Решена Стартовые страницыв браузерах изменены

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Dimitri, 13 май 2014.

Статус темы:
Закрыта.
  1. Dimitri
    Оффлайн

    Dimitri Активный пользователь

    Сообщения:
    154
    Симпатии:
    5
    Вирусная реклама в браузерах Добрый Вечер! Поменяны стартовые страницы во всех браузерах , редирект в браузерах на другие страницы, пользовался Adwcleaner и mbam не помогло, а так же не помогло сменить стартовую страницу по такому способу ( скриншот ниже). Логи прилагаю.
     

    Вложения:

  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
    then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
    TerminateProcessByName('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritservice.exe');
    TerminateProcessByName('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritdesktop.exe');
    TerminateProcessByName('c:\program files (x86)\gamesrs\gupdater.exe');
    QuarantineFile('C:\Users\Пользователь\appdata\roaming\adobe\uplus.exe','');
    QuarantineFile('C:\Users\Пользователь\AppData\Local\PirritSuggestor\RegFltrX64.sys','');
    QuarantineFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritservice.exe','');
    QuarantineFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritdesktop.exe','');
    QuarantineFile('c:\program files (x86)\gamesrs\gupdater.exe','');
    DeleteFile('c:\program files (x86)\gamesrs\gupdater.exe','32');
    DeleteFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritdesktop.exe','32');
    DeleteFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritservice.exe','32');
    DeleteFile('C:\Users\Пользователь\AppData\Local\PirritSuggestor\RegFltrX64.sys','32');
    DeleteFileMask('C:\Users\Пользователь\AppData\Local\PirritSuggestor', '*', true);
    DeleteDirectory('C:\Users\Пользователь\AppData\Local\PirritSuggestor');
    DeleteFileMask('c:\program files (x86)\gamesrs', '*', true);
    DeleteDirectory('c:\program files (x86)\gamesrs');
    SetServiceStart('RegFltrX64', 4);
    DeleteService('RegFltrX64');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(13);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пофиксите в HiJack
    Код (Text):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
    \CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9880
    O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip при помощи этой формы

    Исправляйте эти ярлыки, удалив них приписку в виде вредоносного сайта
    Сделайте новые логи
     
    machito, Dimitri и akok нравится это.
  3. Dimitri
    Оффлайн

    Dimitri Активный пользователь

    Сообщения:
    154
    Симпатии:
    5
    Так значит все сделал, насчет исправления ярлыков по вашему способу не получилось,требовались права Администратора ( было предупреждающее оконо с ошибкой). Удалили все браузеры где была страница "Ваш Бизнесс" и установили новый "хром ".
    Страницы стартовой ваш бизнесс нету
    Файл CollectionLog-2014.05.16-20.03 не получается тут загрузить, ошибка.
     

    Вложения:

    Последнее редактирование модератором: 14 май 2014
  4. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    На вкладке Общая снимите галочку Только чтение.

    Приписка осталась на этих ярлыках:
     
    machito и thyrex нравится это.
  5. Dimitri
    Оффлайн

    Dimitri Активный пользователь

    Сообщения:
    154
    Симпатии:
    5
    Убрал прописку с ярлыков
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
    machito и Dimitri нравится это.
  7. Dimitri
    Оффлайн

    Dimitri Активный пользователь

    Сообщения:
    154
    Симпатии:
    5
    выполнил
     

    Вложения:

  8. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Найденный файл можно удалить. Что с проблемой?
     
  9. Dimitri
    Оффлайн

    Dimitri Активный пользователь

    Сообщения:
    154
    Симпатии:
    5
    Спасибо, все отлично, !!!
     
  10. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом разделе форума поддержки утилиты.

    Рекомендации после удаления вредоносного ПО.
     
    machito и Dimitri нравится это.
  11. Dimitri
    Оффлайн

    Dimitri Активный пользователь

    Сообщения:
    154
    Симпатии:
    5
    Вообщем все хорошо было , кроме Adobe Reader , его удалил , отчет удалил по неосторожности.
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
     
    machito нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей