В Google Chrome удалось избавиться от этой напасти в стартовой странице, но слишком много рекламы. В IE никакие действия не помогают, открывается как стартовая страница.
Printable View
В Google Chrome удалось избавиться от этой напасти в стартовой странице, но слишком много рекламы. В IE никакие действия не помогают, открывается как стартовая страница.
Уважаемый(ая) [B]miran70[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Tmp\Q0Lzp9O0HLHR.exe', '');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kbupdater Utility\kbupdater-utility.exe', '');
QuarantineFile('C:\WINDOWS\System32\Drivers\BDArKit.SYS', '');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Kbupdater Utility\kbupdater-utility.exe', '32');
DeleteFile('C:\WINDOWS\Tmp\Q0Lzp9O0HLHR.exe', '32');
DeleteFile('C:\WINDOWS\Tasks\At1.job', '32');
DeleteService('BDSafeBrowser');
DeleteService('BDEnhanceBoost');
DeleteService('bd0004');
DeleteService('BDArKit');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'DivX');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\BDArKit.SYS');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('bd0004');
BC_DeleteSvc('BDEnhanceBoost');
BC_DeleteSvc('BDSafeBrowser');
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Скачайте [url]http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/[/url] Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.
К заявке №173390
Выполните в AVZ скрипт:[CODE]begin
ExpRegKey('HKEY_CURRENT_USER','Software\Policies\Google','HKCU_Google_policies.reg');
ExpRegKey('HKEY_LOCAL_MACHINE','Software\Policies\Google','HKLM_Google_policies.reg');
end.[/CODE]
Файлы:
HKCU_Google_policies.reg
HKLM_Google_policies.reg
из папки с AVZ упакуйте в архив и прикрепите к своему следующему сообщению.
Деинсталлируйте программы:
Html5 geolocation provider
Browser Configuration Utility
SmilesExtensions version 2.1
Remote Desktop Access (VuuPC)
Surftastic
Update for Html5 geolocation provider
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]HKU\S-1-5-21-1957994488-527237240-682003330-1003\...\MountPoints2: {dbcac26c-ee41-11df-ae2a-6cf0499ddce8} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1957994488-527237240-682003330-1003\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1957994488-527237240-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://2inf.net/?utm_source=startpage
SearchScopes: HKU\S-1-5-21-1957994488-527237240-682003330-1003 -> E09793132FDBA905045382F088D7717C URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c412b751ee70d173c221d3c5324eb960&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-527237240-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c412b751ee70d173c221d3c5324eb960&text=
SearchScopes: HKU\S-1-5-21-1957994488-527237240-682003330-1003 -> {3ABDFF69-4DE3-4777-B3D2-5E43409949BC} URL = http://ru.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=STDVM
FF Homepage: hxxp://2inf.net/?utm_source=startpage
FF Extension: TrollBar - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2013-09-29]
FF Extension: MegaSmiles - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2013-09-29]
FF Extension: Desktopy - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2014-02-08]
FF Extension: AlterGeo Addons - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{B100D0FF-0001-8CE4-2790-AACE49B8AE35} [2012-07-10]
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha1931\ff
CHR Extension: (Adobe Flash Player) - C:\Documents and Settings\Пользователь\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lhkkilnkkndgjdibjagkeelhofffcmam [2014-12-24]
CHR Extension: (HTML5 location provider) - C:\Documents and Settings\Пользователь\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2014-12-24]
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path
CHR HKLM\...\Chrome\Extension: [boikejnhiggonokccamalbhmenopmiji] - C:\Program Files\Аудио и видео скачивание\avdownloader-sk.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path
CHR HKLM\...\Chrome\Extension: [imepomhdipdiihnehfpkojldjkmckkkb] - C:\Documents and Settings\Пользователь\Local Settings\Application Data\CRE\imepomhdipdiihnehfpkojldjkmckkkb.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path
CHR HKLM\...\Chrome\Extension: [lhkkilnkkndgjdibjagkeelhofffcmam] - C:\Program Files\Adobe Flash Players 11.0\adobeflashplayer-sk.crx [2014-01-30]
CHR HKLM\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files\AlterGeo\Html5 geolocation provider\altergeo.crx [2012-06-06]
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path
S3 block_reader; \??\C:\Documents and Settings\Пользователь\Рабочий стол\Portable\block_reader.sys [X]
NETSVC: dqlxhdub -> No Registry Path.
2014-12-18 15:47 - 2014-12-20 11:29 - 00000826 _____ () C:\Documents and Settings\Пользователь\Рабочий стол\Continue VuuPC Installation.lnk
2014-12-18 15:24 - 2014-12-18 15:24 - 00000000 ____D () C:\Documents and Settings\Пользователь\Главное меню\Программы\VOPackage
2014-12-14 19:07 - 2014-12-14 19:10 - 00000000 ____D () C:\Documents and Settings\Пользователь\Application Data\advPlugin
2014-12-14 18:58 - 2014-12-14 19:10 - 00000000 ____D () C:\Program Files\Kinoroom Browser
2014-12-14 18:58 - 2014-12-14 18:58 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\Kbupdater Utility
Google Update Helper (Version: 1.3.23.0 - PriceMeter) Hidden <==== ATTENTION
Task: C:\WINDOWS\Tasks\AlterGeoUpdaterS-1-5-18.job => C:\Program Files\AlterGeo\Html5 geolocation provider\html5locsvc.exe
ShortcutWithArgument: C:\Documents and Settings\All Users\Рабочий стол\Logitech Webcam Software .lnk -> C:\Program Files\Common Files\logishrd\LWSPlugins\LWS\launchershortcut.bat () -> "hxxp://supersearch13.ru"
ShortcutWithArgument: C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Logitech Webcam Software.lnk -> C:\Program Files\Common Files\logishrd\LWSPlugins\LWS\launchershortcut.bat () -> "hxxp://supersearch13.ru"
ShortcutWithArgument: C:\Documents and Settings\Пользователь\Рабочий стол\music Bieber\Google Chrome.lnk -> C:\Program Files\Google\chrome.bat () -> "hxxp://supersearch13.ru"
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае).
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемой.
[QUOTE=Vvvyg;1203874]Выполните в AVZ скрипт:[CODE]begin
ExpRegKey('HKEY_CURRENT_USER','Software\Policies\Google','HKCU_Google_policies.reg');
ExpRegKey('HKEY_LOCAL_MACHINE','Software\Policies\Google','HKLM_Google_policies.reg');
end.[/CODE]
Файлы:
HKCU_Google_policies.reg
HKLM_Google_policies.reg
из папки с AVZ упакуйте в архив и прикрепите к своему следующему сообщению.
Деинсталлируйте программы:
Html5 geolocation provider
Browser Configuration Utility
SmilesExtensions version 2.1
Remote Desktop Access (VuuPC)
Surftastic
Update for Html5 geolocation provider
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]HKU\S-1-5-21-1957994488-527237240-682003330-1003\...\MountPoints2: {dbcac26c-ee41-11df-ae2a-6cf0499ddce8} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1957994488-527237240-682003330-1003\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1957994488-527237240-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://2inf.net/?utm_source=startpage
SearchScopes: HKU\S-1-5-21-1957994488-527237240-682003330-1003 -> E09793132FDBA905045382F088D7717C URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c412b751ee70d173c221d3c5324eb960&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-527237240-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c412b751ee70d173c221d3c5324eb960&text=
SearchScopes: HKU\S-1-5-21-1957994488-527237240-682003330-1003 -> {3ABDFF69-4DE3-4777-B3D2-5E43409949BC} URL = http://ru.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=STDVM
FF Homepage: hxxp://2inf.net/?utm_source=startpage
FF Extension: TrollBar - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2013-09-29]
FF Extension: MegaSmiles - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2013-09-29]
FF Extension: Desktopy - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2014-02-08]
FF Extension: AlterGeo Addons - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{B100D0FF-0001-8CE4-2790-AACE49B8AE35} [2012-07-10]
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha1931\ff
CHR Extension: (Adobe Flash Player) - C:\Documents and Settings\Пользователь\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lhkkilnkkndgjdibjagkeelhofffcmam [2014-12-24]
CHR Extension: (HTML5 location provider) - C:\Documents and Settings\Пользователь\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2014-12-24]
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path
CHR HKLM\...\Chrome\Extension: [boikejnhiggonokccamalbhmenopmiji] - C:\Program Files\Аудио и видео скачивание\avdownloader-sk.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path
CHR HKLM\...\Chrome\Extension: [imepomhdipdiihnehfpkojldjkmckkkb] - C:\Documents and Settings\Пользователь\Local Settings\Application Data\CRE\imepomhdipdiihnehfpkojldjkmckkkb.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path
CHR HKLM\...\Chrome\Extension: [lhkkilnkkndgjdibjagkeelhofffcmam] - C:\Program Files\Adobe Flash Players 11.0\adobeflashplayer-sk.crx [2014-01-30]
CHR HKLM\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files\AlterGeo\Html5 geolocation provider\altergeo.crx [2012-06-06]
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path
S3 block_reader; \??\C:\Documents and Settings\Пользователь\Рабочий стол\Portable\block_reader.sys [X]
NETSVC: dqlxhdub -> No Registry Path.
2014-12-18 15:47 - 2014-12-20 11:29 - 00000826 _____ () C:\Documents and Settings\Пользователь\Рабочий стол\Continue VuuPC Installation.lnk
2014-12-18 15:24 - 2014-12-18 15:24 - 00000000 ____D () C:\Documents and Settings\Пользователь\Главное меню\Программы\VOPackage
2014-12-14 19:07 - 2014-12-14 19:10 - 00000000 ____D () C:\Documents and Settings\Пользователь\Application Data\advPlugin
2014-12-14 18:58 - 2014-12-14 19:10 - 00000000 ____D () C:\Program Files\Kinoroom Browser
2014-12-14 18:58 - 2014-12-14 18:58 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\Kbupdater Utility
Google Update Helper (Version: 1.3.23.0 - PriceMeter) Hidden <==== ATTENTION
Task: C:\WINDOWS\Tasks\AlterGeoUpdaterS-1-5-18.job => C:\Program Files\AlterGeo\Html5 geolocation provider\html5locsvc.exe
ShortcutWithArgument: C:\Documents and Settings\All Users\Рабочий стол\Logitech Webcam Software .lnk -> C:\Program Files\Common Files\logishrd\LWSPlugins\LWS\launchershortcut.bat () -> "hxxp://supersearch13.ru"
ShortcutWithArgument: C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Logitech Webcam Software.lnk -> C:\Program Files\Common Files\logishrd\LWSPlugins\LWS\launchershortcut.bat () -> "hxxp://supersearch13.ru"
ShortcutWithArgument: C:\Documents and Settings\Пользователь\Рабочий стол\music Bieber\Google Chrome.lnk -> C:\Program Files\Google\chrome.bat () -> "hxxp://supersearch13.ru"
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае).
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемой.[/QUOTE]
HKCU_Google_policies.reg и HKLM_Google_policies.reg (архивы)
Как видим, полное цитирование сообщений не улучшает их понимания, а только затрудняет чтение темы :>
[NOTICE]Не нужно полностью цитировать сообщения хелпера, просто пишите в окне "Быстрый ответ"[/NOTICE]
Fixlog.txt приложите.
[QUOTE]Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой[/QUOTE]
Жду.
Программа [COLOR=#555555]SmilesExtensions version 2.1 не удаляется и выдаёт ошибку( файл прилагаю); программы [/COLOR][COLOR=#555555]Update for Html5 geolocation provider нет в списке установленных программ. Файл [/COLOR][COLOR=#555555]Fixlog.txt прикрепляю к сообщению.[/COLOR]
В данный момент в IE из стартовой страницы 2inf.Net исчез.
P.S. Файл с ошибкой удаления сохранил в Word, но ваша программа его не загрузила.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Огромное спасибо!!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\tmp\q0lzp9o0hlhr.exe - [B]Trojan.Win32.Agent.alcdu[/B] ( BitDefender: Gen:Variant.Graftor.164910 )[/LIST][/LIST]