Стартовую страницу подменили, две программы удалить не могу

@sana1971 · Регистрация: 29.09.2010

Author24 — интернет-сервис помощи студентам

Здравствуйте, устанавливал iTools и видимо скачал плохой файл, установилась куча прог и появились левые каталоги, часть удалил, а две проги MCP Cleaner и oneday... что-то там не удаляются, при запуске Хрома подменяется стартовая страница, и при открытии новых окон в строке адреса сайта проскакивает сначала какой-то левый сайт, а потом уже открывается нужный

лог ниже, помогите пожалуйста

@sana1971 · 24.04.2016, 02:16 **[ТС]**

Неужели ничего нет в логах или некому помочь?

qvad · 24.04.2016, 10:51

тут не чат, имейте терпение

@Sandor · 24.04.2016, 23:24

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя sana1971. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\f62cb7a3-1461182797-1331-0213-001e33220eca\knsf7521.tmp');
 QuarantineFile('c:\program files\f62cb7a3-1461182797-1331-0213-001e33220eca\knsf7521.tmp', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоoglе Chrome.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet Exрlоrer Вrowsеr.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlorer.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Eхplоrеr (Nо Аdd-оns).lnk', '');
 QuarantineFile('C:\Users\Александр\Desktop\Gоoglе Сhrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоoglе Сhrome.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFileF('C:\Users\Александр\AppData\Roaming\Browsers', '*', true, '', 0, 0);
 DeleteFile('c:\program files\f62cb7a3-1461182797-1331-0213-001e33220eca\knsf7521.tmp', '32');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFileMask('C:\Users\Александр\AppData\Roaming\Browsers', '*', true);
 DeleteDirectory('C:\Users\Александр\AppData\Roaming\Browsers');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@sana1971 · 27.04.2016, 01:22 **[ТС]**

сделал

@Sandor · 27.04.2016, 09:46

Еще п.4, пожалуйста.

@sana1971 · 27.04.2016, 16:27 **[ТС]**

так?

@Sandor · 27.04.2016, 16:35

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@sana1971 · 27.04.2016, 23:57 **[ТС]**

сделал

@Sandor · 28.04.2016, 08:28

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Search App by Ask

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
HKLM\...\Run: [mpck_en_005030304] => [X]
ShortcutTarget: Vitrite.lnk -> C:\Users\Александр\Documents\Australia, Sydney\Vitrite\Vitrite.exe (No File)
GroupPolicyUsers\S-1-5-21-1884721018-1896976349-257099841-1000\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1884721018-1896976349-257099841-1002 -> No Name - {E5A1E26F-0D1D-4307-868F-FBD9A374AB54} -  No File
Toolbar: HKU\S-1-5-21-1884721018-1896976349-257099841-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF HKU\.DEFAULT\...\Firefox\Extensions: [lyrmix@lyrmix.net] - C:\Program Files\Lyrmix\FF => not found
CHR HomePage: Default -> search.ask.com/?gct=hp
CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.ask.com
CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
2016-04-20 15:14 - 2016-04-20 15:14 - 00052968 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
2016-04-20 15:14 - 2016-04-20 15:14 - 00029032 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCBase.sys
2016-04-20 15:02 - 2016-04-20 22:58 - 00000000 ____D C:\Program Files\MPC Cleaner
2016-04-20 15:01 - 2016-04-20 15:01 - 00000000 ____D C:\Users\Александр\AppData\Roaming\Browsers
2016-04-20 15:01 - 2016-04-20 15:01 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN
Task: {817C1F88-5121-4FA2-A351-52E820F89B56} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
Task: {A4EE38CA-9984-4FF7-B326-A76B533FDD96} - \Update Service for Torrent Search -> No File <==== ATTENTION
FirewallRules: [TCP Query User{E33F3A8B-3BBF-47EE-BB47-D455D78CD441}C:\users\ксюша\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\ксюша\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{EFBD9542-99DC-440D-A55D-61C01B71FBEB}C:\users\ксюша\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\ксюша\appdata\local\mediaget2\mediaget.exe
FirewallRules: [TCP Query User{569B2BB5-1EBD-4906-A972-78842693A48D}C:\users\ксюша\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\ксюша\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{F8A8DEE9-AFE5-45A2-9905-BF6BF568C650}C:\users\ксюша\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\ксюша\appdata\local\mediaget2\mediaget.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@sana1971 · 28.04.2016, 15:26 **[ТС]**

MCP Cleaner и oneday... удалились, в трее MPC Cleaner тоже исчез, от него остался только ярлык на Рабочем столе, я его удалил
Страницы в Хроме открываются медленнее, но это думаю потому что все мозги ему почистили, промежуточного сайта не заметил
лог ниже

ПРЕМНОГО БЛАГОДАРЕН

@Sandor · 28.04.2016, 16:19

Судя по логу, хвосты еще остались.

Подготовьте лог uVS.

@sana1971 · 29.04.2016, 02:25 **[ТС]**

вот

@Sandor · 29.04.2016, 10:38

Выполните скрипт в UVS.

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v385c
BREG
zoo %SystemDrive%\PROGRAM FILES\MPC CLEANER\MPC.EXE
bl 65BB43F2E4A2636D120FFCA9E1908906 167392
addsgn 1A79729A5583948EF42B51945C0A5205DAAFC834C9FAE05DB50185BCAFF35D8E63173C721697DD49D4A56C5D0616B6DF5D1DA872AAFFACEE6D775B0ADFC46273 8 MPC

delall %SystemDrive%\USERS\КСЮША\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
delall %SystemDrive%\USERS\КСЮША\APPDATA\LOCAL\SUPERFAST\TRAY\SFTRAYICON.EXE
delref HTTP:\\STATIC.FYZAQYNOMOW.COM\AG\?D=001E33220ECA9014___Z=1___RD=C6CFB880B7394706848AC692673A3A11___CD=DS
delref HTTP://SEARCH.CONDUIT.COM/RESULTSEXT.ASPX?Q={SEARCHTERMS}&SEARCHSOURCE=4&CTID=CT1572363
delref HTTP://127.0.0.1:4664/SEARCH&S=ZRRDMJR0Q9Y2SRUJ5E9NRP0OLBG?Q={SEARCHTERMS}
deldir %SystemDrive%\PROGRAM FILES\MPC CLEANER
chklst
delvir

czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте контрольный лог uVS.

@sana1971 · 29.04.2016, 16:26 **[ТС]**

сделал

@Sandor · 29.04.2016, 21:55

Проблема решена?

@sana1971 · 30.04.2016, 04:40 **[ТС]**

Внешне - да
Спасибо огромное

@sana1971 · 30.04.2016, 04:42 **[ТС]**

вот еще образ, последний

@Sandor · 30.04.2016, 15:36

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@sana1971 0 / 0 / 0 Регистрация: 29.09.2010 Сообщений: 46
	24.04.2016, 02:16 [ТС]	2
	Неужели ничего нет в логах или некому помочь? 0

qvad 21304 / 12114 / 653 Регистрация: 11.04.2010 Сообщений: 53,466
	24.04.2016, 10:51	3
	тут не чат, имейте терпение 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,021
	27.04.2016, 09:46	6
	Еще п.4, пожалуйста. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,021
	27.04.2016, 16:35	8
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,021
	28.04.2016, 16:19	12
	Судя по логу, хвосты еще остались. Подготовьте лог uVS. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,021
	29.04.2016, 10:38	14
	Выполните скрипт в UVS. Код ;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.0 v385c BREG zoo %SystemDrive%\PROGRAM FILES\MPC CLEANER\MPC.EXE bl 65BB43F2E4A2636D120FFCA9E1908906 167392 addsgn 1A79729A5583948EF42B51945C0A5205DAAFC834C9FAE05DB50185BCAFF35D8E63173C721697DD49D4A56C5D0616B6DF5D1DA872AAFFACEE6D775B0ADFC46273 8 MPC delall %SystemDrive%\USERS\КСЮША\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE delall %SystemDrive%\USERS\КСЮША\APPDATA\LOCAL\SUPERFAST\TRAY\SFTRAYICON.EXE delref HTTP:\\STATIC.FYZAQYNOMOW.COM\AG\?D=001E33220ECA9014___Z=1___RD=C6CFB880B7394706848AC692673A3A11___CD=DS delref HTTP://SEARCH.CONDUIT.COM/RESULTSEXT.ASPX?Q={SEARCHTERMS}&SEARCHSOURCE=4&CTID=CT1572363 delref HTTP://127.0.0.1:4664/SEARCH&S=ZRRDMJR0Q9Y2SRUJ5E9NRP0OLBG?Q={SEARCHTERMS} deldir %SystemDrive%\PROGRAM FILES\MPC CLEANER chklst delvir czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Сделайте контрольный лог uVS. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,021
	29.04.2016, 21:55	16
	Проблема решена? 0

@sana1971 0 / 0 / 0 Регистрация: 29.09.2010 Сообщений: 46
	30.04.2016, 04:40 [ТС]	17
	Внешне - да Спасибо огромное 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,021
	30.04.2016, 15:36	19
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0