При закачке нужной мне программы автоматом накачались какие-то левые проги. Я их пытался удалить и подчистить, но толку даже после удаления нет. Теперь все браузеры запускаются со страницы [COLOR="#FF0000"]удалено[/COLOR]
Вот данные логгера:
Printable View
При закачке нужной мне программы автоматом накачались какие-то левые проги. Я их пытался удалить и подчистить, но толку даже после удаления нет. Теперь все браузеры запускаются со страницы [COLOR="#FF0000"]удалено[/COLOR]
Вот данные логгера:
Уважаемый(ая) [B]andry252[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
HiJackThis ([B]из каталога автологгера[/B]) [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (no name) - (no URL)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (no name) - (no URL)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A2A349B-B36E-4B59-AEFC-27B8D03A4F55} - Yahoo! - http://ru.search.yahoo.com/search?p={searchTerms}&fr=FP-tab-web-t&ei=UTF-8&vc=
R4 - HKLM\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (no name) - (no URL)
O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)]
O21 - ShellIconOverlayIdentifiers: YndCase0Sync - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - (no file)
O21 - ShellIconOverlayIdentifiers: YndCase1Modified - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - (no file)
O21 - ShellIconOverlayIdentifiers: YndCase2Error - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - (no file)
O21 - ShellIconOverlayIdentifiers: YndCase3Shared - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase0Sync - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase1Modified - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase2Error - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase3Shared - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - (no file)
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LBConfig','command');
RebootWindows(false);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] (из каталога автологгера) на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
Все проделал, логи прикрепил.
Но в HiJackThis выполнил только o3, R4 и o21 в списке отсутствовали.
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Я еще раз все просканировал этой прогой, но закладки "папки" там не появилось, а все остальное я удалил с помощью кнопки "очистить". После комп перезагрузился и сам открыл файл с отчетом, который я прикрепил. Там указано, что все вылечилось. Но когда я захотел прикрепить файл отчета к письму, то пошел в папку программы и открыл отчет, там опять висят файлы и службы которые он вроде бы удалил. Поэтому я прикрепляю три файла. Один из них тот, что вылез сам после перезагрузки.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Вот результаты сканирования
Знакома ли Вам?
[CODE]FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> backup.ftp", "206.123.214.4"
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> backup.ftp_port", 443
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> backup.socks", "206.123.214.4"
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> backup.socks_port", 443
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> backup.ssl", "206.123.214.4"
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> backup.ssl_port", 443
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> ftp", "85.15.176.223"
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> ftp_port", 8080
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> http", "85.15.176.223"
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> http_port", 8080
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> share_proxy_settings", true
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> socks", "85.15.176.223"
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> socks_port", 8080
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> ssl", "85.15.176.223"
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> ssl_port", 8080
FF NetworkProxy: C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default -> type", 0[/CODE]
Сами ставили UCBrowser?
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [ YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} => -> No File
ShellIconOverlayIdentifiers: [ YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} => -> No File
ShellIconOverlayIdentifiers: [ YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} => -> No File
ShellIconOverlayIdentifiers: [ YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} => -> No File
ShellIconOverlayIdentifiers: [0YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} => -> No File
ShellIconOverlayIdentifiers: [0YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} => -> No File
ShellIconOverlayIdentifiers: [0YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} => -> No File
ShellIconOverlayIdentifiers: [0YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} => -> No File
SearchScopes: HKU\S-1-5-21-1957994488-1482476501-682003330-1004 -> {8A2A349B-B36E-4B59-AEFC-27B8D03A4F55} URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}&fr=FP-tab-web-t&ei=UTF-8&vc=
FF Extension: (No Name) - C:\Documents and Settings\andry_252\Application Data\Mozilla\Firefox\Profiles\gsqv5uqo.default\Extensions\{b9acf540-acba-11e1-8ccb-001fd0e08bd4}.xpi [2017-05-20]
CHR Extension: (Ace Stream Web Extension) - C:\Documents and Settings\andry_252\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2016-10-19]
CHR HKLM\...\Chrome\Extension: [dljdacfojgikogldjffnkdcielnklkce] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1957994488-1482476501-682003330-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
R2 UCBrowserSvc; C:\Program Files\UCBrowser\Application\UCService.exe [599440 2017-05-11] () <==== ATTENTION
File: C:\Program Files\Maoha\JiSuZip\JsZipProtect.sys
2016-10-19 15:16 - 2016-10-19 15:16 - 0000018 ____H () C:\Documents and Settings\All Users\cVD
2016-10-19 15:14 - 2016-10-19 15:14 - 0000016 ____H () C:\Documents and Settings\All Users\iUt
2016-10-19 15:06 - 2016-10-19 15:06 - 0000024 ____H () C:\Documents and Settings\All Users\kjGfd
2016-10-19 15:16 - 2016-10-19 15:16 - 0000034 ____H () C:\Documents and Settings\All Users\klJhgf
2016-10-19 15:16 - 2017-04-11 18:45 - 0000019 ____H () C:\Documents and Settings\All Users\QwcR
2015-05-15 15:37 - 2015-05-15 15:37 - 0004131 _____ () C:\Documents and Settings\All Users\Application Data\mtbjfghn.xbe
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-xp.sys [88466]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:E965A533 [129]
AlternateDataStreams: C:\Documents and Settings\andry_252\Мои документы:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26]
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Все проделал!
Никакой браузер я специально не ставил!
Искал нужную мне прогу. Единственное место где ее смог скачать было там. Но при инсталяции успел заметить, что прицепом полезли другие проги и остановить этот процесс не было возможности.
А используете UCBrowser?
Нет конечно. То, что я устанавливал, я сразу удалил, а то что установилось прицепом, толком не смог удалить.
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
() C:\Program Files\UCBrowser\Application\UCService.exe
() C:\Program Files\UCBrowser\Application\6.1.2716.5\UCAgent.exe
R2 UCBrowserSvc; C:\Program Files\UCBrowser\Application\UCService.exe [599440 2017-05-11] () <==== ATTENTION
U1 ucdrv; C:\Program Files\UCBrowser\Security:ucdrv-xp.sys [88466 ] (UC Web Inc.) <==== ATTENTION
C:\Program Files\UCBrowser\Security:ucdrv-xp.sys
2017-05-31 11:30 - 2017-05-31 12:03 - 00000288 _____ C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job
2017-05-20 10:48 - 2017-05-20 10:48 - 00000000 ____D C:\Documents and Settings\NetworkService\Local Settings\Application Data\UCBrowser
2017-05-19 10:53 - 2017-05-19 10:53 - 00001086 _____ C:\Documents and Settings\andry_252\Рабочий стол\UC浏览器.lnk
2017-05-18 18:51 - 2017-05-18 18:51 - 00000000 ____D C:\Documents and Settings\andry_252\Local Settings\Application Data\UCBrowser
2017-05-18 18:48 - 2017-05-31 11:30 - 00000452 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
2017-05-18 18:16 - 2017-05-30 12:27 - 00000000 ____D C:\Documents and Settings\All Users\Главное меню\Программы\极速压缩
Folder: C:\Program Files\WindowsTM
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Приложете новые логи утилиты FRST.
К сожалению не было возможности в эти дни добраться до компа.
Я все проделал, но после перезагрузки, при запуске браузера эта гадость все-равно открывается первой. пока изменений незаметно.
Пробуйте отключить все расширения в браузере и проверить если проблема воспроизводится?
Послушайте, сегодня утром запускаю комп, открываю Firefox, а эта гадость не появилась. Не поверил! Включаю хром и он стартует с чистой страницы.
Вчера вся эта гадость стартовала первой и после ваших процедур то же, хоть комп и перегружался. Глянул Ucbrowser так и весит в program files
Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
Сегодня опять все вылезло. Ничего не пойму. В логах этой программы видел, что она ругалась на Total Commander. А я вспомнил, что у меня стоит три версии этой программы и вчера я запустил не ту, которой пользуюсь постоянно. может из-за этого после запусков браузеров вирусная страница не загрузилась? Сегодня же начал работу именно с запуска обычной версии тотала и после запуска браузера вылезла эта вирусная страница. такая вот мысля появилась.
Я все просканировал, лог прикрепляю.
[URL="http://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
BREG
;---------command-block---------
delref WMI_ACTIVESCRIPTEVENTCONSUMER\ASEC.[EVENTFILTER SETHOMEPAGE2]
zoo %SystemRoot%\IFINST27.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ANDRY_252\APPLICATION DATA\UTORRENT\UTORRENT.EXE
delall %SystemDrive%\PROGRAM FILES\UCBROWSER\SECURITY:UCDRV-XP.SYS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ANDRY_252\APPLICATION DATA\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION.XPI
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ANDRY_252\APPLICATION DATA\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION.XPI
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
apply
restart[/CODE]
Все проделал, но пока , после перезагрузки и запуска браузера, вирусная страница все еще грузится. Карантин прикрепил, как и рекомендовали в инструкции.