Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Как удалить funmoods toolbar (http://forum.oszone.net/showthread.php?t=245166)

Beautyswallow2012 21-10-2012 21:51 2009805
Как удалить funmoods toolbar
 
Коллеги,

Подскажите, пожалуйста, как удалить funmoods toolbar.

В "Удалении программ" такой программы нет; RevoUninstaller тоже не помог.

Спасибо,
Аня

alex_sev 21-10-2012 22:02 2009812
Выполните правила:

http://forum.oszone.net/thread-98169.html

Beautyswallow2012 24-10-2012 22:55 2011594
Вложений: 2
Коллеги,

все необходимые файлы в приложении. Жду обратной связи.

Спасибо,
Аня

alex_sev 25-10-2012 09:17 2011748
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}');
 DelBHO('{7815BE26-237D-41A8-A98F-F7BD75F71086}');
 DelBHO('{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}');
 DelBHO('{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}');
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0EzztDtAzy0A0C0AyBtA0FyB0D0C0DtDtN0D0Tzu0CtBzyyDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1230454680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0EzztDtAzy0A0C0AyBtA0FyB0D0C0DtDtN0D0Tzu0CtBzyyDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1230454680
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Beautyswallow2012 27-10-2012 14:51 2013194
Вложений: 2
Коллеги,

выполнив шаги, имеем следующее:

1) Выполните скрипт в АВЗ: компьютер перезагрузился, но архив quarantine.zip не появился.

2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): отсутствовали:
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll

При запуске HijackThis появилось сообщение (см. Doc1)

3) Скачайте AdwCleaner (by Xplode): файл в приложении.

Спасибо.

alex_sev 27-10-2012 15:15 2013206
Про архив это перекопировал.

HJT попробуйте запустить от имени Администратора.
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!



Подготовьте лог OTL by OldTimer

Beautyswallow2012 27-10-2012 16:56 2013267
Вложений: 1
Funmoods toolbar исчезла.

OTL by OldTimer все равно нужно подготовить? Если да, то какой код нужно копировать, если стоит Windows 7 Домашняя базовая: WINDOWS XP или WINDOWS VISTA/7 x86?

regist 27-10-2012 17:53 2013309
Цитата:
Цитата Beautyswallow2012
если стоит Windows 7 »
то разумеется Для WINDOWS VISTA/7 x64

у вас 64-х битная версия windous :)

Beautyswallow2012 28-10-2012 15:27 2013716
Спасибо за консультацию :)

Файлы не прикрепляются - пишет, что превышает размер для данного форума.

Что делать?

Спасибо.

alex_sev 28-10-2012 16:03 2013740
Запаковать в архив

Beautyswallow2012 03-11-2012 00:28 2017667
Вложений: 1
Файл 1

Beautyswallow2012 03-11-2012 00:29 2017668
Вложений: 1
Файл 2

alex_sev 03-11-2012 17:20 2017924
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0EzztDtAzy0A0C0AyBtA0FyB0D0C0DtDtN0D0Tzu0CtBzyyDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1230454680
    IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0EzztDtAzy0A0C0AyBtA0FyB0D0C0DtDtN0D0Tzu0CtBzyyDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1230454680
    IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0EzztDtAzy0A0C0AyBtA0FyB0D0C0DtDtN0D0Tzu0CtBzyyDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1230454680
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    [2012.10.21 13:24:43 | 000,290,500 | ---- | M] () -- C:\Users\1\AppData\Local\funmoods-speeddial_sf.crx
    [2012.10.21 13:24:49 | 000,290,500 | ---- | C] () -- C:\Users\1\AppData\Local\funmoods-speeddial_sf.crx

    :Services

    :Files


    ipconfig /flushdns /c

    :Reg

    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Beautyswallow2012 04-11-2012 11:13 2018354
лог

Код:
All processes killed
========== PROCESSES ==========
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
C:\Users\1\AppData\Local\funmoods-speeddial_sf.crx moved successfully.
File C:\Users\1\AppData\Local\funmoods-speeddial_sf.crx not found.
========== SERVICES/DRIVERS ==========
========== FILES ==========
< ipconfig /flushdns /c >
Ќ*бва®©Є* Їа®в®Є®«* IP ¤«п Windows
Љни б®Ї®бв*ўЁвҐ«п DNS гбЇҐи*® ®зЁйҐ*.
C:\Users\1\Downloads\cmd.bat deleted successfully.
C:\Users\1\Downloads\cmd.txt deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: 1
->Temp folder emptied: 26539276 bytes
->Temporary Internet Files folder emptied: 4284230 bytes
->FireFox cache emptied: 115848653 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 3536 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: Все пользователи
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1714065 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 119734 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51099 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 142,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11042012_110859

Files\Folders moved on Reboot...
C:\Users\1\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

alex_sev 04-11-2012 15:56 2018562
Как самочувствие системы?

  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

Beautyswallow2012 05-11-2012 16:35 2019310
Самочувствие системы хорошее. Funmoods toolbar удалился.

Results of screen317's Security Check version 0.99.54
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Kaspersky Internet Security
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Adobe Flash Player 11.4.402.287
Adobe Reader X (10.1.4)
Mozilla Firefox 15.0.1 Firefox out of Date!
Google Chrome 20.0.1132.57
Google Chrome 21.0.1180.89
Google Chrome 22.0.1229.79
Google Chrome 22.0.1229.94
````````Process Check: objlist.exe by Laurent````````
Kaspersky Lab Kaspersky Internet Security 2012 avp.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

alex_sev 05-11-2012 19:28 2019452
Обновите Firefox
Mozilla Firefox

Ознакомьтесь с этими рекомендациями:

http://forum.oszone.net/post-1838507-9.html

Beautyswallow2012 08-11-2012 19:11 2021686
Спасибо за помощь. Обновила.

Ещё нужно какие-то манипуляции производить?

alex_sev 08-11-2012 21:02 2021785
Если прочитали и ознакомились - то нет

Beautyswallow2012 09-11-2012 21:43 2022593
Спасибо большое!


Время: 22:41.

Время: 22:41.
© OSzone.net 2001-