В хроме поменялся поисковик и я не могу его поменять, пишет "Этот параметр включен администратором" и еще установилась какая то китайская фигня. Что делать??
Printable View
В хроме поменялся поисковик и я не могу его поменять, пишет "Этот параметр включен администратором" и еще установилась какая то китайская фигня. Что делать??
Уважаемый(ая) [B]AlexR07[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
В указанной последовательности:
Загрузитесь в безопасном режиме.
Через панель управления деинсталлируте все относящееся к Baidu, ACEStream,
а так же Tongbu, если не сами устанавливали.
А так же попробуйте изменить ваши настройки в хроме.
Пофиксите в HijackThis только указанные строки [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7eff6cd61c95a6bab66f4bc613dcb6ec&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7eff6cd61c95a6bab66f4bc613dcb6ec&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7eff6cd61c95a6bab66f4bc613dcb6ec&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7eff6cd61c95a6bab66f4bc613dcb6ec&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
[/CODE]
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ClearQuarantine;
QuarantineFile('C:\Users\Admin07\AppData\Roaming\ACEStream\engine\ace_engine.exe','');
QuarantineFile('C:\Users\Admin07\appdata\roaming\acestream\engine\ace_engine.exe','');
QuarantineFile('C:\Program Files\baidu\baidus.exe','');
QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
QuarantineFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe','');
QuarantineFile('C:\Program Files\Tongbu\tongbu.exe','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\iexplore.bat http://kopsearch.ru','');
QuarantineFile('C:\Program Files\Google\chrome.bat http://kopsearch.ru','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
DeleteFile('C:\Program Files\Google\chrome.bat http://kopsearch.ru','32');
DeleteFile('C:\iexplore.bat http://kopsearch.ru','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
DeleteFile('C:\Program Files\baidu\baidus.exe','32');
DeleteFile('C:\Users\Admin07\appdata\roaming\acestream\engine\ace_engine.exe','32');
DelCLSID('{89820200-ECBD-11cf-8B85-00AA005B4340}');
DelCLSID('{2C7339CF-2B09-4501-B3F3-F3508C9228ED}');
DeleteFile('C:\Users\Admin07\AppData\Roaming\ACEStream\engine\ace_engine.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream');
ExecuteWizard('TSW',2,2,true);
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Загружайтесь в обычном режиме.
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
Подготовьте лог AdwCleaner
[url]http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844[/url]
и приложите его в теме.
Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowserLnk[/URL]
и приложите в теме.
Вот
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.16mb.com/Safe/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Папка Найдено : C:\Users\Admin07\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Admin07\AppData\Local\MailRu
[/CODE][*]Нажмите кнопку "[B]Очистить[/B]" ("[B]Clean[/B]") и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]https://www.dropbox.com/s/bw0sjh213n7646i/FRST.png?dl=1[/img]
.....
Деинсталлируйте Ace Stream Media 3.0.5
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита:
[code]
HKU\S-1-5-21-1132066930-1789054352-713736932-1001\...\Run: [AceStream] => C:\Users\Admin07\AppData\Roaming\ACEStream\engine\ace_engine.exe [23984 2014-12-05] ()
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
2014-12-22 16:26 - 2014-12-19 17:37 - 00073032 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys
2014-12-22 16:22 - 2014-12-22 16:57 - 00140104 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.sys
2014-12-19 19:03 - 2014-12-22 16:37 - 00245576 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench.sys
2014-12-19 17:37 - 2014-12-19 17:37 - 00182088 _____ (Baidu) C:\Windows\system32\Drivers\bd0004.sys
2014-12-19 17:37 - 2014-12-19 17:37 - 00063304 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys
2014-12-19 17:34 - 2014-12-23 18:27 - 00000000 ____D () C:\Program Files\Common Files\Baidu
2014-12-19 16:00 - 2014-12-19 16:00 - 00628496 _____ (CMI Limited) C:\Users\Admin07\AppData\Local\nsm436D.tmp
2014-12-19 14:48 - 2014-12-19 18:20 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
2014-12-19 14:48 - 2014-12-19 18:20 - 00000258 __RSH () C:\ProgramData\ntuser.pol
2014-12-19 14:48 - 2014-12-19 17:34 - 00000094 ____H () C:\WoTLauncher.bat
2014-12-19 14:48 - 2014-10-31 12:32 - 00815248 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2014-12-19 14:48 - 2014-09-30 11:20 - 09041264 ____H (Wargaming.net) C:\WоТLаunсhеr.bаt.exe
EmptyTemp:
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
"Ace Stream Media" я пользуюсь этой программой.
[QUOTE]"Ace Stream Media" я пользуюсь этой программой.[/QUOTE]
Она относится к нежелательному ПО. Без спроса может установить расширение в браузер, которое будет показывать рекламу в браузере.
Что с проблемой?
"Ace Stream Media" пользуюсь это программой достаточно давно и пока не замечал ни чего плохого за ней. Будет шалить, тогда удалю.
Проблема устранена. Большое спасибо за помощь))
Вот [url]http://forum.kaspersky.com/index.php?showtopic=306365[/url] почитайте.
[LIST=1][*]Скачайте [url=https://toolslib.net/downloads/finish/2/]DelFix[/url] и сохраните утилиту на [b]Рабочем столе[/b][*]Запустите [b]DelFix[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B][*]Нажмите на кнопку [B]Run[/B][*]После окончания работы программы автоматически откроется блокнот с отчетом [B]delfix.txt[/B][*]Прикрепите этот отчет в вашей теме.[/LIST]
[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]