Решена Record Page вирус?

Тема в разделе "Лечение компьютерных вирусов", создана пользователем RuMax, 1 авг 2015.

Статус темы:
Закрыта.
  1. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    не успел установить вин 7, без антивируса успел уже судя по всему схватить вирус.
    В списке установленных программ обнаружилась не устанавливаемая мной программа Record Page.
    Почитал про нее отзывы, пишут, что вирус...
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Удалите через установку и удаление программ:
    eShield Browser Security
    Record Page
    Skype Click to Call
    Super Optimizer v3.2
    UpdateAdmin

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\program files\common files\87737dd0-ad90-4193-bd48-336966b8d777\updater.exe');
     TerminateProcessByName('c:\program files\super optimizer\supoptsmartscan.exe');
     TerminateProcessByName('c:\programdata\87737dd0-ad90-4193-bd48-336966b8d777\plugincontainer.exe');
     SetServiceStart('Update Mgr RecordPage', 4);
     SetServiceStart('Service Mgr RecordPage', 4);
     StopService('Update Mgr RecordPage');
     StopService('Service Mgr RecordPage');
     QuarantineFile('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}\hqghumeaylnlf.exe', '');
     QuarantineFile('C:\Program Files\Record Page\Extensions\2335267c-dbba-4dd5-a9d0-c4db8e6a75a4.dll', '');
     QuarantineFile('C:\Users\Мах\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '');
     QuarantineFile('C:\Program Files\Super Optimizer\SupOptLauncher.exe', '');
     QuarantineFile('c:\Program Files\Super Optimizer\SupOptStats.dll', '');
     QuarantineFile('c:\program files\common files\87737dd0-ad90-4193-bd48-336966b8d777\updater.exe', '');
     QuarantineFile('c:\program files\super optimizer\supoptsmartscan.exe', '');
     QuarantineFile('c:\programdata\87737dd0-ad90-4193-bd48-336966b8d777\plugincontainer.exe', '');
     QuarantineFileF('C:\Program Files\Super Optimizer', '*', true, '', 0 , 0);
     QuarantineFileF('C:\Users\Мах\AppData\Local\UpdateAdmin', '*', true, '', 0 , 0);
     QuarantineFileF('C:\Program Files\Record Page', '*', true, '', 0 , 0);
     QuarantineFileF('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}', '*', true, '', 0 , 0);
     DeleteFile('c:\program files\super optimizer\supoptsmartscan.exe', '32');
     DeleteFile('c:\Program Files\Super Optimizer\SupOptStats.dll', '32');
     DeleteFile('C:\ProgramData\87737dd0-ad90-4193-bd48-336966b8d777\plugincontainer.exe', '32');
     DeleteFile('C:\Program Files\Common Files\87737dd0-ad90-4193-bd48-336966b8d777\updater.exe', '32');
     DeleteFile('C:\Program Files\Super Optimizer\SupOptLauncher.exe', '32');
     DeleteFile('C:\Users\Мах\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '32');
     DeleteFile('C:\Program Files\Record Page\Extensions\2335267c-dbba-4dd5-a9d0-c4db8e6a75a4.dll', '32');
     DeleteFile('C:\Windows\Tasks\Superclean.job', '32');
     DeleteFile('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}\hqghumeaylnlf.exe', '32');
     DeleteFile('C:\Windows\system32\Tasks\Super Optimizer Schedule', '32');
     DeleteFile('C:\Windows\system32\Tasks\Superclean', '32');
     DeleteService('Update Mgr RecordPage');
     DeleteService('Service Mgr RecordPage');
     DeleteFileMask('C:\Program Files\Super Optimizer', '*', true);
     DeleteFileMask('C:\Users\Мах\AppData\Local\UpdateAdmin', '*', true);
     DeleteFileMask('C:\Program Files\Record Page', '*', true);
     DeleteFileMask('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}', '*', true);
     DeleteDirectory('C:\Program Files\Super Optimizer', '');
     DeleteDirectory('C:\Users\Мах\AppData\Local\UpdateAdmin', '');
     DeleteDirectory('C:\Program Files\Record Page', '');
     DeleteDirectory('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}', '');
     DelBHO('{896B993C-C71A-4237-A7E9-C8EB077E4F8F}');
     DelBHO('{2335267c-dbba-4dd5-a9d0-c4db8e6a75a4}');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Super Optimizer');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'UpdateAdmin');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  3. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Готово
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  5. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Повторил
     

    Вложения:

  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Я дико извиняюсь,немного не то написал))
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
     
  7. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    сделал
     

    Вложения:

  8. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Кстати, при чистке удалилась папка программы Zona и сама программа тоже исчезла, остался только ярлык панели быстрого запуска). Она что была заражена?
    --- Объединённое сообщение, 3 авг 2015, Дата первоначального сообщения: 3 авг 2015 ---
    Cейчас увидел, что в хроме стоит расширение Record Page и выскочило предупреждение, что дополнение eshield просит внести какие то изменения, запретил конечно, но ничего не делал с ним.
     
  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
    На ваше личное усмотрение:
    http://www.anti-malware.ru/Threats_Analysis/Zona_analysis
     
  10. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Сомнительная программка...
     

    Вложения:

    • Addition.txt
      Размер файла:
      22,1 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      180,4 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      52,9 КБ
      Просмотров:
      0
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    FF SelectedSearchEngine: eShield Safe Web
    FF Extension: eShield - C:\Users\Мах\AppData\Roaming\Mozilla\Firefox\Profiles\thhwio0v.default\Extensions\toolbar11433@eshield.com.xpi [2015-07-31]
    FF Extension: Record Page - C:\Users\Мах\AppData\Roaming\Mozilla\Firefox\Profiles\thhwio0v.default\Extensions\{32f64797-b066-4d56-a827-9474972f4b6a}.xpi [2015-07-31]
    CHR HKLM\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - https://clients2.google.com/service/update2/crx
    OPR Extension: (Record Page) - C:\Users\Мах\AppData\Roaming\Opera Software\Opera Stable\Extensions\ijgbnkffcnjcagpoppoodjjedamldilf [2015-07-31]
    2015-08-01 17:12 - 2015-08-01 17:12 - 0004990 _____ () C:\ProgramData\mtbjfghn.xbe
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Сообщите о проблемах.
     
  12. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    fixlog
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,3 КБ
      Просмотров:
      1
  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Как проблемы?
     
  14. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    ну разве что расширение в хроме отключенное есть (record page). Удалить его обычным способом?
     
  15. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Да.
    Папку
    C:\Users\имя_юзера\AppData\Local\Google\Chrome\User Data\Default\Extensions
    упакуйте в архив и пришлите в карантин либо мне в лс.
     
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';

      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
  17. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Cделано. Видимых причин волноваться больше пока не наблюдается. Больше ничего делать не нужно, чтобы наверняка знать, что никаких угроз не осталось?
     
  18. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    Удалите папку FRST.

    Все.
     
Статус темы:
Закрыта.

Поделиться этой страницей