Произвольно запускается браузер

[krug.ri58]

Происходит самопроизвольный запуск браузера в самое разное время. Предлагают посмотреть фильмы либо поиграть в азартные игры, ну и эротического плана реклама. Все эти подарки после установки браузера (амиго) Походу это вирус прошу вас помогите заранее благодарен.

[Info_bot]

Уважаемый(ая) krug.ri58, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Иваныч\AppData\Roaming\Dorrible\Ribble\d.exe','');
 QuarantineFile('C:\Users\Иваныч\AppData\Local\Yandex\browser.bat','');
 DeleteFile('C:\Users\Иваныч\AppData\Local\Temp\_uninst_23372689.bat','32');
 DeleteFile('C:\Users\Иваныч\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Users\Иваныч\AppData\Roaming\Dorrible\Ribble\d.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Ribble','64');
 BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\ad.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMNet.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMReport.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\DriverManager.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\BaiduRepair.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\HIPS.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\SafeBrowserDll.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\SafeExplorer.dll');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDMWrench');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('BDMWrench_x64');
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=45087513ffefff398a73337b9c0fe129&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=45087513ffefff398a73337b9c0fe129&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=45087513ffefff398a73337b9c0fe129&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=45087513ffefff398a73337b9c0fe129&text=
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - C:\Program Files (x86)\Yandex\FastDial\fastdialhost.dll (file missing)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=45087513ffefff398a73337b9c0fe129&text=

Сделайте новые логи

Сделайте лог CheckBrowserLnk
Сделайте лог ComboFix

[krug.ri58]

Вот запрошенные вами логи

[thyrex]

• Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

Код:

KillAll::

File::
c:\windows\system32\drivers\BDMWrench_x64.sys
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0004.sys
C:\iexplore.bat
c:\windows\system32\drivers\bd0001.sys

Driver::
BDMWrench_x64
BDSafeBrowser
bd0001
bd0004
BDMWrench
BDArKit
BDSGRTP

Folder::
c:\program files (x86)\Common Files\Baidu

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[krug.ri58]

Вот запрашиваемые логи

[thyrex]

C:\supermegabest
c:\program files (x86)\Baidu

удалите вручную

Что с проблемой?

[krug.ri58]

Надо обождать пару дней.

[krug.ri58]

Большое спасибо. Проблема исчезла и стал быстрее работать компьютер.

[thyrex]

Удалите ComboFix