Решена Стартовые страницыв браузерах изменены

Статус
В этой теме нельзя размещать новые ответы.

Dimitri

Постоянный участник
Сообщения
265
Реакции
9
Вирусная реклама в браузерах Добрый Вечер! Поменяны стартовые страницы во всех браузерах , редирект в браузерах на другие страницы, пользовался Adwcleaner и mbam не помогло, а так же не помогло сменить стартовую страницу по такому способу ( скриншот ниже). Логи прилагаю.
 

Вложения

  • CollectionLog-2014.05.13-23.28.zip
    132.6 KB · Просмотры: 3
  • mbam-log-2014-05-13 (17-01-12).txt
    10.4 KB · Просмотры: 0
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritservice.exe');
TerminateProcessByName('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritdesktop.exe');
TerminateProcessByName('c:\program files (x86)\gamesrs\gupdater.exe');
QuarantineFile('C:\Users\Пользователь\appdata\roaming\adobe\uplus.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\PirritSuggestor\RegFltrX64.sys','');
QuarantineFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritservice.exe','');
QuarantineFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritdesktop.exe','');
QuarantineFile('c:\program files (x86)\gamesrs\gupdater.exe','');
DeleteFile('c:\program files (x86)\gamesrs\gupdater.exe','32');
DeleteFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritdesktop.exe','32');
DeleteFile('c:\users\Пользователь\appdata\local\pirritsuggestor\pirritservice.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\PirritSuggestor\RegFltrX64.sys','32');
DeleteFileMask('C:\Users\Пользователь\AppData\Local\PirritSuggestor', '*', true);
DeleteDirectory('C:\Users\Пользователь\AppData\Local\PirritSuggestor');
DeleteFileMask('c:\program files (x86)\gamesrs', '*', true);
DeleteDirectory('c:\program files (x86)\gamesrs');
SetServiceStart('RegFltrX64', 4);
DeleteService('RegFltrX64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(false);
end.
Компьютер перезагрузится.

Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9880
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Исправляйте эти ярлыки, удалив них приписку в виде вредоносного сайта
C:\Users\Пользователь\Desktop\Амиго.lnk [C:\Users\Пользователь\AppData\Local\Amigo\Application\amigo.exe "http://www.vash-biznes.net" [(Дата=10.04.2014 Время=15:35:03 Размер=857.5 Кб) [E13AB2D5DF5341A8845DE0B702AA2062]]]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://www.vash-biznes.net" [(Дата=08.03.2014 Время=10:34:14 Размер=790.7 Кб) [EA8386CA87165460D39A1D29FF11080B]]]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk [C:\Users\Пользователь\AppData\Local\Amigo\Application\amigo.exe "http://www.vash-biznes.net" [(Дата=10.04.2014 Время=15:35:03 Размер=857.5 Кб) [E13AB2D5DF5341A8845DE0B702AA2062]]]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "http://www.vash-biznes.net" [(Дата=24.04.2014 Время=08:33:15 Размер=821.3 Кб) [542459D16B416D054161007FC9B1246E]]]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://www.vash-biznes.net" [(Дата=08.03.2014 Время=10:34:14 Размер=790.7 Кб) [EA8386CA87165460D39A1D29FF11080B]]]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://www.vash-biznes.net" [(Дата=08.03.2014 Время=10:34:14 Размер=790.7 Кб) [EA8386CA87165460D39A1D29FF11080B]]]

Сделайте новые логи
 
Так значит все сделал, насчет исправления ярлыков по вашему способу не получилось,требовались права Администратора ( было предупреждающее оконо с ошибкой). Удалили все браузеры где была страница "Ваш Бизнесс" и установили новый "хром ".
Страницы стартовой ваш бизнесс нету
Файл CollectionLog-2014.05.16-20.03 не получается тут загрузить, ошибка.
 

Вложения

  • CollectionLog-2014.05.16-20.03.zip
    119 KB · Просмотры: 1
Последнее редактирование модератором:
не получилось,требовались права Администратора
На вкладке Общая снимите галочку Только чтение.

Приписка осталась на этих ярлыках:
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
 
Убрал прописку с ярлыков
 
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
выполнил
 

Вложения

  • MBAM-log-2014-05-15 (19-18-01).txt
    2.4 KB · Просмотры: 2
Найденный файл можно удалить. Что с проблемой?
 
Спасибо, все отлично, !!!
 
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.

Рекомендации после удаления вредоносного ПО.
 
Вообщем все хорошо было , кроме Adobe Reader , его удалил , отчет удалил по неосторожности.
 
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу