Решена При запуске браузера, происходит переход на сайты

Тема в разделе "Лечение компьютерных вирусов", создана пользователем fseto, 24 сен 2015.

Статус темы:
Закрыта.
  1. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    При запуске браузера, каждый раз открываются разные сайты (открывается одна вкладка) иногда открывается www_.Вулкан.
    Собрал логи, после удаления этих прог:
    Код (Text):
    HashCheck Shell Extension (x86-32) [2015/09/06 00:52:05]-->regsvr32.exe /u /i /n "C:\Windows\system32\ShellExt\HashCheck.dll"
    HashCheck Shell Extension (x86-64) [2015/09/06 00:52:05]-->regsvr32.exe /u /i /n "C:\Windows\system32\ShellExt\HashCheck.dll"
    HP Defender [2015/09/23 21:16:55]-->C:\Program Files (x86)\HP Defender\uninstall.exe
    Time tasks [2015/09/23 21:31:29]-->"C:\ProgramData\TimeTasks\uninstall.exe"
    Unlocker 1.9.0-x64 [2015/09/06 00:52:05]-->C:\Program Files\Unlocker\uninst.exe
    Zaxar Games Browser [2015/09/23 21:31:29]-->"C:\Program Files (x86)\Zaxar\uninstall.exe"
    ZDServer [20150924]-->"C:\ProgramData\ZDSupport\ZDServ\UninstallZDServ.exe" /uninstall
    Элементы Яндекса 8.9 для Internet Explorer [20150905]-->MsiExec.exe /X{F5E5A5C8-479C-4D19-B5D8-175ADB1C80B9}
    Составил свой скрипт для лечения, но в целях безопасности не стал проводить лечение. Хотелось бы пролечиться с вашей помощью и за одно, сравню метод лечения с моим вариантом.
     

    Вложения:

  2. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    Выполните скрипт в AVZ:
    Код (Text):
    begin
    DeleteFile('C:\ProgramData\Browsers\browser0.bat', '32');
    DeleteFile('C:\ProgramData\Browsers\browser6.bat', '32');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  3. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    Готово
     

    Вложения:

  4. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.046
    Симпатии:
    4.482
    А что постеснялся его выложить?
     
  5. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    я подумал, а вдруг не заинтересует)), а так, только рад представить свой вариант..
    Здравствуйте.
    1. Выполните скрипт в АВЗ:
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('C:\ProgramData\Browsers\browser0.bat', '');
    QuarantineFile('C:\ProgramData\Browsers\browser6.bat', '');
    QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe','');
    QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
    QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
    DeleteFile('C:\ProgramData\Browsers\browser0.bat', '32');
    DeleteFile('C:\ProgramData\Browsers\browser6.bat', '32');
    DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
    DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
    DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
    DeleteDirectory('C:\ProgramData\Browsers');
    DeleteDirectory('C:\Program Files (x86)\HP Defender');
    DeleteDirectory('C:\Program Files\Unlocker');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(false);
    end.
     
    После перезагрузки, выполните следующий скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В результате выполнения скрипта будет сформирован карантин. Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему.

    Как учили, дублируем в хиджаке
    2. Пофиксите в HijackThis:
    Код (Text):
    O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
    O4 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s
    O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
    O4 - HKLM\..\Run: [Timestasks] "C:\Program Files (x86)\Zaxar\timetasks.exe"
    3. Перетащите лог Check_Browsers_LNK.log из ...\AutoLogger\AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

    4.
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
    Как-то так..
     
  6. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.046
    Симпатии:
    4.482
    И чего тогда стеснялся...нормальное решение.
     
    Kиpилл нравится это.
  7. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    :Thank You:
    не хотел поперед батьки в пекло лезть)) ©
    У Vvvyg'а как-то интересно получается, ключи Zahar'a удаляет через АВЗ, а его файлы, видимо думает удалить через AdwCleaner.
    Посмотрим.., сравним, постараемся извлечь выгоду))
     
  8. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    лечение не продолжится?
     
  9. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.209
    Симпатии:
    4.977
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
    • По окончанию сканирования снимите галочки со следующих строк:
      Код (Text):

      Папка Найдено : C:\Users\Алина\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\yasearch@yandex.ru
      Папка Найдено : C:\Users\Алина\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\vb@yandex.ru

       
    • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  10. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    Farbar приготовил, а вот по поводу AdwCleaner, не стал пока применять, т.к пользователь использует программу MediaGet.
    Жду ваших рекомендаций..
     

    Вложения:

    • FRST.txt
      Размер файла:
      54,5 КБ
      Просмотров:
      4
    • Shortcut.txt
      Размер файла:
      49,6 КБ
      Просмотров:
      2
    • Addition.txt
      Размер файла:
      26 КБ
      Просмотров:
      2
  11. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.209
    Симпатии:
    4.977
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
    Toolbar: HKU\S-1-5-21-3555794144-1787238943-102425960-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    2015-09-23 21:31 - 2015-09-24 20:24 - 00000000 ____D C:\Users\Алина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
    Folder: C:\Users\Все пользователи\Browsers
    Folder: C:\ProgramData\Browsers
    Folder: C:\Program Files (x86)\Zaxar
    cmd: del /a/f/q "C:\Program Files (x86)\Zaxar"
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.
     
  12. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    Выполнено
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      4,2 КБ
      Просмотров:
      1
  13. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.209
    Симпатии:
    4.977
    Содержимое

    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    cmd: copy /y "C:\Users\Все пользователи\Browsers\*" C:\FRST\Quarantine
    cmd: copy /y "C:\ProgramData\Browsers\*" C:\FRST\Quarantine
    cmd: del /a/f/q "C:\Program Files (x86)\Zaxar"
    cmd: del /a/f/q "C:\Users\Все пользователи\Browsers"
    cmd: del /a/f/q "C:\ProgramData\Browsers"
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Запаковываем в архив папку C:\FRST\Quarantine\ с паролем virus
    Полученный архив quarantine.zip отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
    Последнее редактирование: 3 окт 2015
  14. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    Привет, Кирилл.
    А эта ссылка правильно ведет?
    [/QUOTE]
    Готово.
     

    Вложения:

  15. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.209
    Симпатии:
    4.977
    Поправил,жду карантин.

    Проблемы есть еще?


    Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Контроль учётных записей пользователя отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
    Запрос на повышение прав для администраторов отключен


    Microsoft Silverlight v.4.0.60831.0 Внимание! Скачать обновления
    --------------------------------- [ IM ] ----------------------------------
    Skype™ 7.9 v.7.9.103 Внимание! Скачать обновления
    ^Необязательное обновление.^

    Adobe Flash Player 11 ActiveX 64-bit v.11.1.102.55 Внимание! Скачать обновления
    Adobe Flash Player 11 Plugin 64-bit v.11.1.102.55 Внимание! Скачать обновления
    --------------
    MediaGet v.2.01.3399 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    ----------------------------- [ End of Log ] ------------------------------


    MBAM можно деинсталлировать.

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.
     
  16. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    карантин уже отправлял,сюда:
    лишние проги удалил.
    Проблем нет. Они пропали после первого и единственного сообщ. Vvvyg., который почему-то потом пропал.
    Тему можно закрывать.
    Спасибо.
     
    Последнее редактирование: 3 окт 2015
  17. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.209
    Симпатии:
    4.977
Статус темы:
Закрыта.

Поделиться этой страницей