Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Как победить mystartsearch.com? (http://forum.oszone.net/showthread.php?t=303554)

Jingls 06-08-2015 17:22 2537945
Как победить mystartsearch.com?
 
Вложений: 1
В общем, словили мне на бук эту беду. Удалил через Revo Uninstaller, настройки хрома сбросил на дефолтные и синхронизировался. Проход Comodo'м ничего не дал, а дрянь эта периодически вылазит снова. Поиском нашёл 4 похожих темы, логи выкладываю.

icotonev 06-08-2015 18:02 2537954
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files\miuitab\cmdshell.exe');
TerminateProcessByName('c:\program files\miuitab\hpnotify.exe');
TerminateProcessByName('c:\program files\miuitab\protectservice.exe');
TerminateProcessByName('c:\programdata\xwinmanprox\protectwindowsmanager.exe');
 QuarantineFile('c:\program files\miuitab\cmdshell.exe', '');
 QuarantineFile('c:\program files\miuitab\hpnotify.exe', '');
 QuarantineFile('c:\program files\miuitab\protectservice.exe', '');
 QuarantineFile('c:\programdata\xwinmanprox\protectwindowsmanager.exe', '');
 QuarantineFile('C:\Program Files\MiuiTab\SupTab.dll', '');
 QuarantineFile('C:\Program Files\MiuiTab\BrowserAction.dll', '');
 QuarantineFile('C:\Program Files\MiuiTab\IeWatchDog.dll', '');
 QuarantineFile('C:\Program Files\MiuiTab\BrowerWatchCH.dll', '');
DeleteFile('c:\program files\miuitab\cmdshell.exe');
DeleteFile('c:\program files\miuitab\hpnotify.exe');
DeleteFile('c:\program files\miuitab\protectservice.exe');
DeleteFile('c:\programdata\xwinmanprox\protectwindowsmanager.exe');
DeleteFile('C:\Program Files\MiuiTab\SupTab.dll');
DeleteFile('C:\Program Files\MiuiTab\BrowserAction.dll');
DeleteFile('C:\Program Files\MiuiTab\IeWatchDog.dll');
DeleteFile('C:\Program Files\MiuiTab\BrowerWatchCH.dll');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(false);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.





Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Jingls 06-08-2015 20:30 2538031
Вложений: 1
После выполнения скрипта в AVZ в папке нет никакого quarantine.zip. Есть папка Quarantine, в ней папка с датой проверки, а в ней куча *.ini и *.dta. Лог ClearLNK прилагаю.

icotonev 06-08-2015 20:47 2538033
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

+

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Jingls 06-08-2015 21:26 2538045
Вложений: 3
Готово!

icotonev 06-08-2015 21:32 2538048
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Jingls 06-08-2015 21:50 2538061
Вложений: 1
Вот, отчёт. А что, всё-таки, с AVZ было?

icotonev 06-08-2015 22:47 2538091
Вложений: 1
Скачать файл fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Jingls 06-08-2015 23:16 2538113
Вложений: 1
Есть!

iskander-k 07-08-2015 00:14 2538150
Цитата:
Цитата Jingls
А что, всё-таки, с AVZ было? »
Ничего страшного просто в общий скрипт не вставилась команда

После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл.... и т.д

сейчас уже не нужно выполнять

icotonev 07-08-2015 07:40 2538205
Проблема решена?

Jingls 07-08-2015 12:31 2538306
Да, всё в порядке. Спасибо огромное. Правда, убил Speed Dial, но это мелочи.

icotonev 07-08-2015 16:42 2538435
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Удалите папку FRSIT.
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.


Время: 18:55.

Время: 18:55.
© OSzone.net 2001-