-
Junior Member
- Вес репутации
- 55
Изменение начальной страницы Хрома на isearch.omiga-plus.com. Не лечится.
Здравствуйте, знающие!
Прошу помочь с проблемой, которая, как я понял, уже поднималась многократно на страницах вашего сайта.
Пару дней назад на ПК вместе с легальной программой с «левого»сайта попало что-то непонятное под названием StormFall, которое изменяет настойки обозревателя Google Chrome-меняется начальная страница и перекидывает на сайт isearch.omiga-plus.com/... Возвращение настроек обозревателя в обычное состояние не помогло.
Плюс к этому заметил, что изменена начальная страница обозревателя Internet Explorer на http://topsearch-ru.ru/, которая потом перекидывает на trafflab.ru, потом перекидывает на megogo.net (когда там всё изменилось не знаю-этим обозревателем на ПК не пользуются).
На ПК стоит Касперский Кристал. Никак не среагировал. Быстрая проверка ПК в безопасном режиме утилитой CureIt! показала наличие 6 вредоносов, последующая полная проверка-ещё 1. Эффекта от их удаления нет.
Прилагаю логи по Правилам (AVZ ещё создала архив с автокарантином).
Последний раз редактировалось Словен; 16.12.2014 в 13:20.
Причина: убрал ссылку
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Словен, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\1F43~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\1F43~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Дима\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\Users\Дима\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Дима\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\1F43~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
DeleteFile('C:\Users\1F43~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\DigitalSite.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\ad.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMNet.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMReport.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\bdsg0001.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\DriverManager.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\BaiduRepair.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\HIPS.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\SafeBrowserDll.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\SafeExplorer.dll');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe');
BC_DeleteSvc('BDSGRTP');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0004');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDEnhanceBoost');
BC_DeleteSvc('BDMWrench');
BC_DeleteSvc('BDSafeBrowser');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте такой лог
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Всё сделал, как вы рекомендовали.
Всё прошло гладко за исключением того, что после работы скрипта в папке AVZ появился архив "Автокарантин" от 17.12.14, а вот архива от 16.12 (который появился после вчерашней работы программы) не было. MBAM при запуске ничего не упомянул о пробной версии и при установке завис на 3/4 (при этом в списке установленных программ появился, как установленный).
Все логи прилагаю.
- - - - -Добавлено - - - - -
Вот остальные логи.
-
Поместите в карантин МВАМ всё, кроме
Код:
PUP.HackTool.HotKeysHook, D:\Trainers\trainer+4.zip, , [e73691d2423a1b1b0fcbb74ddd289f61],
RiskWare.Tool.CK, D:\System Volume Information\_restore{975B987D-FBEC-4C6F-9E78-657961A1785B}\RP84\A0038273.exe, , [16074d1680fc60d626821f47847c42be],
Исправляйте ярлыки
C:\Users\Дима\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Googl e Chrome.lnk
C:\Users\Дима\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\ee4e39e2ec1a02cd\Googl e Chrome.lnk
C:\Users\Дима\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\StormFall.lnk
C:\Users\Дима\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\StormFall\StormFall.lnk
C:\Users\Дима\Desktop\StormFall.lnk
Пересоздайте ярлыки
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Дима\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Дима\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
C:\Users\Дима\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk
C:\Users\Дима\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Дима\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Internet Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Дима\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Дима\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Yandex\Yandex.lnk
C:\Users\Дима\Desktop\Yandex.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Far Cry 3\Играть Far Cry 3.lnk
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll::
File::
c:\users\Дима\AppData\Local\Yandex.bat
C:\iexplore.bat
C:\opera.bat
Driver::
Folder::
c:\programdata\WindowsMangerProtect
c:\users\Дима\AppData\Roaming\omiga-plus
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Пробовал делать всё по инструкции.
MBAM снова отработала-переместил всё найденное в карантин, т.к. не понял, как переместить не всё (перед этим была проверка-попробовал выделить указанные вами объекты-программа просто закрылась). Сам карантин программы не нашёл.
При попытке изменения ярлыков ничего не вышло. Галочка в поле "Только для чтения" везде снята. При попытке удаления приписки к имени броузера (http...) применить это действие оказалось невозможным. Появляется сообщение "Имя конечного файла задано неправильно".
Следующие действия не выполнял.
Что делать? Жду ваших рекомендаций.
-
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Новый лог ComboFix после выполнения скрипта где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Сначала сделал лог ComboFix, потом-ClearLNK.
-
c:\users\Дима\AppData\Local\Yandex.bat
C:\iexplore.bat
C:\opera.bat
удалите, если найдутся
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Указанные файлы удалил.
Проблема с Хромом и другими броузерами решена. "Левые" сайты больше не открываются. Спасибо!
Сейчас картина с Хромом такая. При клике на его иконку в строке быстрого запуска рядом появляется ещё одна иконка Хрома и открывается сам броузер (скрин прикрепляю).
Что это, остаточное явление? Как это убрать и стоит ли? Опасно ли такое повторное открытие?
Ранее, когда появилась проблема с переброской на isearch..., при клике на иконку Хрома рядом появлялась красная иконка StormFall и открывался Хром.
-
Значит удалите тот ярлык, который относится к StormFall
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Пересоздал ярлык. Дубликат появляться перестал.
Последний раз редактировалось Словен; 23.12.2014 в 13:32.
Причина: Добавлены действия
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-