70D42F71296E');
 DelBHO('9f6b5cc3-5c7b-4b5c-97af-19dec1e380e5');
 DeleteService('speccy');
 DeleteService('IHProtect Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R3 - Default URLSearchHook is missing
 
 
Сделайте новые логи по правилам (только пункт 2).
+ лог AdwCleaner
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

thyrex

thyrex

Опубликовано
Опубликовано

Делать новые логи нужно, не дожидаясь ответа

serj477

serj477

Опубликовано
  • Автор
Опубликовано (изменено)

Делать новые логи нужно, не дожидаясь ответа

Понятно, но уж так сложилось , что времени не хватило (дачный сезон).

теперь вот, по возможности, всё доделал а заодно и получил ответ от Касперского:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

browerwatchch.dll

BrowerWatchFF.dll,

cmdshell.exe,

IeWatchDog.dll,

LPBar.dll,

protectservice.exe,

SupTab.dll

hpnotify.exe

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

Логи привязываю, визуально проблема решена, проверьте пожалуйста логи и сообщите так ли это?

 

CollectionLog-2015.07.05-23.31.zip

AdwCleanerR0.txt

Изменено пользователем serj477
serj477

serj477

Опубликовано
  • Автор
Опубликовано

И где же новые логи?

Медленно на компе работаю, логи выше.

serj477

serj477

Опубликовано
  • Автор
Опубликовано

Как только увидел Search Protect почемуто решил, что проблема с браузером и сразу снёс Мозилу, теперь вот думаю, если восстановлю мозилу из сохранённого файла данных не восстановится ли Search Protect ?

Roman_Five

Roman_Five

Опубликовано
Опубликовано

выберите карантин всего найденного в MBAM (кроме Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d], )
новый лог приложите

serj477

serj477

Опубликовано
  • Автор
Опубликовано (изменено)

В карантине ставлю везде галочки, кроме Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d] и удаляю всё с галочками? Я Вас правильно понял?

Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d]  - в карантине его не вижу.

Изменено пользователем serj477
Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


Я Вас правильно понял?

да.

в карантине его не вижу.


значит, уже удалили. ничего страшного.
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zzzzz
      Не удается удалить расширения Find-it.Pro Search и T-Cashback
      Автор Zzzzz
      Добрый день. В Яндекс Браузере самопроизвольно загружаются расширения Find-it.Pro Search и T-Cashback, после их удаления, при повторном открытии браузера они снова появляются. Антивирус ничего не находит, удаление и повторная установка браузера не помогает, в автозагрузке практически все отключено, синхронизация в браузере тоже отключена.

    • Екатерина12165
      Троян не удалился
      Автор Екатерина12165
      Всем привет. У меня винда 11.
      Недавно появились такие файлы и папки с иконкой моего антивирусника, но со странными названия, внутри папок был текст на латинице. Мой антивирусник "pro 32 ultimate security" не нашел вирусов. Прогнала ноут через DR.WEB он нашел вирус, после удаления и перезарузки ноута, файлы остались. Скачала касперского, тот нашел троян, также три раза прогнала через проверку, в первый раз якобы удалился троян и вирусы, а в след. разы пыталась таким способом удалить файлы, которые остались, также 0 результата, хотя вирусы вроде бы удалились, но что меня пугает это остаточные файлы и папки, они обновляются ежедневно. 
      Ранее скачивала через проверенный торрент игрушки... Мб из-за этого словила вирусы.
      Также Ярлыки и игрушки купленные в стиме открываются раз через раз, + иногда рабочий стол не откликается, просто не кликается.
      По поводу ярлыков и приложений, через диспетчер задач снимала их, после пыталась открыть, но без результата, помогала только перезагрузка на +- 2-3 раз. 
      Помогите, пожалуйста, убрать всё таки вирусы или трояны.  



    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • andr-illarionov
      Удалить AVAST
      Автор andr-illarionov
      Добрый день!
       
      Подскажите ка удалить остатки Avast Premier c ПК для того чтобы установить Касперского.
      В "Программах и компонентах" - его нет. В реестре тоже почистил, но Kaspersky Premium не устанавливается, что-то в реестре мешает.
    • essence2234
      Удалились ли трояны?
      Автор essence2234
      После распаковки архива со скачанным с Интернета ПО в папку Defender обнаружил два трояна: Trojan:Win32/Phonzy.A!ml и Trojan:Win32/Sisproc!rts.
      После полного скана файлов переместил оба из них в карантин. Можно ли проверить, не осталось ли от них что-то на компе?
      Других угроз не было обнаружено.
×
×
  • Создать...