Вместо домашней страницы загружаются рекламные сайты

Здравствуйте. Подцепила очередную дрянь. Вместо дом. страницы яндекса загружаются разные рекламные сайты. Еще загрузился какой-то браузер? Аmigo, в папке его нашла, а вот файла для удаления нет, через панель управления тоже не могу удалить.

Уважаемый(ая) [B]Katushka1977[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
O20 - AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll
[/CODE]

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

Пофиксила.
Все остальное сделала

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Folder Found C:\Program Files (x86)\Yandex
Folder Found C:\Program Files\Yandex
Folder Found C:\ProgramData\Yandex
Folder Found C:\Users\f\AppData\LocalLow\Yandex
Folder Found C:\Users\f\AppData\Roaming\Mozilla\firefox\Profiles\h0pljr9o.default\Yandex
Folder Found C:\Users\f\AppData\Roaming\Yandex
[/CODE][*] Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Отчет MBAM просил сделать полное сканирование, а не быстрое.

Удалила и сделала полное сканирование.
Теперь комп пытается загрузить левые сайты, но соединение сбрасывается

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

[CODE]
Обнаруженные файлы: 37
C:\$Recycle.Bin\S-1-5-21-2077158306-3860180716-1125369226-1001\$REGQ2KV.exe (PUP.Optional.WinSolution) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\RightSurf\RightSurfBHO.dll.vir (PUP.Optional.RightSurf.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\RightSurf\updateRightSurf.exe.vir (PUP.Optional.RightSurf.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\RightSurf\bin\utilRightSurf.exe.vir (PUP.Optional.RightSurf.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\Searchprotect\Main\bin\CltMngSvc.exe.vir (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\Searchprotect\Main\bin\SPTool.dll.vir (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\Searchprotect\Main\bin\uninstall.exe.vir (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\Searchprotect\SearchProtect\bin\cltmng.exe.vir (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\Searchprotect\SearchProtect\bin\SPTool64.exe.vir (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\Searchprotect\SearchProtect\bin\SPVC32.dll.vir (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\Searchprotect\SearchProtect\bin\SPVC32Loader.dll.vir (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\Searchprotect\SearchProtect\bin\SPVC64.dll.vir (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\Searchprotect\SearchProtect\bin\SPVC64Loader.dll.vir (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\Searchprotect\UI\bin\cltmngui.exe.vir (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\SupTab\SupIePluginServiceUpdate.exe.vir (PUP.Optional.IePluginService.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files (x86)\SupTab\SupTab.dll.vir (PUP.Optional.SupTab.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\ProgramData\IePluginService\PluginService.exe.vir (PUP.Optional.IePluginService.A) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\ProgramData\WPM\wprotectmanager.exe.vir (PUP.Optional.WpManager) -> Действие не было предпринято.
C:\Users\f\AppData\Local\Microsoft\Windows\INetCache\IE\61RVWONY\Setup[1].exe (PUP.Optional.RightSurf.A) -> Действие не было предпринято.
C:\Users\f\AppData\Local\Microsoft\Windows\INetCache\IE\61RVWONY\sp-downloader[1].exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\f\AppData\Local\Microsoft\Windows\INetCache\IE\KZPCC42W\SkypeSetupFull[1].exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
C:\Users\f\AppData\Local\Microsoft\Windows\INetCache\IE\KZPCC42W\SkypeSetupFull[2].exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
C:\Users\f\AppData\Local\Microsoft\Windows\INetCache\IE\KZPCC42W\SPSetup[1].exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\f\AppData\Local\Microsoft\Windows\INetCache\IE\XCA9MTSX\Flvto_Updates_Nov_8590[1].exe (PUP.Optional.InstallMonetizer.A) -> Действие не было предпринято.
C:\Users\f\AppData\Local\Microsoft\Windows\INetCache\IE\XCA9MTSX\rcpsetup17970[1].exe (PUP.Optional.RegCleanerPro) -> Действие не было предпринято.
C:\Users\f\AppData\Local\Microsoft\Windows\INetCache\IE\XCA9MTSX\spstub[1].exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
[/CODE]

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. Можно быстрое сканирование сделать.

MBAM пищит все время, что заблокирован путь к сайту под таким-то IP.
[QUOTE]При быстром сканировании ничего не обнаружено, но при обычном есть какие-то не те программы.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).[/QUOTE] Все сделала как Вы сказали.
При загрузке браузера он пытается загрузить какую-либо из рекламных страниц, но пишет что соединение прервано. Домашняя страница Яндекса не вылезает :(
Непонятный Амиго остался, удалять его боюсь, т.к. его нет в панели управления и в папке где установлен Амиго нет деинсталяционного файла

[QUOTE]Амиго остался[/QUOTE]
Это браузер от Mail. Поищите в панели управления => Установка и удаление программ программы от mail и деинсталлируйте их.

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Спасибо ))) Амиго убрала. К сожалению не увидела, что название браузера пишется на русском

Закройте все программы

Отключите
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:

[CODE]
begin
DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll','32');
ExecuteSysClean;
RebootWindows(false);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера.

[LIST][*]Если у вас [B][URL="http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions"]32 разрядная версия windows[/URL][/B], то скачайте [url=http://safezone.cc/resources/4/][B]Random's System Information Tool (RSIT)[/B][/url] или с [url="http://images.malwareremoval.com/random/RSIT.exe"]зеркала[/url] [*]Если у вас [B][URL="http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions"]64 разрядная версия windows[/URL][/B], то необходимо скачать эту версию [URL="http://safezone.cc/resources/6/"][B]Random's System Information Tool(RSIT)x64[/B][/URL] или с [URL="http://images.malwareremoval.com/random/RSITx64.exe"]зеркала[/URL][/LIST]
Запустите, выберите проверку файлов за последние три месяца и нажмите "Продолжить". Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=115256"]руководстве[/URL].

Здравствуйте. Скрипт сделала.
Файлы есть

Пересоздайте ярлыки для браузеров.

Что с проблемой?

То выскакивала пустая страница, теперь опять загружаются рекламные сайты, при чем они еще и вопят когда собираюсь закрыть страницу.
Простите, не поняла что значит - пересоздать?

[QUOTE]Простите, не поняла что значит - пересоздать?[/QUOTE]
Удалите старый ярлык браузера и создайте новый. Проблема во всех браузерах или только в одном каком-то браузере?

Я пользуюсь только ФФ но проверила Internet Explorer тоже выскакивает реклама

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

О! Удалила ярлык ФФ и загрузила новый, пока лишнее не загрузилось, только домашняя страница

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Malwar все равно все время пищит, что был заблокирован доступ к сайту под таким-то IP.
Вирус наверное остался, если это вирус был

Сделайте [URL="http://safezone.cc/resources/checkbrowserlnk.81/"]такой[/URL] отчет.

Готово

Эти ярлыки пересоздайте:

[CODE]
C:\Users\f\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.lnk
C:\Users\f\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk
C:\Users\f\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\f\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
[/CODE]

Сейчас там прописан нехороший сайт :)

Спасибо. Только, пожалуйста, необходимо лезть прямо по адресу?
C:\Users\f\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.lnk

IE у меня еще висит в панели быстрого запуска и если я правильно поняла, то это она и есть.
Можно прямо так и сделать, убрать ярлык из панели быстрого запуска, а потом через папку с установленным IE воссоздать ярлык вновь?
Ярлыки есть только на Рабочем столе и панели быстрого запуска.

[QUOTE]Можно прямо так и сделать, убрать ярлык из панели быстрого запуска, а потом через папку с установленным IE воссоздать ярлык вновь?[/QUOTE]
Можно.

[QUOTE]Ярлыки есть только на Рабочем столе и панели быстрого запуска[/QUOTE]
Эти ярлыки тоже нужно пересоздать.

mike 1, я не разберусь никак, у меня такого пути нет вообще, т.е.:
C:\Users\f\AppData - это есть и то я папку appdata нахожу через поиск, а дальше вообще ничего похожего :?

Вы просто пересоздайте ярлыки для каждого браузера в панели быстрого запуска и на рабочем столе.

Спасибо большое :) Сделала. Все работает без проблем. На всякий случай сделала лог CheckBrowserLnk.
Скажите пожалуйста, а можно будет удалить MBAM?

В панели быстрого запуска пересоздайте ярлыки для всех браузеров.

В меню Пуск тоже пересоздайте ярлыки для браузеров.

Вроде бы все, еле еле нашла этот амиго, там остаточные файлы какие-то были

Уже лучше, но часть ярлыков осталось. Откройте Мой компьютер и удалите или пересоздайте эти ярлыки:

[CODE]
C:\Users\f\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\f\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\f\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk
[/CODE]

Кажется получилось :D Только одна весЧь случалась непонятная, перенесла ярлык ФФ на панель быстрого запуска, при нажатии на него в этой же панели появляется второй ярлык ((( Один убрала, перезагрузила комп, но при нажатии все равно ярлык дублируется

Его можно удалить потянув нужный ярлык левой кнопкой мыши на рабочий стол.

Удалила один из ярлыков на панели быстрого запуска. Все равно появляется второй

Еще раз сделайте лог CheckBrowserLnk

Готово

Сделайте такие [url=http://tools.safezone.cc/glax24/SIT/SITLog.zip]логи[/url]

Сделала

[QUOTE=Katushka1977;1104401]Все равно появляется второй[/QUOTE]
Что имелось в виду, а то я по последним отчетам плохого не вижу.

Сделала скрин. Т.е я убираю один ярлык с панели, потом если мне надо полностью закрываю браузер и когда опять нажимаю на ярлык ФФ на панели быстрого запуска, то тут на этой панели появляется второй

Когда запускается браузер появляться второй ярлык запущенного браузера. По закрытию браузера этот второй ярлык должен исчезнуть.

Исчезает, но было-то все хорошо, один и один ))) Я наверное где-нибудь не там удалила ярлык в прошлый раз

Попробуйте тогда так сделать:

1. Правой кнопкой мыши нажмите по ярлыкам Firefox и нажмите "Изъять программу из панели задач".

[IMG]http://i.imgur.com/ElK2WFP.png[/IMG]

2. С рабочего стола запустите Firefox.

3. Нажмите правой кнопкой мыши по ярлыку Firefox в панели задач и нажмите "Закрепить в панели задач".

[IMG]http://i.imgur.com/gJOu5Re.png[/IMG]

Сделала, все равно появляется дубль