Перейти к содержанию
Правила раздела

Удалить Search Protect

serj477

Автор serj477,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

serj477

serj477 0

Опубликовано
Опубликовано

не получается удалить вредоносное ПО, скачанное попутно с нормальной прогой.qpjF8O0m.png

 

Прошу помощи в диагностике и лечении.

Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\program files\miuitab\protectservice.exe');
 TerminateProcessByName('c:\program files\miuitab\cmdshell.exe');
 TerminateProcessByName('c:\program files\miuitab\hpnotify.exe');
 SetServiceStart('speccy', 4);
 SetServiceStart('IHProtect Service', 4);
 StopService('IHProtect Service');
 QuarantineFile('C:\Program Files\miuitab\browerwatchch.dll','');
 QuarantineFile('C:\Program Files\LastPass\LPBar.dll','');
 QuarantineFile('C:\Program Files\MiuiTab\SupTab.dll','');
 QuarantineFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\Rar$EX00.812\winio.sys','');
 QuarantineFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\576b0aa7-86b0-41b0-a5f6-6f3d581abf73','');
 QuarantineFile('C:\Program Files\MiuiTab\IeWatchDog.dll','');
 QuarantineFile('C:\Program Files\MiuiTab\BrowerWatchFF.dll','');
 QuarantineFile('c:\program files\miuitab\protectservice.exe','');
 QuarantineFile('c:\program files\miuitab\cmdshell.exe','');
 QuarantineFile('c:\program files\miuitab\hpnotify.exe','');
 DeleteFile('C:\Program Files\MiuiTab\BrowerWatchFF.dll','32');
 DeleteFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\576b0aa7-86b0-41b0-a5f6-6f3d581abf73','32');
 DeleteFile('C:\Program Files\LastPass\LPBar.dll','32');
 DeleteFile('C:\Program Files\miuitab\browerwatchch.dll','32');
 DeleteFile('C:\Program Files\miuitab\cmdshell.exe','32');
 DeleteFile('C:\Program Files\miuitab\hpnotify.exe','32');
 DeleteFile('C:\Program Files\miuitab\iewatchdog.dll','32');
 DeleteFile('C:\Program Files\miuitab\protectservice.exe','32');
 DeleteFile('C:\Program Files\miuitab\suptab.dll','32');
 DeleteFileMask('C:\Program Files\miuitab\ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files\miuitab\',' ');
 DelBHO('51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F');
 DelBHO('95D9ECF5-2A4D-4550-BE49-70D42F71296E');
 DelBHO('9f6b5cc3-5c7b-4b5c-97af-19dec1e380e5');
 DeleteService('speccy');
 DeleteService('IHProtect Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680
R3 - Default URLSearchHook is missing
 
 
Сделайте новые логи по правилам (только пункт 2).
+ лог AdwCleaner
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

Ссылка на сообщение
Поделиться на другие сайты
serj477

serj477 0

Опубликовано
  • Автор
Опубликовано (изменено)

Делать новые логи нужно, не дожидаясь ответа

Понятно, но уж так сложилось , что времени не хватило (дачный сезон).

теперь вот, по возможности, всё доделал а заодно и получил ответ от Касперского:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

browerwatchch.dll

BrowerWatchFF.dll,

cmdshell.exe,

IeWatchDog.dll,

LPBar.dll,

protectservice.exe,

SupTab.dll

hpnotify.exe

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

Логи привязываю, визуально проблема решена, проверьте пожалуйста логи и сообщите так ли это?

 

CollectionLog-2015.07.05-23.31.zip

AdwCleanerR0.txt

Изменено пользователем serj477
Ссылка на сообщение
Поделиться на другие сайты
serj477

serj477 0

Опубликовано
  • Автор
Опубликовано

Как только увидел Search Protect почемуто решил, что проблема с браузером и сразу снёс Мозилу, теперь вот думаю, если восстановлю мозилу из сохранённого файла данных не восстановится ли Search Protect ?

Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано

выберите карантин всего найденного в MBAM (кроме Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d], )
новый лог приложите

Ссылка на сообщение
Поделиться на другие сайты
serj477

serj477 0

Опубликовано
  • Автор
Опубликовано (изменено)

В карантине ставлю везде галочки, кроме Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d] и удаляю всё с галочками? Я Вас правильно понял?

Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d]  - в карантине его не вижу.

Изменено пользователем serj477
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...