Стартовую страницу подменили, две программы удалить не могу

@sana1971 · Регистрация: 29.09.2010

Студворк — интернет-сервис помощи студентам

Здравствуйте, устанавливал iTools и видимо скачал плохой файл, установилась куча прог и появились левые каталоги, часть удалил, а две проги MCP Cleaner и oneday... что-то там не удаляются, при запуске Хрома подменяется стартовая страница, и при открытии новых окон в строке адреса сайта проскакивает сначала какой-то левый сайт, а потом уже открывается нужный

лог ниже, помогите пожалуйста

@sana1971 · 24.04.2016, 02:16 **[ТС]**

Неужели ничего нет в логах или некому помочь?

qvad · 24.04.2016, 10:51

тут не чат, имейте терпение

@Sandor · 24.04.2016, 23:24

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя sana1971. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\f62cb7a3-1461182797-1331-0213-001e33220eca\knsf7521.tmp');
 QuarantineFile('c:\program files\f62cb7a3-1461182797-1331-0213-001e33220eca\knsf7521.tmp', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоoglе Chrome.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet Exрlоrer Вrowsеr.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlorer.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Eхplоrеr (Nо Аdd-оns).lnk', '');
 QuarantineFile('C:\Users\Александр\Desktop\Gоoglе Сhrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоoglе Сhrome.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFileF('C:\Users\Александр\AppData\Roaming\Browsers', '*', true, '', 0, 0);
 DeleteFile('c:\program files\f62cb7a3-1461182797-1331-0213-001e33220eca\knsf7521.tmp', '32');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFileMask('C:\Users\Александр\AppData\Roaming\Browsers', '*', true);
 DeleteDirectory('C:\Users\Александр\AppData\Roaming\Browsers');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@sana1971 · 27.04.2016, 01:22 **[ТС]**

сделал

@Sandor · 27.04.2016, 09:46

Еще п.4, пожалуйста.

@sana1971 · 27.04.2016, 16:27 **[ТС]**

так?

@Sandor · 27.04.2016, 16:35

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@sana1971 · 27.04.2016, 23:57 **[ТС]**

сделал

@Sandor · 28.04.2016, 08:28

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Search App by Ask

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file
start
CreateRestorePoint:
HKLM\...\Run: [mpck_en_005030304] => [X]
ShortcutTarget: Vitrite.lnk -> C:\Users\Александр\Documents\Australia, Sydney\Vitrite\Vitrite.exe (No File)
GroupPolicyUsers\S-1-5-21-1884721018-1896976349-257099841-1000\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1884721018-1896976349-257099841-1002 -> No Name - {E5A1E26F-0D1D-4307-868F-FBD9A374AB54} -  No File
Toolbar: HKU\S-1-5-21-1884721018-1896976349-257099841-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF HKU\.DEFAULT\...\Firefox\Extensions: [lyrmix@lyrmix.net] - C:\Program Files\Lyrmix\FF => not found
CHR HomePage: Default -> search.ask.com/?gct=hp
CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.ask.com
CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
2016-04-20 15:14 - 2016-04-20 15:14 - 00052968 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
2016-04-20 15:14 - 2016-04-20 15:14 - 00029032 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCBase.sys
2016-04-20 15:02 - 2016-04-20 22:58 - 00000000 ____D C:\Program Files\MPC Cleaner
2016-04-20 15:01 - 2016-04-20 15:01 - 00000000 ____D C:\Users\Александр\AppData\Roaming\Browsers
2016-04-20 15:01 - 2016-04-20 15:01 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN
Task: {817C1F88-5121-4FA2-A351-52E820F89B56} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
Task: {A4EE38CA-9984-4FF7-B326-A76B533FDD96} - \Update Service for Torrent Search -> No File <==== ATTENTION
FirewallRules: [TCP Query User{E33F3A8B-3BBF-47EE-BB47-D455D78CD441}C:\users\ксюша\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\ксюша\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{EFBD9542-99DC-440D-A55D-61C01B71FBEB}C:\users\ксюша\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\ксюша\appdata\local\mediaget2\mediaget.exe
FirewallRules: [TCP Query User{569B2BB5-1EBD-4906-A972-78842693A48D}C:\users\ксюша\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\ксюша\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{F8A8DEE9-AFE5-45A2-9905-BF6BF568C650}C:\users\ксюша\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\ксюша\appdata\local\mediaget2\mediaget.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@sana1971 · 28.04.2016, 15:26 **[ТС]**

MCP Cleaner и oneday... удалились, в трее MPC Cleaner тоже исчез, от него остался только ярлык на Рабочем столе, я его удалил
Страницы в Хроме открываются медленнее, но это думаю потому что все мозги ему почистили, промежуточного сайта не заметил
лог ниже

ПРЕМНОГО БЛАГОДАРЕН

@Sandor · 28.04.2016, 16:19

Судя по логу, хвосты еще остались.

Подготовьте лог uVS.

@sana1971 · 29.04.2016, 02:25 **[ТС]**

вот

@Sandor · 29.04.2016, 10:38

Выполните скрипт в UVS.

Code
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v385c
BREG
zoo %SystemDrive%\PROGRAM FILES\MPC CLEANER\MPC.EXE
bl 65BB43F2E4A2636D120FFCA9E1908906 167392
addsgn 1A79729A5583948EF42B51945C0A5205DAAFC834C9FAE05DB50185BCAFF35D8E63173C721697DD49D4A56C5D0616B6DF5D1DA872AAFFACEE6D775B0ADFC46273 8 MPC
 
delall %SystemDrive%\USERS\КСЮША\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
delall %SystemDrive%\USERS\КСЮША\APPDATA\LOCAL\SUPERFAST\TRAY\SFTRAYICON.EXE
delref HTTP:\\STATIC.FYZAQYNOMOW.COM\AG\?D=001E33220ECA9014___Z=1___RD=C6CFB880B7394706848AC692673A3A11___CD=DS
delref HTTP://SEARCH.CONDUIT.COM/RESULTSEXT.ASPX?Q={SEARCHTERMS}&SEARCHSOURCE=4&CTID=CT1572363
delref HTTP://127.0.0.1:4664/SEARCH&S=ZRRDMJR0Q9Y2SRUJ5E9NRP0OLBG?Q={SEARCHTERMS}
deldir %SystemDrive%\PROGRAM FILES\MPC CLEANER
chklst
delvir
 
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте контрольный лог uVS.

@sana1971 · 29.04.2016, 16:26 **[ТС]**

сделал

@Sandor · 29.04.2016, 21:55

Проблема решена?

@sana1971 · 30.04.2016, 04:40 **[ТС]**

Внешне - да
Спасибо огромное

@sana1971 · 30.04.2016, 04:42 **[ТС]**

вот еще образ, последний

@Sandor · 30.04.2016, 15:36

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Новые блоги и статьи Все статьи Все блоги /
Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .
Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .

@sana1971 0 / 0 / 0 Регистрация: 29.09.2010 Сообщений: 46
	24.04.2016, 02:16 [ТС]
	Неужели ничего нет в логах или некому помочь? 0

qvad 22198 / 12119 / 653 Регистрация: 11.04.2010 Сообщений: 53,466
	24.04.2016, 10:51
	тут не чат, имейте терпение 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,729
	27.04.2016, 09:46
	Еще п.4, пожалуйста. 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,729
	27.04.2016, 16:35
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,729
	28.04.2016, 16:19
	Судя по логу, хвосты еще остались. Подготовьте лог uVS. 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,729
	29.04.2016, 10:38
	Выполните скрипт в UVS. Code ;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.0 v385c BREG zoo %SystemDrive%\PROGRAM FILES\MPC CLEANER\MPC.EXE bl 65BB43F2E4A2636D120FFCA9E1908906 167392 addsgn 1A79729A5583948EF42B51945C0A5205DAAFC834C9FAE05DB50185BCAFF35D8E63173C721697DD49D4A56C5D0616B6DF5D1DA872AAFFACEE6D775B0ADFC46273 8 MPC delall %SystemDrive%\USERS\КСЮША\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE delall %SystemDrive%\USERS\КСЮША\APPDATA\LOCAL\SUPERFAST\TRAY\SFTRAYICON.EXE delref HTTP:\\STATIC.FYZAQYNOMOW.COM\AG\?D=001E33220ECA9014___Z=1___RD=C6CFB880B7394706848AC692673A3A11___CD=DS delref HTTP://SEARCH.CONDUIT.COM/RESULTSEXT.ASPX?Q={SEARCHTERMS}&SEARCHSOURCE=4&CTID=CT1572363 delref HTTP://127.0.0.1:4664/SEARCH&S=ZRRDMJR0Q9Y2SRUJ5E9NRP0OLBG?Q={SEARCHTERMS} deldir %SystemDrive%\PROGRAM FILES\MPC CLEANER chklst delvir czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Сделайте контрольный лог uVS. 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,729
	29.04.2016, 21:55
	Проблема решена? 0

@sana1971 0 / 0 / 0 Регистрация: 29.09.2010 Сообщений: 46
	30.04.2016, 04:40 [ТС]
	Внешне - да Спасибо огромное 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,729
	30.04.2016, 15:36
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0