31 ответов в этой теме

[ev23]

Логи: http://dropmefiles.com/MpieD

 

В общем программа Security Task Manager тоже находит эти файлы, как и CureIt, но некоторые из них перемещает в карантин,а 2 файла не может ни удалить, ни переместить как и CureIt, говорит что они находятся в оперативной памяти и при следующем запуске системы они появятся снова 

[RomaNNN]

Можно пролечиться CureIt-ом и поставить ProcMon на мониторинг системы при загрузке. Там увидим, кто их создает.

[Полимер]

ev23, 

Попробуйте пролечить лавдиском: http://www.freedrweb.ru/livedisk/

[ev23]

А как пролечиться CureIt-ом, если он их вылечить не может?

[ev23]

ev23, 

Попробуйте пролечить лавдиском: http://www.freedrweb.ru/livedisk/

 

А данные потеряются какие-либо? Если да, то с какого момента

[RomaNNN]

А как пролечиться CureIt-ом, если он их вылечить не может?

Он пишет ошибку или лечит, но при перезагрузке появляется снова?

[Полимер]

А данные потеряются какие-либо?

Не должны.

[ev23]

 

А как пролечиться CureIt-ом, если он их вылечить не может?

Он пишет ошибку или лечит, но при перезагрузке появляется снова?

 

 

 

Что КуреИт, что ТаскМенеджер находят от 4-х до 6-ти файлов, всегда 2 не могут быть перемещены или удалены окончательно ни Куреитом, ни Т Менеджером (только выгружают их на время изз оперативной памяти как я понял, но потом они появляются снова), остальные 2-4 файла постоянно перемещаются в карантин, НО после перезагрузки первые 2 снова появляются в оперативной памяти и, видимо, каким-то образом подгружают те 2-4 файла до кучи, но уже переименованными. И снова все по кругу. Те в карантине сидят,а эти новые переименованные снова появляются в той же папке что и до этого. 2 файла которые были в оперативной памяти так там и продолжают сидеть после перезапуска системы

 

А данные потеряются какие-либо?

Не должны.

 

Сейчас попробую

[ev23]

Ну, практически 2 дня мучений со всем чем только можно и проблема решена!!

Если вдруг будет интересно и кто столкнется с этим злом, могу расписать подробно что делал

[Полимер]

могу расписать подробно что делал

Пока можно в двух словах.

[ev23]

Хорошо. 

В общем были задействованы 4 программы: CureIt, Security Task Manager, Combo Fix,  в конце самом ADW Cleaner.

Первые 3 программы находили от 4-х до 6-ти файлов в папке AppData/Local

 

Программы находили файлы, но вылечить их не могли, перемещая 2-4 файла в карантин, и 2 файла только ан время из оперативной памяти.

В папке Local файлы были в папке Temp ( c .exe расширением ) и два в папке Local--SysDir - в ней валялись эти оставшиеся 2 файла, которые не удалялись и не вылечивались:

setsearchm.exe и nethost.exe

Методом проб и ошибок было вычислено, что эти файлы относятся к какой-то службе GoSearch.

Пути привели в настройки браузеров (всех, как оказалось, даже которыми лично я не пользовался вообще), там эта GoSearch прописывалась там же, где и поисковые системы (зайти тут : chrome://settings/browser ), но путь был длинный ведущий на сайт сторонний с закачкой какого-то говна.

 

Способ лечения: проверка программами БЕЗ лечения и перемещения. Просто сворачиваем их, идем по адресам где эти файлы валяются, удаляем все их вручную, идем в настройки браузеров - там удаляем эти встройки  на GoSearch, вручуню блокируем адрес в браузерах, чистим куки,кэш и прочую лабуду.

Открываем RegEdit, там поиск по тегам GoSearch - удаление всего, чего он найдет, далее поиск по setsearchm - удаление всего что с этим связано, потом поиск по nethost - удалениею

Потом в диспетчер задач - там был подгружен тоже какой-то гадкий процесс с названием как у одного из файлов из папки Temp. Выключаем вручную процесс.

Заходим в СССleaner - раздел Сервис - Запланированные задачи - там был тоже в автозапуске какой-то процесс со ссылкой на SetSearch.exe. Болкируем и потом удаляем.

 

Перезагружаемся вручную, потом снова в реестр : поиск по тегам setsearch - там остались пару файлов с первыми буквами DEL и setsearch - удаляем, потом поиск по nethost - он ничего не дал, далее поиск по GoSearch - также несколько файлов ,содержащих эту фигню и буквами DEL. Удаляем.

Проверяем на целостность реестра. Ничего страшного не произошло.

Проверка ADW Cleaner - нашел одну запись со ссылкой на GoSearch - удаляем, перезагружаемся.

 

Итого: в настройках всех браузеров браузера гадость со ссылкой на GoSearch и закачкой ею гамна удалена вручную, файлы из папки Temp удалены вручную, папка SysDir с гадостью setsearchm.exe и nethost.exe больше не появлялась и файлы не закачивались, реестр от гадости вычищен, проверка по очереди CureIt , Security Task Manager , Combo Fix, ADW Cleaner, MBAM гадости не выявили.

 

ТАДА-А-А-А-А-А-А-А-А-А-М !!!

 

Вроде все, если что забыл - дополню

Сообщение было изменено ev23: 18 Февраль 2015 - 19:19

[ev23]

ps: еще была использована HiJackThis , находились файлы, фиксились. но после перезапуска прописывались снова