Megogo

@Dynamo_kh_ · Регистрация: 03.05.2015

Author24 — интернет-сервис помощи студентам

снова та же ерунда, уже когда-то такое было, плюс ко всему целая куча программ от майл.ру типа амиго и службы автоматического обновления программ, плюс ко всему в опере появились несколько левых расширений (GoHD и Shop and Save Up), я их удалил, при следующем запуске браузера они снова там. В клинере заметил также левые программы game desktop и goHD

@Sandor · 16.11.2015, 16:45

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Dynamo_kh_. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

CinemaPlus-3.2cV03.04
Compatible Web Directory
GoHD
Remote Desktop Access (VuuPC)
Shop and Save Up
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\1e1908c0-1447609266-11dd-a40d-7824af42ed41\hnsz21e5.tmp');
 TerminateProcessByName('c:\program files (x86)\1e1908c0-1447609266-11dd-a40d-7824af42ed41\jnspa7d.tmp');
 TerminateProcessByName('c:\program files (x86)\1e1908c0-1447609266-11dd-a40d-7824af42ed41\knskf246.tmpfs');
 TerminateProcessByName('c:\users\leo\appdata\local\1e1908c0-1447620089-11dd-a40d-7824af42ed41\qnsrab7d.tmp');
 StopService('decetere');
 StopService('hidekoqe');
 StopService('zoqowiqi');
 QuarantineFile('c:\program files (x86)\1e1908c0-1447609266-11dd-a40d-7824af42ed41\hnsz21e5.tmp', '');
 QuarantineFile('c:\program files (x86)\1e1908c0-1447609266-11dd-a40d-7824af42ed41\jnspa7d.tmp', '');
 QuarantineFile('c:\program files (x86)\1e1908c0-1447609266-11dd-a40d-7824af42ed41\knskf246.tmpfs', '');
 QuarantineFile('c:\users\leo\appdata\local\1e1908c0-1447620089-11dd-a40d-7824af42ed41\qnsrab7d.tmp', '');
 QuarantineFile('C:\Program Files (x86)\punto.bat', '');
 QuarantineFile('C:\launcher.bat','');
 QuarantineFile('C:\Users\LEO\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('E:\launcher.bat','');
 QuarantineFile('C:\Program Files (x86)\diary.bat','');
 QuarantineFile('C:\Program Files (x86)\layouts.bat','');
 QuarantineFile('C:\Program Files (x86)\WelcomeToPunto.bat','');
 QuarantineFile('C:\Program Files (x86)\ps.bat','');
 QuarantineFile('C:\Users\LEO\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('C:\Users\LEO\AppData\Roaming\JGSRF.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "JGSRF.job" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\1e1908c0-1447609266-11dd-a40d-7824af42ed41\hnsz21e5.tmp', '32');
 DeleteFile('c:\program files (x86)\1e1908c0-1447609266-11dd-a40d-7824af42ed41\jnspa7d.tmp', '32');
 DeleteFile('c:\program files (x86)\1e1908c0-1447609266-11dd-a40d-7824af42ed41\knskf246.tmpfs', '32');
 DeleteFile('c:\users\leo\appdata\local\1e1908c0-1447620089-11dd-a40d-7824af42ed41\qnsrab7d.tmp', '32');
 DeleteFile('C:\Program Files (x86)\punto.bat', '32');
 DeleteFile('C:\launcher.bat','32');
 DeleteFile('C:\Users\LEO\AppData\Local\Yandex\browser.bat','');
 DeleteFile('E:\launcher.bat','');
 DeleteFile('C:\Program Files (x86)\diary.bat','32');
 DeleteFile('C:\Program Files (x86)\layouts.bat','32');
 DeleteFile('C:\Program Files (x86)\WelcomeToPunto.bat','32');
 DeleteFile('C:\Program Files (x86)\ps.bat','32');
 DeleteFile('C:\Users\LEO\AppData\Local\Yandex\browser.bat', '32');
 DeleteFile('C:\Users\LEO\AppData\Roaming\JGSRF.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
 DeleteService('decetere');
 DeleteService('hidekoqe');
 DeleteService('zoqowiqi');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@Dynamo_kh_ · 17.11.2015, 00:07 **[ТС]**

все программы удалил выполнил все действия, у меня еще проблема - ошибку выбивает, видимо что-то с проводником

@Dynamo_kh_ · 17.11.2015, 00:09 **[ТС]**

и в панеле задач теперь 2 оперы отображаются

@Sandor · 17.11.2015, 09:51

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Dynamo_kh_ · 17.11.2015, 22:10 **[ТС]**

выполнил

@Sandor · 18.11.2015, 10:32

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
() C:\ProgramData\Bamcof\Bamcof.exe
C:\ProgramData\Bamcof\Bamcof.exe
() C:\ProgramData\Zitenop\Zitenop.exe
C:\ProgramData\Zitenop\Zitenop.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-3127174935-1560932777-208477116-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B220d2-X1GHc82AemU63886CPTothRqa-00puxDnkOAVXtLx3YfKQWFND_PdtWZb_H8u9a0SGkZCV2BGGqrcNgV8o1RHz0ORtfoD8j4iY3T3Vb2xzEELE-0AIWqFGk9DKaLRC9A4Q8piMHSUESRuXgnUfKs2L&q={searchTerms}
HKU\S-1-5-21-3127174935-1560932777-208477116-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B220d2-X1GHc82AemU63886CPTothRqa-00puxDnkOAVXtLx3YfKQWFND_PdtWZb_H8u9a0SGkZCV2BGGqrcNgV8o1RHz0ORtfoD8j4iY3T3Vb2xzEELE-0AIWqFGk9DKaLRC9A4Q8piMHSUESRuXgnUfKs2L&q={searchTerms}
HKU\S-1-5-21-3127174935-1560932777-208477116-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B220d2-X1GHc82AemU63886CPTothRqa-00puxDnkOAVXtLx3YfKQWFND_PdtWZb_H8u9a0SGkZCV2BGGqrcNgV8o1RHz0ORtfoD8j4iY3T3Vb2xzEELE-0AIWqFGk9DKaLRC9A4Q8piMHSUESRuXgnUfKs2L&q={searchTerms}
FF NewTab: C:\ProgramData\Zitenops\ff.NT
FF Homepage: C:\ProgramData\Zitenops\ff.HP
R2 Bamcof; C:\ProgramData\\Bamcof\\Bamcof.exe [497152 2015-11-15] () [File not signed]
R2 Zitenop; C:\ProgramData\\Zitenop\\Zitenop.exe [807936 2015-10-25] () [File not signed]
S2 eproduct; C:\Users\LEO\AppData\Local\Lottexon.exe eebxpdate eproduct [X]
S2 ginoquci; C:\Users\LEO\AppData\Local\Temp\nsbE870.tmp [X]
2015-11-16 13:31 - 2015-11-16 23:03 - 00000000 ____D C:\Users\Все пользователи\Zitenop
2015-11-16 13:31 - 2015-11-16 23:03 - 00000000 ____D C:\ProgramData\Zitenop
2015-11-16 13:31 - 2015-11-16 13:31 - 00000000 ____D C:\Users\Все пользователи\Zitenops
2015-11-16 13:31 - 2015-11-16 13:31 - 00000000 ____D C:\ProgramData\Zitenops
2015-11-16 02:08 - 2015-11-16 23:03 - 00000000 ____D C:\Users\Все пользователи\Bamcof
2015-11-16 02:08 - 2015-11-16 23:03 - 00000000 ____D C:\ProgramData\Bamcof
2015-11-16 02:08 - 2015-11-16 02:08 - 02813314 _____ C:\Program Files\Common Files\aewlyo0l.exe
2015-11-16 02:08 - 2015-11-16 02:08 - 00000000 ____D C:\Users\Все пользователи\Bamcofs
2015-11-16 02:08 - 2015-11-16 02:08 - 00000000 ____D C:\ProgramData\Bamcofs
2015-11-16 02:08 - 2015-11-16 02:08 - 00000000 ____D C:\Program Files\Common Files\peze05xw
2015-11-15 19:55 - 2015-11-16 22:22 - 00001328 _____ C:\Windows\Tasks\JGSRF.job
2015-11-15 19:50 - 2015-11-16 01:40 - 00000098 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-15 19:50 - 2015-11-16 01:40 - 00000098 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-15 19:23 - 2015-11-15 19:23 - 00000000 ____D C:\Users\LEO\AppData\Roaming\ProductData
2015-11-15 19:22 - 2015-11-15 19:24 - 00000000 ____D C:\Users\Все пользователи\ProductData
2015-11-15 19:22 - 2015-11-15 19:24 - 00000000 ____D C:\Users\Все пользователи\IObit
2015-11-15 19:22 - 2015-11-15 19:24 - 00000000 ____D C:\ProgramData\ProductData
2015-11-15 19:22 - 2015-11-15 19:24 - 00000000 ____D C:\ProgramData\IObit
2015-11-15 19:22 - 2015-11-15 19:22 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2015-11-15 19:22 - 2015-11-15 19:22 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-11-15 19:22 - 2015-11-15 19:22 - 00000000 ____D C:\Users\LEO\AppData\Roaming\IObit
2015-11-15 19:22 - 2015-11-15 19:22 - 00000000 ____D C:\Users\LEO\AppData\Roaming\Apple Computer
2015-11-15 19:22 - 2015-11-15 19:22 - 00000000 ____D C:\Users\LEO\AppData\LocalLow\IObit
2015-11-15 19:22 - 2015-11-15 19:22 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-11-15 19:20 - 2015-02-04 13:35 - 01626424 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe
2015-11-15 19:20 - 2015-02-04 13:35 - 00291128 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe
Task: {3339C1E8-4C7C-4DEC-8A13-736B99196727} - System32\Tasks\Browser Total => Rundll32.exe "C:\Users\LEO\AppData\Local\Browser Total\xBin\BrowserTotal.dll",#3 <==== ATTENTION
Task: C:\Windows\Tasks\JGSRF.job => C:\Users\LEO\AppData\Roaming\JGSRF.exe <==== ATTENTION
AlternateDataStreams: C:\Windows\Temp:$DATA
FirewallRules: [{F89023DB-188A-40E6-8A63-18ECB7D8EF70}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{7F3C3226-7F9C-40F2-A7DA-37C6B74715FD}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@Dynamo_kh_ · 18.11.2015, 23:01 **[ТС]**

выполнил

@Dynamo_kh_ · 18.11.2015, 23:07 **[ТС]**

мегого уже не появляется при старте браузера, но при запуске FRST вылазило сообщение об ошибке

@Sandor · 19.11.2015, 10:03

Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

2.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Dynamo_kh_ · 19.11.2015, 22:54 **[ТС]**

выполнил

@Sandor · 20.11.2015, 00:01

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17914 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.2.38397 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u66-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.8.0.870 Внимание! Скачать обновления
Adobe Flash Player 19 NPAPI v.19.0.0.245
Adobe Flash Player 19 PPAPI v.19.0.0.245
Adobe Acrobat Reader DC - Russian v.15.009.20069 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.15.10.2454.3658
Opera Stable 33.0.1990.115 v.33.0.1990.115
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Opera\33.0.1990.115\opera.exe v.33.0.1990.115
---------------------------- [ UnwantedApps ] -----------------------------
VKMusic 4 v.4.64 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Skype Click to Call v.7.3.16540.9015 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

@Dynamo_kh_ · 20.11.2015, 23:09 **[ТС]**

все обновил, проблема решена, спс за помощь!

@Sandor · 20.11.2015, 23:48

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Удачи!

@Dynamo_kh_ 0 / 0 / 0 Регистрация: 03.05.2015 Сообщений: 90
	17.11.2015, 00:09 [ТС]	4
	и в панеле задач теперь 2 оперы отображаются Миниатюры 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	17.11.2015, 09:51	5
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Dynamo_kh_ 0 / 0 / 0 Регистрация: 03.05.2015 Сообщений: 90
	18.11.2015, 23:07 [ТС]	9
	мегого уже не появляется при старте браузера, но при запуске FRST вылазило сообщение об ошибке Миниатюры 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	19.11.2015, 10:03	10
	Завершаем: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. 2. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	20.11.2015, 00:01	12
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17914 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.2.38397 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u66-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.3.8.0.870 Внимание! Скачать обновления Adobe Flash Player 19 NPAPI v.19.0.0.245 Adobe Flash Player 19 PPAPI v.19.0.0.245 Adobe Acrobat Reader DC - Russian v.15.009.20069 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Yandex v.15.10.2454.3658 Opera Stable 33.0.1990.115 v.33.0.1990.115 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Opera\33.0.1990.115\opera.exe v.33.0.1990.115 ---------------------------- [ UnwantedApps ] ----------------------------- VKMusic 4 v.4.64 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. Skype Click to Call v.7.3.16540.9015 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. 0

@Dynamo_kh_ 0 / 0 / 0 Регистрация: 03.05.2015 Сообщений: 90
	20.11.2015, 23:09 [ТС]	13
	все обновил, проблема решена, спс за помощь! 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	20.11.2015, 23:48	14
	Прочтите и выполните Рекомендации после удаления вредоносного ПО Удачи! 0