Показано с 1 по 18 из 18.

Рекламная стартовая страница (заявка № 180748)

  1. #1
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    7

    Рекламная стартовая страница

    Здравствуйте!
    Маленький ребёнок без моего ведома скачал игру из интернета, в нагрузку к скачанному поустанавливалось очень много программ, в том числе Baidu, которые я успешно принудительно удалил с помощью Revo Uninstaller Pro по инструкции из интернета.

    Несколько раз чистил всё ccleaner, перезагружал компьютер, сбрасывал настройки браузера, проверял антивирусом, но ничего не помогает.

    В IE, Mozilla, Chrome остались стартовые страницы: trahlab, vezunchik.club, search-da.

    Не знаю что делать.

    +сделал всё по инструкции, но файла AVZ - virusinfo_syscure.zip [/B][B]в папке LOG нет.

    Выполнил ещё раз третий скрипт, прикрепляю.
    Но получается, что порядок действий нарушен, если надо, то переделаю.
    Вложения Вложения
    Последний раз редактировалось Doge; 29.03.2015 в 21:12.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,269
    Вес репутации
    326
    Уважаемый(ая) Doge, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Здравствуйте!

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

    WindowsMangerProtect, AnyProtectEx, - удалите через установку удаление программ.


    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     SetServiceStart('BDArKit', 4);
     SetServiceStart('BDKVRTP', 4);
     StopService('BdSandBox');
     StopService('BDMWrench_x64');
     StopService('bd0003');
     StopService('BDArKit');
     StopService('BDKVRTP');
     QuarantineFile('C:\Users\HM\AppData\Roaming\QGYN.exe', '');
     QuarantineFile('C:\Program Files\Adobe\Adobe After Effects CC\Support Files\AfterFX.com', '');
     QuarantineFile('C:\Windows\system32\DRIVERS\BdSandBox.sys', '');
     QuarantineFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe', '');
     QuarantineFile('C:\Windows\System32\Drivers\BDArKit.SYS', '');
     QuarantineFile('C:\Windows\system32\DRIVERS\bd0003.sys', '');
     DeleteFile('C:\Windows\Tasks\QGYN.job', '64');
     DeleteFile('C:\Windows\system32\Tasks\QGYN', '64');
     DeleteFile('C:\Users\HM\AppData\Roaming\QGYN.exe', '32');
     DeleteFile('C:\Program Files\Adobe\Adobe After Effects CC\Support Files\AfterFX.com', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys', '32');
     DeleteFile('C:\Windows\System32\Drivers\BDArKit.SYS', '32');
     DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys', '32');
     DeleteService('BdSandBox');
     DeleteService('BDMWrench_x64');
     DeleteService('bd0003');
     DeleteService('BDArKit');
     DeleteService('BDKVRTP');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(2);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaninger (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaninger\AdwCleaninger[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. regist получил(а) благодарность за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    7
    Здравствуйте!
    Сделал файл и загрузил его по форме, не совсем понял, что значит прикрепить его к этому сообщению.
    Ссылка на результаты анализа: http://virusinfo.info/virusdetector/...F6CB2DA32780E2
    Тема для обсуждения результатов анализа: http://virusinfo.info/showthread.php?t=180815

    WindowsMangerProtect нашёл и удалил, а вот AnyProtectEx не могу найти ни в ccleaner, ни в Revo Uninstaller Pro, ни в стандартных (у меня win 8.1) "Программы и компоненты" - поиск выдаёт только файлы с карантином avz по этому запросу.
    + В процессах таких активных нет.

    Сейчас буду выполнять скрипт в AVZ.

    ...
    Скрипт выполнил, карантин отправил, повторные логи прикрепляю, перехожу к следующему пункту.

    ...
    Я так понял, что для того, чтобы скачать AdwCleaninger (by Xplode) необходимо зарегистрироваться на сайте, никак не могу найти там регистрацию. Можно ли скачать эту программу откуда-то ещё?

    Скачал с другого сайта, ссылка есть на этот (https://toolslib.net/) сайт есть на том сайте (http://general-changelog-team.fr/), который Вы дали. Надеюсь всё безопасно.

    Прикрепляю отчёт.
    Вложения Вложения
    Последний раз редактировалось Doge; 30.03.2015 в 18:43.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Цитата Сообщение от Doge Посмотреть сообщение
    Сделал файл и загрузил его по форме, не совсем понял, что значит прикрепить его к этому сообщению.
    надо было ссылки, вы правильно сделали.

    Цитата Сообщение от Doge Посмотреть сообщение
    Я так понял, что для того, чтобы скачать AdwCleaninger (by Xplode) необходимо зарегистрироваться на сайте, никак не могу найти там регистрацию. Можно ли скачать эту программу откуда-то ещё?

    Скачал с другого сайта, ссылка есть на этот (https://toolslib.net/) сайт есть на том сайте (http://general-changelog-team.fr/), который Вы дали. Надеюсь всё безопасно.
    сегодня новая версия вышла и видно они сменили ссылку на скачивание, как раз на тот сайт откуда вы скачали.

    Логи сейчас просмотрю.

    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFile('C:\Windows\system32\VCL.dll', '');
     DeleteFile('C:\Windows\system32\VCL.dll', '32');
    ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.


    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  8. regist получил(а) благодарность за это сообщение от


  9. #6
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    7
    Почистил, прикрепляю отчёт, после очистки и перезагрузки всё равно эти стартовые страницы остались.

    Сейчас буду делать скрипт и логи...

    После выполнения скрипта и перезагрузки всё равно стартовые страницы остались и никак не убираются
    Вложения Вложения
    Последний раз редактировалось Doge; 30.03.2015 в 20:43.

  10. #7

  11. regist получил(а) благодарность за это сообщение от


  12. #8
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    7
    Отчёт uvs уже не получается прикрепить, так как израсходовано доступное место.
    Можно ли удалить старые отчёты и логи?
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Цитата Сообщение от Doge Посмотреть сообщение
    Можно ли удалить старые отчёты и логи?
    личный кабинет - управление вложениями, но лучше просто загрузите сюда http://rghost.ru/

    - - - - -Добавлено - - - - -

    +
    - выполните такой скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk','');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk','');
     QuarantineFile('C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk','');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Маil.Ru.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk','');
     QuarantineFile('C:\firefox.bat','');
     QuarantineFile('C:\launcher.bat','');
     QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
     QuarantineFile('C:\iexplore.bat','');
     DeleteFile('C:\firefox.bat','');
     DeleteFile('C:\launcher.bat','');
     DeleteFile('C:\Program Files (x86)\Google\chrome.bat','');
     DeleteFile('C:\iexplore.bat','');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


    • Пожалуйста, запустите adwCleaninger.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

  14. regist получил(а) благодарность за это сообщение от


  15. #10
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    7
    UVS:
    http://rghost.ru/private/8zNbmkj2M/d...e5ea3b1a047bef

    ...
    Карантин загрузил, сейчас буду делать следующий пункт
    ...
    Отчёт о работе прикрепил

    adwClean удалил
    Вложения Вложения
    Последний раз редактировалось Doge; 30.03.2015 в 23:02.

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Выполните скрипт в uVS

    Код:
    ;uVS v3.85.12 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v385c
    BREG
    
    sreg
    
    zoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
    bl F217EF2EA31D8F73504B1CD2F9787D9D 809288
    delall \\?\C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
    
    zoo %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL
    delall \\?\C:\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL
    
    zoo %Sys32%\DRIVERS\BDFILEDEFEND.SYS
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDFILEDEFEND.SYS
    
    zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
    delall \\?\C:\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
    
    zoo %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
    bl 46E85FE5F787FDABAE8EA8C571ADC53B 56136
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDMWRENCH_X64.SYS
    
    zoo %Sys32%\DRIVERS\BD0003.SYS
    bl A5E55CB840660113D2C051D09EF3790F 67400
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0003.SYS
    
    zoo %Sys32%\DRIVERS\BD0001.SYS
    bl B070BE913D270FC77A53F8D4304AF94D 202576
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0001.SYS
    
    zoo %Sys32%\DRIVERS\BDARKIT.SYS
    bl AC5C57F6C95C5B2EE4FE78C7C93372A5 152392
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDARKIT.SYS
    
    zoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\СHRОMЕ.BАT.EXE
    delall \\?\C:\PROGRAM FILES (X86)\GOOGLE\СHRОMЕ.BАT.EXE
    
    czoo
    areg
    сделайте свежий образ автозапуска.

  17. regist получил(а) благодарность за это сообщение от


  18. #12
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    7
    Здравствуйте!
    Я так понял, что скрипт удалил полностью Хром?
    После установки нового не будет стоять по-умолчанию поиск ямдекс?

    Карантин отправил
    Полный образ автозапуска: http://rghost.ru/private/8HXNjCR9y/a...886219878101bf

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Цитата Сообщение от Doge Посмотреть сообщение
    Я так понял, что скрипт удалил полностью Хром?
    нет, он удалил только
    Цитата Сообщение от regist Посмотреть сообщение
    СHRОMЕ.BАT.EXE
    - этот файл скопирован вирусом.

    Посмотрите, разве у вас нету файла?
    Код:
    C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

  20. regist получил(а) благодарность за это сообщение от


  21. #14
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    7
    Здравствуйте!
    Да, этот файл есть, но в настройках всё ещё стоит ямдекс как поиск по-умолчанию.
    Как его оттуда убрать?

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    В адресной строке Хрома наберите
    Код:
    chrome://settings/
    В разделе Поиск нажмите Управление поисковыми системами.
    Появится список. При наведении мышкой на нужную строку справа появится крестик, нажав на который, эта строка (и поисковая система) удалится из настроек.

  23. regist получил(а) благодарность за это сообщение от


  24. #16
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    7
    Здравствуйте!
    Дело в том, что там нет этого крестика, пишет, что эта поисковая система установлена администратором

    image.png

  25. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Цитата Сообщение от Doge Посмотреть сообщение
    Дело в том, что там нет этого крестика
    потому что надо сначала сменить поиск по умолчанию на какой-то другой, а уже потом удалять.

  26. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\iexplore.bat - Trojan.Win32.StartPage.frep


  • Уважаемый(ая) Doge, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 18.03.2015, 23:12
    2. Ответов: 13
      Последнее сообщение: 10.03.2015, 01:32
    3. Ответов: 2
      Последнее сообщение: 04.03.2015, 14:56
    4. Ответов: 12
      Последнее сообщение: 25.02.2015, 19:04
    5. Ответов: 14
      Последнее сообщение: 10.01.2015, 21:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01223 seconds with 22 queries