1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Record Page вирус?

Тема в разделе "Удаление компьютерных вирусов", создана пользователем RuMax, 1 авг 2015.

Статус темы:
Закрыта.
  1. RuMax

    RuMax Активный пользователь

    Сообщения:
    274
    Симпатии:
    48
    не успел установить вин 7, без антивируса успел уже судя по всему схватить вирус.
    В списке установленных программ обнаружилась не устанавливаемая мной программа Record Page.
    Почитал про нее отзывы, пишут, что вирус...
     

    Вложения:

  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.200
    Симпатии:
    5.561
    Удалите через установку и удаление программ:
    eShield Browser Security
    Record Page
    Skype Click to Call
    Super Optimizer v3.2
    UpdateAdmin

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\program files\common files\87737dd0-ad90-4193-bd48-336966b8d777\updater.exe');
     TerminateProcessByName('c:\program files\super optimizer\supoptsmartscan.exe');
     TerminateProcessByName('c:\programdata\87737dd0-ad90-4193-bd48-336966b8d777\plugincontainer.exe');
     SetServiceStart('Update Mgr RecordPage', 4);
     SetServiceStart('Service Mgr RecordPage', 4);
     StopService('Update Mgr RecordPage');
     StopService('Service Mgr RecordPage');
     QuarantineFile('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}\hqghumeaylnlf.exe', '');
     QuarantineFile('C:\Program Files\Record Page\Extensions\2335267c-dbba-4dd5-a9d0-c4db8e6a75a4.dll', '');
     QuarantineFile('C:\Users\Мах\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '');
     QuarantineFile('C:\Program Files\Super Optimizer\SupOptLauncher.exe', '');
     QuarantineFile('c:\Program Files\Super Optimizer\SupOptStats.dll', '');
     QuarantineFile('c:\program files\common files\87737dd0-ad90-4193-bd48-336966b8d777\updater.exe', '');
     QuarantineFile('c:\program files\super optimizer\supoptsmartscan.exe', '');
     QuarantineFile('c:\programdata\87737dd0-ad90-4193-bd48-336966b8d777\plugincontainer.exe', '');
     QuarantineFileF('C:\Program Files\Super Optimizer', '*', true, '', 0 , 0);
     QuarantineFileF('C:\Users\Мах\AppData\Local\UpdateAdmin', '*', true, '', 0 , 0);
     QuarantineFileF('C:\Program Files\Record Page', '*', true, '', 0 , 0);
     QuarantineFileF('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}', '*', true, '', 0 , 0);
     DeleteFile('c:\program files\super optimizer\supoptsmartscan.exe', '32');
     DeleteFile('c:\Program Files\Super Optimizer\SupOptStats.dll', '32');
     DeleteFile('C:\ProgramData\87737dd0-ad90-4193-bd48-336966b8d777\plugincontainer.exe', '32');
     DeleteFile('C:\Program Files\Common Files\87737dd0-ad90-4193-bd48-336966b8d777\updater.exe', '32');
     DeleteFile('C:\Program Files\Super Optimizer\SupOptLauncher.exe', '32');
     DeleteFile('C:\Users\Мах\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '32');
     DeleteFile('C:\Program Files\Record Page\Extensions\2335267c-dbba-4dd5-a9d0-c4db8e6a75a4.dll', '32');
     DeleteFile('C:\Windows\Tasks\Superclean.job', '32');
     DeleteFile('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}\hqghumeaylnlf.exe', '32');
     DeleteFile('C:\Windows\system32\Tasks\Super Optimizer Schedule', '32');
     DeleteFile('C:\Windows\system32\Tasks\Superclean', '32');
     DeleteService('Update Mgr RecordPage');
     DeleteService('Service Mgr RecordPage');
     DeleteFileMask('C:\Program Files\Super Optimizer', '*', true);
     DeleteFileMask('C:\Users\Мах\AppData\Local\UpdateAdmin', '*', true);
     DeleteFileMask('C:\Program Files\Record Page', '*', true);
     DeleteFileMask('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}', '*', true);
     DeleteDirectory('C:\Program Files\Super Optimizer', '');
     DeleteDirectory('C:\Users\Мах\AppData\Local\UpdateAdmin', '');
     DeleteDirectory('C:\Program Files\Record Page', '');
     DeleteDirectory('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}', '');
     DelBHO('{896B993C-C71A-4237-A7E9-C8EB077E4F8F}');
     DelBHO('{2335267c-dbba-4dd5-a9d0-c4db8e6a75a4}');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Super Optimizer');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'UpdateAdmin');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  4. RuMax

    RuMax Активный пользователь

    Сообщения:
    274
    Симпатии:
    48
    Готово
     

    Вложения:

  5. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.200
    Симпатии:
    5.561
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  6. RuMax

    RuMax Активный пользователь

    Сообщения:
    274
    Симпатии:
    48
    Повторил
     

    Вложения:

  7. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.200
    Симпатии:
    5.561
    Я дико извиняюсь,немного не то написал))
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
     
  8. RuMax

    RuMax Активный пользователь

    Сообщения:
    274
    Симпатии:
    48
    сделал
     

    Вложения:

  9. RuMax

    RuMax Активный пользователь

    Сообщения:
    274
    Симпатии:
    48
    Кстати, при чистке удалилась папка программы Zona и сама программа тоже исчезла, остался только ярлык панели быстрого запуска). Она что была заражена?
    --- Объединённое сообщение, 3 авг 2015, Дата первоначального сообщения: 3 авг 2015 ---
    Cейчас увидел, что в хроме стоит расширение Record Page и выскочило предупреждение, что дополнение eshield просит внести какие то изменения, запретил конечно, но ничего не делал с ним.
     
  10. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.200
    Симпатии:
    5.561
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
    На ваше личное усмотрение:
    http://www.anti-malware.ru/Threats_Analysis/Zona_analysis
     
  11. RuMax

    RuMax Активный пользователь

    Сообщения:
    274
    Симпатии:
    48
    Сомнительная программка...
     

    Вложения:

    • Addition.txt
      Размер файла:
      22,1 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      180,4 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      52,9 КБ
      Просмотров:
      0
  12. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.200
    Симпатии:
    5.561
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    FF SelectedSearchEngine: eShield Safe Web
    FF Extension: eShield - C:\Users\Мах\AppData\Roaming\Mozilla\Firefox\Profiles\thhwio0v.default\Extensions\toolbar11433@eshield.com.xpi [2015-07-31]
    FF Extension: Record Page - C:\Users\Мах\AppData\Roaming\Mozilla\Firefox\Profiles\thhwio0v.default\Extensions\{32f64797-b066-4d56-a827-9474972f4b6a}.xpi [2015-07-31]
    CHR HKLM\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - https://clients2.google.com/service/update2/crx
    OPR Extension: (Record Page) - C:\Users\Мах\AppData\Roaming\Opera Software\Opera Stable\Extensions\ijgbnkffcnjcagpoppoodjjedamldilf [2015-07-31]
    2015-08-01 17:12 - 2015-08-01 17:12 - 0004990 _____ () C:\ProgramData\mtbjfghn.xbe
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Сообщите о проблемах.
     
  13. RuMax

    RuMax Активный пользователь

    Сообщения:
    274
    Симпатии:
    48
    fixlog
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,3 КБ
      Просмотров:
      1
  14. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.200
    Симпатии:
    5.561
    Как проблемы?
     
  15. RuMax

    RuMax Активный пользователь

    Сообщения:
    274
    Симпатии:
    48
    ну разве что расширение в хроме отключенное есть (record page). Удалить его обычным способом?
     
  16. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.200
    Симпатии:
    5.561
    Да.
    Папку
    C:\Users\имя_юзера\AppData\Local\Google\Chrome\User Data\Default\Extensions
    упакуйте в архив и пришлите в карантин либо мне в лс.
     
  17. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.200
    Симпатии:
    5.561
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';

      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
  18. RuMax

    RuMax Активный пользователь

    Сообщения:
    274
    Симпатии:
    48
    Cделано. Видимых причин волноваться больше пока не наблюдается. Больше ничего делать не нужно, чтобы наверняка знать, что никаких угроз не осталось?
     
  19. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.200
    Симпатии:
    5.561
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    Удалите папку FRST.

    Все.
     
Загрузка...
Статус темы:
Закрыта.

Поделиться этой страницей