• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Автозагрузка оперы при запуске системы

Статус
В этой теме нельзя размещать новые ответы.

pobeditel

Активный пользователь
Сообщения
15
Симпатии
0
#1
Добрый день!
При запуске системы выскакивает командная строка и затем открывается опера на рекламной странице.:superstition:
Заранее спасибо!
 

Вложения

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую pobeditel, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

akok

Команда форума
Администратор
Сообщения
13,794
Симпатии
11,606
#3
woodportent.com - вы об этом сайте?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Пофиксить в HijackThis следующие строчки
Код:
O4 - HKLM\..\Run: [Adobe Flash Player SU] C:\Windows\System32\cmd.exe /k start http://woodportent.com/ && exit
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,851
Симпатии
5,577
#6
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
QuarantineFile('C:\Users\Public\Public.exe', 'MBAM: Trojan.Chydo');
QuarantineFile('C:\Users\Public\Documents\Documents.exe', 'MBAM: Virus.Tenga');
QuarantineFile('C:\Users\Public\Downloads\Downloads.exe', 'MBAM: Virus.Tenga');
QuarantineFile('C:\Users\Public\Favorites\Favorites.bat', 'MBAM: Trojan.Chydo');
QuarantineFile('C:\Users\Public\Libraries\Libraries.pif', 'MBAM: Trojan.Chydo');
QuarantineFile('C:\Users\Public\Music\Music.scr', 'MBAM: Trojan.Chydo');
QuarantineFile('C:\Users\Public\Pictures\Pictures.exe', 'MBAM: Worm.AutoRun');
QuarantineFile('C:\Users\Public\Pictures\NVIDIA Corporation\Corporation.bat', 'MBAM: Trojan.Chydo');
QuarantineFile('C:\Users\Public\Pictures\NVIDIA Corporation\3D Vision Experience\Vision Experience.exe', 'MBAM: Trojan.Chydo');
QuarantineFile('C:\Users\Public\Pictures\NVIDIA Corporation\3D Vision Experience\3D Vision preview pack 1\Vision preview pack 1.bat', 'MBAM: Trojan.Chydo');
QuarantineFile('C:\Users\Public\Recorded TV\Recorded TV.exe', 'MBAM: Trojan.Chydo');
QuarantineFile('C:\Users\Public\Recorded TV\Sample Media\Media.bat', 'MBAM: Trojan.Chydo');
QuarantineFile('C:\Users\Public\Recorded TV\TempRec\TempRec.exe', 'MBAM: Worm.AutoRun');
QuarantineFile('C:\Users\Public\Recorded TV\TempRec\TempSBE\TempSBE.bat', 'MBAM: Trojan.Chydo');
QuarantineFile('C:\Users\Public\Videos\Videos.pif', 'MBAM: Trojan.Chydo');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

+ Вы заражены файловым вирусом, пожалуйста пролечитесь как указано в этой теме Как вылечить систему от файлового вируса? а после этого сделайте и прикрепите новые логи.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,851
Симпатии
5,577
#8
Профиксите в HijackThis

Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

а также
Код:
C:\Windows\explorer.exe
Проверьте на virustotal
кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file).Нажать на кнопку Reanalyse (если будет). Дождитесь результата .Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.


сделайте новый лог полного сканирования MBAM.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,302
Симпатии
4,830
#10
Удалите в МВАМ
Обнаруженные ключи в реестре: 4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
Что с проблемой?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,851
Симпатии
5,577
#11
+ к написанному выше

  1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
    • Если у вас windous Vista или windous 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
    • Если у вас windous XP откройте меню Пуск (Start) -> Выполнить (Run)
  2. Введите sfc /scannow и нажмите Энтер.
  3. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
 

pobeditel

Активный пользователь
Сообщения
15
Симпатии
0
#12
удалил...лроблемы нет:)
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,851
Симпатии
5,577
#13
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

akok

Команда форума
Администратор
Сообщения
13,794
Симпатии
11,606
#15
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено

-------------AdobeProduction----------------------
Adobe Flash Player 10 ActiveX & Plugin v.10.3.183.7 Внимание! Скачать обновления
Adobe Shockwave Player + Authorware Web Player v.v11.6.1.629 Внимание! Скачать обновления
-------------Browser------------------------------
Opera 12.14 v.12.14.1738
Opera 11.51 v.11.51 Внимание! Скачать обновления

Необходимо исправить.
 

pobeditel

Активный пользователь
Сообщения
15
Симпатии
0
#16
включаю контроль учетных записей- не пускает в оперу...:mda:
 
Статус
В этой теме нельзя размещать новые ответы.