• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Стартовые страницыв браузерах изменены

Статус
В этой теме нельзя размещать новые ответы.

Dimitri

Активный пользователь
Сообщения
200
Реакции
9
Баллы
398
Вирусная реклама в браузерах Добрый Вечер! Поменяны стартовые страницы во всех браузерах , редирект в браузерах на другие страницы, пользовался Adwcleaner и mbam не помогло, а так же не помогло сменить стартовую страницу по такому способу ( скриншот ниже). Логи прилагаю.
 

Вложения

  • CollectionLog-2014.05.13-23.28.zip
    132.6 KB · Просмотры: 3
  • mbam-log-2014-05-13 (17-01-12).txt
    10.4 KB · Просмотры: 0

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,877
Реакции
2,582
Баллы
593
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritservice.exe');
TerminateProcessByName('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritdesktop.exe');
TerminateProcessByName('c:\program files (x86)\gamesrs\gupdater.exe');
QuarantineFile('C:\Users\Пользователь\appdata\roaming\adobe\uplus.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\PirritSuggestor\RegFltrX64.sys','');
QuarantineFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritservice.exe','');
QuarantineFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritdesktop.exe','');
QuarantineFile('c:\program files (x86)\gamesrs\gupdater.exe','');
DeleteFile('c:\program files (x86)\gamesrs\gupdater.exe','32');
DeleteFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritdesktop.exe','32');
DeleteFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritservice.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\PirritSuggestor\RegFltrX64.sys','32');
DeleteFileMask('C:\Users\Пользователь\AppData\Local\PirritSuggestor', '*', true);
DeleteDirectory('C:\Users\Пользователь\AppData\Local\PirritSuggestor');
DeleteFileMask('c:\program files (x86)\gamesrs', '*', true);
DeleteDirectory('c:\program files (x86)\gamesrs');
SetServiceStart('RegFltrX64', 4);
DeleteService('RegFltrX64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(false);
end.
Компьютер перезагрузится.

Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9880
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Исправляйте эти ярлыки, удалив них приписку в виде вредоносного сайта
C:\Users\Пользователь\Desktop\Амиго.lnk [C:\Users\Пользователь\AppData\Local\Amigo\Application\amigo.exe "http://www.vash-biznes.net" [(Дата=10.04.2014 Время=15:35:03 Размер=857.5 Кб) [E13AB2D5DF5341A8845DE0B702AA2062]]]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://www.vash-biznes.net" [(Дата=08.03.2014 Время=10:34:14 Размер=790.7 Кб) [EA8386CA87165460D39A1D29FF11080B]]]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk [C:\Users\Пользователь\AppData\Local\Amigo\Application\amigo.exe "http://www.vash-biznes.net" [(Дата=10.04.2014 Время=15:35:03 Размер=857.5 Кб) [E13AB2D5DF5341A8845DE0B702AA2062]]]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "http://www.vash-biznes.net" [(Дата=24.04.2014 Время=08:33:15 Размер=821.3 Кб) [542459D16B416D054161007FC9B1246E]]]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://www.vash-biznes.net" [(Дата=08.03.2014 Время=10:34:14 Размер=790.7 Кб) [EA8386CA87165460D39A1D29FF11080B]]]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://www.vash-biznes.net" [(Дата=08.03.2014 Время=10:34:14 Размер=790.7 Кб) [EA8386CA87165460D39A1D29FF11080B]]]

Сделайте новые логи
 

Dimitri

Активный пользователь
Сообщения
200
Реакции
9
Баллы
398
Так значит все сделал, насчет исправления ярлыков по вашему способу не получилось,требовались права Администратора ( было предупреждающее оконо с ошибкой). Удалили все браузеры где была страница "Ваш Бизнесс" и установили новый "хром ".
Страницы стартовой ваш бизнесс нету
Файл CollectionLog-2014.05.16-20.03 не получается тут загрузить, ошибка.
 

Вложения

  • CollectionLog-2014.05.16-20.03.zip
    119 KB · Просмотры: 1
Последнее редактирование модератором:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,749
Реакции
2,321
Баллы
653
не получилось,требовались права Администратора
На вкладке Общая снимите галочку Только чтение.

Приписка осталась на этих ярлыках:
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
 

Dimitri

Активный пользователь
Сообщения
200
Реакции
9
Баллы
398
Убрал прописку с ярлыков
 

akok

Команда форума
Администратор
Сообщения
19,945
Реакции
13,635
Баллы
2,203
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

Dimitri

Активный пользователь
Сообщения
200
Реакции
9
Баллы
398
выполнил
 

Вложения

  • MBAM-log-2014-05-15 (19-18-01).txt
    2.4 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,749
Реакции
2,321
Баллы
653
Найденный файл можно удалить. Что с проблемой?
 

Dimitri

Активный пользователь
Сообщения
200
Реакции
9
Баллы
398
Спасибо, все отлично, !!!
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,749
Реакции
2,321
Баллы
653
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.

Рекомендации после удаления вредоносного ПО.
 

Dimitri

Активный пользователь
Сообщения
200
Реакции
9
Баллы
398
Вообщем все хорошо было , кроме Adobe Reader , его удалил , отчет удалил по неосторожности.
 

akok

Команда форума
Администратор
Сообщения
19,945
Реакции
13,635
Баллы
2,203
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу