Добрый день,прошу помощи,при запуске браузера, как только он стартует то автоматом грузит вредный сайт,антивирус eset32 глушит его...комп сканировал,антивир говорит всё чисто...
Printable View
Добрый день,прошу помощи,при запуске браузера, как только он стартует то автоматом грузит вредный сайт,антивирус eset32 глушит его...комп сканировал,антивир говорит всё чисто...
Уважаемый(ая) [B]pystosh[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Олег\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Олег\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Windows\system32\drivers\pfnfd_1_10_0_9.sys','');
DeleteService('pfnfd_1_10_0_9');
QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','');
DeleteService('WindowsMangerProtect');
SetServiceStart('wefoneqo', 4);
DeleteService('wefoneqo');
TerminateProcessByName('c:\users\Олег\appdata\roaming\acff12c0-1425656893-81e4-34d5-382c4a050174\nsu47c3.tmpfs');
QuarantineFile('c:\users\Олег\appdata\roaming\acff12c0-1425656893-81e4-34d5-382c4a050174\nsu47c3.tmpfs','');
DeleteFile('c:\users\Олег\appdata\roaming\acff12c0-1425656893-81e4-34d5-382c4a050174\nsu47c3.tmpfs','32');
DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
DeleteFile('C:\Windows\system32\drivers\pfnfd_1_10_0_9.sys','32');
DeleteFile('C:\Users\Олег\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Олег\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Сделайте новые логи по правилам[/B]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]
написано карантин уже загружен( а если сам пытаюсь открыть,то папка пуста...вот логи rsit и чека
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
Пофиксите в HiJack
[CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1425658436&from=cor&uid=WDCXWD10JPVX-80JC3T0_WD-WXA1A644RP1V4RP1V&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1425658436&from=cor&uid=WDCXWD10JPVX-80JC3T0_WD-WXA1A644RP1V4RP1V&q={searchTerms}[/CODE]
Удалите вручную
[QUOTE]C:\ProgramData\IHProtectUpDate
C:\ProgramData\WindowsMangerProtect
C:\Users\Олег\AppData\Roaming\Browsers
C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat[/QUOTE]
всё проделал и удалил..всплывающая реклама всё также достает....теперь еще проблема с браузера хром не заходит на ваш сайт...сижу с эксплорера
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
высылаю,только файл frst не лезет ибо превышает места....
Заархивируйте
ОК залил [url]http://www.fayloobmennik.net/4678389[/url]
Расширение Быстрый поиск сами установили В Хроме и Опера?
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1425658436&from=cor&uid=WDCXWD10JPVX-80JC3T0_WD-WXA1A644RP1V4RP1V&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1425658436&from=cor&uid=WDCXWD10JPVX-80JC3T0_WD-WXA1A644RP1V4RP1V&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1425658436&from=cor&uid=WDCXWD10JPVX-80JC3T0_WD-WXA1A644RP1V4RP1V&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1425658436&from=cor&uid=WDCXWD10JPVX-80JC3T0_WD-WXA1A644RP1V4RP1V&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1854390503-1071191587-3292095702-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10JPVX-80JC3T0_WD-WXA1A644RP1V4RP1V&ts=1425658502&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1854390503-1071191587-3292095702-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10JPVX-80JC3T0_WD-WXA1A644RP1V4RP1V&ts=1425658502&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1854390503-1071191587-3292095702-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10JPVX-80JC3T0_WD-WXA1A644RP1V4RP1V&ts=1425658502&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1854390503-1071191587-3292095702-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10JPVX-80JC3T0_WD-WXA1A644RP1V4RP1V&ts=1425658502&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1854390503-1071191587-3292095702-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10JPVX-80JC3T0_WD-WXA1A644RP1V4RP1V&ts=1425658502&type=default&q={searchTerms}
S2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X]
R2 hykobewi; C:\Users\Олег\AppData\Roaming\ACFF12C0-1425656893-81E4-34D5-382C4A050174\jnsc8F03.tmp [194048 2015-03-06] () [File not signed]
2015-03-06 18:50 - 2015-03-06 18:53 - 00000000 ____D () C:\Users\Олег\AppData\Local\Amigo
2015-02-16 17:44 - 2015-02-16 17:44 - 00000000 ____H () C:\Windows\system32\Drivers\Msft_User_WpdFs_01_11_00.Wdf
2015-02-06 12:14 - 2015-02-06 12:14 - 00000000 ____H () C:\Windows\system32\Drivers\Msft_User_WpdMtpDr_01_11_00.Wdf
C:\Users\Олег\AppData\Local\Temp\accesspoint_11732073.2.1.exe
C:\Users\Олег\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Олег\AppData\Local\Temp\InstHelper.exe
C:\Users\Олег\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Олег\AppData\Local\Temp\mccspuninstall.exe
C:\Users\Олег\AppData\Local\Temp\Uninstall.exe
C:\Users\Олег\AppData\Local\Temp\vuupc.exe
Reboot:
[/code][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
проделал...высылаю
Что с проблемой?