# Форум на русском языке  > Помогите!  >  "Этот параметр включен администратором"....

## AlexR07

В хроме поменялся поисковик и я не могу его поменять, пишет "Этот параметр включен администратором" и еще установилась какая то китайская фигня. Что делать??

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Info_bot

Уважаемый(ая) *AlexR07*, спасибо за обращение на наш форум! 

 Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

 Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

----------


## Nikkollo

В указанной последовательности:
Загрузитесь в безопасном режиме.
Через панель управления деинсталлируте все относящееся к Baidu, ACEStream, 
а так же Tongbu, если не сами устанавливали.
А так же попробуйте изменить ваши настройки в хроме.

Пофиксите в HijackThis только указанные строки (как пофиксить):


```
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7eff6cd61c95a6bab66f4bc613dcb6ec&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7eff6cd61c95a6bab66f4bc613dcb6ec&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7eff6cd61c95a6bab66f4bc613dcb6ec&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7eff6cd61c95a6bab66f4bc613dcb6ec&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
```


Выполните скрипт в AVZ (как выполнить):


```
begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Admin07\AppData\Roaming\ACEStream\engine\ace_engine.exe','');
 QuarantineFile('C:\Users\Admin07\appdata\roaming\acestream\engine\ace_engine.exe','');
 QuarantineFile('C:\Program Files\baidu\baidus.exe','');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe','');
 QuarantineFile('C:\Program Files\Tongbu\tongbu.exe','');
 QuarantineFile('C:\Program Files\Google\chrome.bat','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\iexplore.bat http://kopsearch.ru','');
 QuarantineFile('C:\Program Files\Google\chrome.bat http://kopsearch.ru','');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 DeleteFile('C:\Program Files\Google\chrome.bat http://kopsearch.ru','32');
 DeleteFile('C:\iexplore.bat http://kopsearch.ru','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Program Files\Google\chrome.bat','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
 DeleteFile('C:\Program Files\baidu\baidus.exe','32');
 DeleteFile('C:\Users\Admin07\appdata\roaming\acestream\engine\ace_engine.exe','32');
 DelCLSID('{89820200-ECBD-11cf-8B85-00AA005B4340}');
 DelCLSID('{2C7339CF-2B09-4501-B3F3-F3508C9228ED}');
 DeleteFile('C:\Users\Admin07\AppData\Roaming\ACEStream\engine\ace_engine.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream');
ExecuteWizard('TSW',2,2,true);
ExecuteSysClean;
RebootWindows(true);
end.
```

Компьютер перезагрузится.

Загружайтесь в обычном режиме.

Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

Подготовьте лог AdwCleaner 
http://virusinfo.info/showthread.php...=1#post1041844
и приложите его в теме.

Сделайте лог CheckBrowserLnk
и приложите в теме.

----------


## AlexR07

Вот

----------


## mike 1

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.Распакуйте архив с утилитой в отдельную папку.Перенесите *Check_Browsers_LNK.log* на ClearLNK как показано на рисунке

Отчет о работе *ClearLNK-<Дата>.log* будет сохранен в папке *LOG*.Прикрепите этот отчет к своему следующему сообщению.

Запустите повторно *AdwCleaner (by Xplode)* (в ОС *Windows Vista/Seven* необходимо запускать через правую кн. мыши *от имени администратора*),  нажмите кнопку *"Scan"*.По окончанию сканирования снимите галочки со следующих строк:


```
Папка Найдено : C:\Users\Admin07\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Admin07\AppData\Local\MailRu
```

Нажмите кнопку "*Очистить*" ("*Clean*") и дождитесь окончания удаления.Когда удаление будет завершено, отчет будет сохранен в следующем расположении: *C:\AdwCleaner\AdwCleaner[S0].txt*.Прикрепите отчет к своему следующему сообщению
*Внимание: Для успешного удаления нужна перезагрузка компьютера!!!*.

Подробнее читайте в этом руководстве.

Скачайте *Farbar Recovery Scan Tool*  и сохраните на Рабочем столе.

*Примечание*: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите *Yes* для соглашения с предупреждением.Убедитесь, что под окном *Optional Scan* отмечены _"List BCD"_ и _"Driver MD5"_.Нажмите кнопку *Scan*.После окончания сканирования будет создан отчет (*FRST.txt*) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.Если программа была запущена в первый раз, будет создан отчет (*Addition.txt*). Пожалуйста, прикрепите его в следующем сообщении.

----------


## AlexR07

.....

----------


## mike 1

Деинсталлируйте Ace Stream Media 3.0.5

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как *fixlist.txt* в ту же папку откуда была запущена утилита:


```
HKU\S-1-5-21-1132066930-1789054352-713736932-1001\...\Run: [AceStream] => C:\Users\Admin07\AppData\Roaming\ACEStream\engine\ace_engine.exe [23984 2014-12-05] ()
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
2014-12-22 16:26 - 2014-12-19 17:37 - 00073032 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys
2014-12-22 16:22 - 2014-12-22 16:57 - 00140104 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.sys
2014-12-19 19:03 - 2014-12-22 16:37 - 00245576 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench.sys
2014-12-19 17:37 - 2014-12-19 17:37 - 00182088 _____ (Baidu) C:\Windows\system32\Drivers\bd0004.sys
2014-12-19 17:37 - 2014-12-19 17:37 - 00063304 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys
2014-12-19 17:34 - 2014-12-23 18:27 - 00000000 ____D () C:\Program Files\Common Files\Baidu
2014-12-19 16:00 - 2014-12-19 16:00 - 00628496 _____ (CMI Limited) C:\Users\Admin07\AppData\Local\nsm436D.tmp
2014-12-19 14:48 - 2014-12-19 18:20 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
2014-12-19 14:48 - 2014-12-19 18:20 - 00000258 __RSH () C:\ProgramData\ntuser.pol
2014-12-19 14:48 - 2014-12-19 17:34 - 00000094 ____H () C:\WoTLauncher.bat
2014-12-19 14:48 - 2014-10-31 12:32 - 00815248 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2014-12-19 14:48 - 2014-09-30 11:20 - 09041264 ____H (Wargaming.net) C:\WоТLаunсhеr.bаt.exe
EmptyTemp:
Reboot:
```

Запустите FRST и нажмите один раз на кнопку *Fix* и подождите. Программа создаст лог-файл (*Fixlog.txt*). Пожалуйста, прикрепите его в следующем сообщении!Обратите внимание, что компьютер будет *перезагружен*.

----------


## AlexR07

"Ace Stream Media" я пользуюсь этой программой.

----------


## mike 1

> "Ace Stream Media" я пользуюсь этой программой.


Она относится к нежелательному ПО. Без спроса может установить расширение в браузер, которое будет показывать рекламу в браузере.

Что с проблемой?

----------


## AlexR07

"Ace Stream Media" пользуюсь это программой достаточно давно и пока не замечал ни чего плохого за ней. Будет шалить, тогда удалю. 
Проблема устранена. Большое спасибо за помощь))

----------


## mike 1

Вот http://forum.kaspersky.com/index.php?showtopic=306365 почитайте.

Скачайте DelFix и сохраните утилиту на *Рабочем столе*Запустите *DelFix**Обратите внимание*, что утилиты необходимо запускать от имени Администратора. По умолчанию в *Windows XP* так и есть. В *Windows Vista* и *Windows 7* администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать *Запуск от имени Администратора*, при необходимости укажите пароль администратора и нажмите *Да*В открывшемся окне программы поставьте галочки напротив пунктов *Remove desinfection tools* и *Create registry backup*Нажмите на кнопку *Run*После окончания работы программы автоматически откроется блокнот с отчетом *delfix.txt*Прикрепите этот отчет в вашей теме.

Загрузите *SecurityCheck by glax24* отсюда и сохраните утилиту на _Рабочем столе_Запустите двойным щелчком мыши (если Вы используете _Windows XP_) или из меню по щелчку правой кнопки мыши _Запустить от имени администратора_ (если Вы используете _Windows Vista/7_)Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.Дождитесь окончания сканирования, откроется лог в блокноте с именем *SecurityCheck.txt*;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем _SecurityCheck_, например _C:\SecurityCheck\SecurityCheck.txt_

----------

