• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена GoogleChrome - yamdex.net - Включен администратором и два неудаляемых пользователя.

Статус
В этой теме нельзя размещать новые ответы.

Lexx_68

Активный пользователь
Сообщения
10
Реакции
3
Баллы
83
Здравствуйте. В GoogleChrome поиском по умолчанию стал mail.ru. В настройках GoogleChrome стоит параметр "Этот параметр включен администратором" и изменить его невозможно. Так же в настройках браузера обнаружил сторонних пользователей - "Пользователь 1" и "Пользователь 2". После удаления, например, "Пользователь 2" - происходит перезагрузка страницы и сразу же появляется "Пользователь 1" и так по кругу.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
Здравствуйте!

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
SetServiceStart('BDSafeBrowser', 4);
SetServiceStart('BDMWrench_x64', 4);
SetServiceStart('BDMWrench', 4);
SetServiceStart('BDArKit', 4);
SetServiceStart('bd0003', 4);
SetServiceStart('BDSGRTP', 4);
SetServiceStart('BDMRTP', 4);
SetServiceStart('BDKVRTP', 4);
StopService('BdSandBox');
StopService('BDSafeBrowser');
StopService('BDMWrench_x64');
StopService('BDMNetMon');
StopService('BDFileDefend');
StopService('bd0002');
StopService('BDMWrench');
StopService('BDArKit');
StopService('bd0003');
StopService('BDSGRTP');
StopService('BDMRTP');
StopService('BDKVRTP');
QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys', '');
QuarantineFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\BDSafeBrowser.sys', '');
QuarantineFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys', '');
QuarantineFile('C:\Windows\system32\DRIVERS\bd0002.sys', '');
QuarantineFile('C:\Windows\system32\DRIVERS\BDMWrench.sys', '');
QuarantineFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe', '');
QuarantineFile('C:\Program Files (x86)\BaiduAn3.0\BaiduAn\3.0.2.6\baiduAnSvc.exe', '');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt ≈хplоrеr (2).lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\¬ойти в »нтернет.lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\ќpеrа.lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\ќдноклассники.lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\яндекс.ƒиск\—криншоты в яндекс.ƒиске.lnk', '');
QuarantineFile('C:\Users\1\Desktop\—криншоты в яндекс.ƒиске.lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt ≈хplоrеr ¬rоwsеr.lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt ≈хplоrеr (3).lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt ≈хplоrеr.lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt ≈хplоrеr (Nо јdd-оns).lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt ≈хplоrеr.lnk', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\яндекс.ƒиск\яндекс.ƒиск.lnk', '');
QuarantineFile('C:\Users\1\Desktop\яндекс.ƒиск.lnk', '');
QuarantineFile('C:\Users\1\AppData\Local\chrome.bat', '');
QuarantineFile('C:\launcher.bat', '');
QuarantineFile('C:\Users\1\AppData\Local\run_chrome.bat', '');
QuarantineFile('C:\Users\1\AppData\Roaming\YandexDiskScreenshotEditor.bat', '');
QuarantineFile('C:\Users\1\AppData\Local\Yandex.bat', '');
QuarantineFile('C:\Users\1\AppData\Roaming\YandexDiskStarter.bat', '');
QuarantineFile('C:\Users\1\AppData\Local\Yandex\browser.bat', '');
QuarantineFile('C:\iexplore.bat', '');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe', '32');
DeleteFile('C:\Program Files (x86)\BaiduAn3.0\BaiduAn\3.0.2.6\baiduAnSvc.exe', '32');
DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe', '32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys', '32');
DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys', '32');
DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys', '32');
DeleteFile('C:\iexplore.bat', '');
DeleteFile('C:\Users\1\AppData\Local\Yandex\browser.bat', '');
DeleteFile('C:\Users\1\AppData\Local\chrome.bat', '');
DeleteFile('C:\launcher.bat', '');
DeleteFile('C:\Users\1\AppData\Local\run_chrome.bat', '');
DeleteFile('C:\Users\1\AppData\Roaming\YandexDiskScreenshotEditor.bat', '');
DeleteFile('C:\Users\1\AppData\Local\Yandex.bat', '');
DeleteFile('C:\Users\1\AppData\Roaming\YandexDiskStarter.bat', '');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
DeleteFile('C:\Users\1\AppData\Local\Yandex\browser.bat', '32');
DeleteFile('C:\iexplore.bat', '32');
DeleteService('BdSandBox');
DeleteService('BDSafeBrowser');
DeleteService('BDMWrench_x64');
DeleteService('BDMNetMon');
DeleteService('BDFileDefend');
DeleteService('bd0002');
DeleteService('BDMWrench');
DeleteService('BDArKit');
DeleteService('BDSGRTP');
DeleteService('BDMRTP');
DeleteService('BDKVRTP');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(2);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

4)
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.

5)
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
ждём остальное. И лучше все логи сразу выкладывайте.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.21 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    del %SystemDrive%\USERS\1\APPDATA\LOCAL\RUN_CHROME.BAT
    del %SystemDrive%\IЕХPLОRЕ.BАT.EXE
    del %SystemDrive%\FIREFOX.BAT
    del %SystemDrive%\USERS\1\APPDATA\LOCAL\CHROME.BAT
    del %SystemDrive%\LАUNСHЕR.BАT.EXE
    del %SystemDrive%\USERS\1\APPDATA\LOCAL\RUN_СHRОMЕ.BАT.EXE
    del %SystemDrive%\USERS\1\APPDATA\ROAMING\YANDEXDISKSCREENSHOTEDITOR.BAT
    del %SystemDrive%\USERS\1\APPDATA\ROAMING\YANDEXDISKSTARTER.BAT
    del %SystemDrive%\USERS\1\APPDATA\ROAMING\YАNDЕХDISKSTАRTЕR.BАT.EXE
    del %SystemDrive%\USERS\1\APPDATA\ROAMING\YАNDЕХDISKSСRЕЕNSHОTЕDITОR.BАT.EXE
    del %SystemDrive%\USERS\1\APPDATA\LOCAL\СHRОMЕ.BАT.EXE
    
    sreg
    
    chklst
    delvir
    
    zoo %Sys32%\DRIVERS\BD0001.SYS
    bl F75F5F5703182987905AE13CC18E72EA 181072
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0001.SYS
    
    zoo %Sys32%\DRIVERS\BD0002.SYS
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0002.SYS
    
    zoo %Sys32%\DRIVERS\BD0003.SYS
    bl A5E55CB840660113D2C051D09EF3790F 67400
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0003.SYS
    
    zoo %Sys32%\DRIVERS\BD0004.SYS
    bl 154169ABA6D26AA47096C2E853995010 169288
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0004.SYS
    
    zoo %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
    bl FDF2CFC10B403DF2F9E6BFBA7F6DDC1F 130888
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDMWRENCH_X64.SYS
    
    delref \\?\C:\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.2_0\CHROME HOTWORD SHARED MODULE
    
    delref \\?\C:\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.2_0\CHROME HOTWORD SHARED MODULE
    
    deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108
    
    zoo %Sys32%\DRIVERS\BDMWRENCH.SYS
    bl 6AD852CA0AFF62BB16C26DFDBDF4FDA4 130888
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDMWRENCH.SYS
    
    zoo %Sys32%\DRIVERS\BDARKIT.SYS
    bl AC5C57F6C95C5B2EE4FE78C7C93372A5 152392
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDARKIT.SYS
    
    zoo %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
    bl 12536E3769B335640D69EA986E1BA227 151368
    delall \\?\C:\WINDOWS\SYSWOW64\DRIVERS\BDARKIT.SYS
    
    zoo %Sys32%\BD64_X64.DLL
    bl E8384859BDD6AF71F5F3C60AB5BF3F98 41800
    delall \\?\C:\WINDOWS\SYSTEM32\BD64_X64.DLL
    
    zoo %Sys32%\BD64_X86.DLL
    bl 2EF0728AC5460C5EB0D11204A7DE940B 39056
    delall \\?\C:\WINDOWS\SYSTEM32\BD64_X86.DLL
    
    zoo %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\BRОWSЕR.BАT.EXE
    bl B0F9CC7A5A76C784A224250BF7BFEA91 1454896
    delall \\?\C:\USERS\1\APPDATA\LOCAL\YANDEX\BRОWSЕR.BАT.EXE
    
    zoo %SystemDrive%\FIRЕFОХ.BАT.EXE
    bl FB104D17018B4CA9F0C1A9BED02D15FC 275568
    delall \\?\C:\FIRЕFОХ.BАT.EXE
    
    zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2014143096-2085927633-1932245892-1000\$RUQREHY\BAIDUPROTECT1.3\1.3.0.619\DRIVERS\BDARKIT.SYS
    delall \\?\C:\$RECYCLE.BIN\S-1-5-21-2014143096-2085927633-1932245892-1000\$RUQREHY\BAIDUPROTECT1.3\1.3.0.619\DRIVERS\BDARKIT.SYS
    
    regt 27
    ; Remote Desktop Access (VuuPC)
    exec C:\Users\1\AppData\Roaming\VOPackage\uninstall.exe
    
    czoo
    areg
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

на вопросы об удаление программ рекомендую соглашаться.

- Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
свежий лог сканирования AdwCleaner и uVS сделайте.
 

Lexx_68

Активный пользователь
Сообщения
10
Реакции
3
Баллы
83
Сделано.
P.S: Сегодня обнаружил следующие приятные изменения:
- В GoogleChrome Поисковиком по умолчанию снова стал google.
- "Этот параметр включен администратором" - исчез. и yamdex.ru c mail.ru без проблем удалось удалить из списка поисковиков.
Только пользователи пока не хотят покидать браузер.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
Skype Click to Call - рекомендую деинсталировать.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.21 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 5\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.2_0\CHROME HOTWORD SHARED MODULE
    delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.2_0\CHROME HOTWORD SHARED MODULE
    delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
    delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q=
    delref %SystemDrive%\PROGRA~2\MOZILL~1\BROWSER\SEARCHPLUGINS\MAILRU.XML
    regt 27
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
  6. Подробнее читайте в этом руководстве.

проблема решена?
 

Lexx_68

Активный пользователь
Сообщения
10
Реакции
3
Баллы
83
Да. Проблема решена. Спасибо Вам Большое.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу