Здравствуйте.
Запускаются в браузере постоянно сайты Delta-homes, PortaldoSites. Также браузер сам закрывается. Браузеры фаирвокс и хром. Помогите пожалуйста удалить этот вирус.[ATTACH]438450[/ATTACH][ATTACH]438449[/ATTACH]
Printable View
Здравствуйте.
Запускаются в браузере постоянно сайты Delta-homes, PortaldoSites. Также браузер сам закрывается. Браузеры фаирвокс и хром. Помогите пожалуйста удалить этот вирус.[ATTACH]438450[/ATTACH][ATTACH]438449[/ATTACH]
Уважаемый(ая) [B]slai[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
[ATTACH]438500[/ATTACH]
Скопируйте текст ниже в [b]Блокнот[/b] и сохраните как файл с названием [b]CFScript.txt[/b] в корень диска С.
[code]KillAll::
Firefox::
FF - ProfilePath - c:\users\slai\AppData\Roaming\Mozilla\Firefox\Profiles\4jluh5dx.default\
FF - prefs.js: browser.search.selectedEngine - delta-homes
FF - prefs.js: browser.startup.homepage - hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=OCZ-VERTEX3_OCZ-A5902374NSBP3OCN&ts=1380274408
FF - ExtSQL: 2013-08-01 23:57; [email protected]; c:\users\slai\AppData\Roaming\Mozilla\Firefox\Profiles\4jluh5dx.default\extensions\[email protected]
FF - ExtSQL: 2013-08-02 23:43; {11483926-db67-4190-91b1-ef20fcec5f33}; c:\users\slai\AppData\Roaming\Mozilla\Firefox\Profiles\4jluh5dx.default\extensions\{11483926-db67-4190-91b1-ef20fcec5f33}.xpi
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: extensions.funmoods.hmpg - true
FF - user.js: extensions.funmoods.hmpgUrl - hxxp://searchfunmoods.com/?f=1&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0AyCyEyE0DyCyCyB0A0CtAtN0D0Tzu0CtAzzyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=523001880
FF - user.js: extensions.funmoods.dfltSrch - true
FF - user.js: extensions.funmoods.srchPrvdr - Funmoods
FF - user.js: extensions.funmoods.dnsErr - true
FF - user.js: extensions.funmoods_i.newTab - true
FF - user.js: extensions.funmoods.newTabUrl - hxxp://searchfunmoods.com/?f=2&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0AyCyEyE0DyCyCyB0A0CtAtN0D0Tzu0CtAzzyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=523001880
FF - user.js: extensions.funmoods.tlbrSrchUrl - hxxp://searchfunmoods.com/?f=3&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0AyCyEyE0DyCyCyB0A0CtAtN0D0Tzu0CtAzzyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=523001880&q=
FF - user.js: extensions.funmoods.id - 90E6BA644D667AC3
FF - user.js: extensions.funmoods.instlDay - 15724
FF - user.js: extensions.funmoods.vrsn - 1.5.23.22
FF - user.js: extensions.funmoods.vrsni - 1.5.23.22
FF - user.js: extensions.funmoods_i.vrsnTs - 1.5.23.2221:41:9
FF - user.js: extensions.funmoods.prtnrId - funmoods
FF - user.js: extensions.funmoods.prdct - funmoods
FF - user.js: extensions.funmoods.aflt - iron2
FF - user.js: extensions.funmoods_i.smplGrp - none
FF - user.js: extensions.funmoods.tlbrId - base
FF - user.js: extensions.funmoods.instlRef - iron2
FF - user.js: extensions.funmoods.dfltLng -
FF - user.js: extensions.funmoods.excTlbr - false
FF - user.js: extensions.funmoods.autoRvrt - false
FF - user.js: extensions.funmoods.envrmnt - production
FF - user.js: extensions.funmoods.isdcmntcmplt - true
FF - user.js: extensions.funmoods.mntrvrsn - 1.3.0
DDS::
uStart Page = hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=OCZ-VERTEX3_OCZ-A5902374NSBP3OCN&ts=1380280734
mDefault_Page_URL = hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=OCZ-VERTEX3_OCZ-A5902374NSBP3OCN&ts=1380280734
mStart Page = hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=OCZ-VERTEX3_OCZ-A5902374NSBP3OCN&ts=1380280734
[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Выполнил.[ATTACH]438523[/ATTACH]
Все на месте
Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=OCZ-VERTEX3_OCZ-A5902374NSBP3OCN&ts=1380280734
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=OCZ-VERTEX3_OCZ-A5902374NSBP3OCN&ts=1380280734
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=OCZ-VERTEX3_OCZ-A5902374NSBP3OCN&ts=1380280734
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=OCZ-VERTEX3_OCZ-A5902374NSBP3OCN&ts=1380280734[/CODE]
Зайдите в папку c:\users\slai\AppData\Roaming\Mozilla\Firefox\Profiles\4jluh5dx.default\
Откройте в Блокноте файл user.js и удалите из него записи
[CODE]extensions.funmoods.hmpg - true
extensions.funmoods.hmpgUrl - hxxp://searchfunmoods.com/?f=1&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0AyCyEyE0DyCyCyB0A0CtAtN0D0Tzu0CtAzzyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=523001880
extensions.funmoods.dfltSrch - true
extensions.funmoods.srchPrvdr - Funmoods
extensions.funmoods.dnsErr - true
extensions.funmoods_i.newTab - true
extensions.funmoods.newTabUrl - hxxp://searchfunmoods.com/?f=2&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0AyCyEyE0DyCyCyB0A0CtAtN0D0Tzu0CtAzzyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=523001880
extensions.funmoods.tlbrSrchUrl - hxxp://searchfunmoods.com/?f=3&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuzytD0EyC0B0AyCyEyE0DyCyCyB0A0CtAtN0D0Tzu0CtAzzyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=523001880&q=
extensions.funmoods.id - 90E6BA644D667AC3
extensions.funmoods.instlDay - 15724
extensions.funmoods.vrsn - 1.5.23.22
extensions.funmoods.vrsni - 1.5.23.22
extensions.funmoods_i.vrsnTs - 1.5.23.2221:41:9
extensions.funmoods.prtnrId - funmoods
extensions.funmoods.prdct - funmoods
extensions.funmoods.aflt - iron2
extensions.funmoods_i.smplGrp - none
extensions.funmoods.tlbrId - base
extensions.funmoods.instlRef - iron2
extensions.funmoods.dfltLng -
extensions.funmoods.excTlbr - false
extensions.funmoods.autoRvrt - false
extensions.funmoods.envrmnt - production
extensions.funmoods.isdcmntcmplt - true
extensions.funmoods.mntrvrsn - 1.3.0 [/CODE]
Сделал, но проблема осталась=(
Новые логи HiJack и ComboFix сделайте
[ATTACH]438530[/ATTACH][ATTACH]438529[/ATTACH]
В файле prefs.js удалите browser.startup.homepage
Удаляю, а эти строки все равно восстанавливаются. Вернее чють измененные строки появляются.
Это только в Firefox уже?
В опере тоже.
Попробуйте переустановить браузеры с полной зачисткой всех следов
Перепутал название не опера, а хром. Переустановил мозилу и хром вроде нормально пока. Может как то проверить не остались ли следы?
[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
Удалил. Спасибо вам большое.