при запуске браузеров открывает сайт megogo.net

Printable View

06.10.2014, 19:36
qqhello

Вложений: 3

при запуске браузеров открывает сайт megogo.net

При запуске любого из браузеров загружает сайт [удалено], затем [удалено], а затем перенаправляет уже на megogo.net
06.10.2014, 19:37
Info_bot

Уважаемый(ая) [B]qqhello[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
06.10.2014, 20:39
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
TerminateProcessByName('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.542\baiduprotect.exe');
DeleteFile('C:\IEXPLORE.bat','32');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('BDSGRTP');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0004');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDEnhanceBoost');
BC_DeleteSvc('BDMWrench');
BC_DeleteSvc('BDSafeBrowser');
BC_DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.542\baiduprotect.exe');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.542\7z.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.542\ad.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.542\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.542\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.542\BDMReport.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.542\SafeExplorer.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.542\SafeBrowserDll.dll');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\BDEnhanceBoost.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\BDSafeBrowser.sys');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.542\BaiduProtect.exe');
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7848f86741a3a62789ddcf798a56c70f&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7848f86741a3a62789ddcf798a56c70f&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7848f86741a3a62789ddcf798a56c70f&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7848f86741a3a62789ddcf798a56c70f&text=
O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7848f86741a3a62789ddcf798a56c70f&text=
[/CODE]
Сделайте новые логи

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]такой лог[/url]
06.10.2014, 22:57
qqhello

в разделе "просмотр карантина" нет файлов.
в каком пункте меню hijack нужно ввести код?
06.10.2014, 23:11
regist

[quote="qqhello;1168131"]в каком пункте меню hijack нужно ввести код?[/quote]
[url]http://virusinfo.info/showthread.php?t=4491[/url]

+ [LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
06.10.2014, 23:42
qqhello

Вложений: 4

вот логи
07.10.2014, 00:56
regist

1) Деинсталируйте AVG SafeGuard toolbar

2) - Исправьте с помощью [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиты ClearLNK[/url] следующие ярлыки:
[CODE]C:\Documents and Settings\All Users\Главное меню\Программы\Google Chrome\Google Chrome.lnk
C:\Documents and Settings\Администратор\Главное меню\Программы\Google Chrome\Панель запуска приложений Chrome.lnk
C:\Documents and Settings\Администратор\Главное меню\Программы\Internet Explorer.lnk
C:\Documents and Settings\Администратор\Главное меню\Программы\Стандартные\Служебные\Internet Explorer (без надстроек).lnk[/CODE]
отчёт о работе прикрепите.

3) - [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

4) [url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]
07.10.2014, 01:22
qqhello

Вложений: 3

случайно удалил программы меил ру - придется устанавливать заново. Что следует сделать при повторной установке, чего лучше избежать?
07.10.2014, 02:16
regist

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин

[CODE];uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v383c
BREG
zoo D:\PROGRAMMS\NERO\NEROLAUNCHER.BAT
del D:\PROGRAMMS\NERO\NEROLAUNCHER.BAT
zoo %SystemDrive%\DIABLO III LAUNCHER.BAT
del %SystemDrive%\DIABLO III LAUNCHER.BAT
zoo %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
zoo D:\YEAH\GAMES\OBLIVIONLAUNCHER.BAT
del D:\YEAH\GAMES\OBLIVIONLAUNCHER.BAT
zoo D:\YEAH\GAMES\SKYRIMLAUNCHER.BAT
del D:\YEAH\GAMES\SKYRIMLAUNCHER.BAT
zoo %SystemDrive%\PROGRAM FILES\UNINSTALL.BAT
del %SystemDrive%\PROGRAM FILES\UNINSTALL.BAT
zoo %SystemDrive%\PROGRAM FILES\UPLAY.BAT
del %SystemDrive%\PROGRAM FILES\UPLAY.BAT
delref HTTPS://MYSEARCH.AVG.COM?CID={DA110768-0AFF-461B-990A-21B16E6B06E9}&MID=39801A42F16947D2BC4A006044368BF2-AD1491BE2CE6C122F6B66FAA90E70C2DECF7D34C&LANG=RU&DS=AVG&COID=AVGTBAVG&CMPID=&PR=SA&D=2014-04-19
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDDOWNLOADER.EXE
deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107
regt 28
regt 29
deltmp
czoo
restart[/CODE]

сделайте свежий лог AdwCleaner-а

+ свежие логи RSIT

+ отпишитесь, что с проблемой?
07.10.2014, 10:15
qqhello

Вложений: 2

вроде бы сайт уже не открывается
rsit выдал только один отчет, а не два
07.10.2014, 10:53
regist

1) AVG SafeGuard toolbar - деинсталируйте.

2) Антключите антивирус, файрволл

Выполните скрипт в AVZ

[CODE]begin
RegKeyParamDel('HKLM', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Temp\F0722_s_30803.exe');
RegKeyParamDel('HKLM', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Temp\G0722_s_70904.exe');
RegKeyParamDel('HKLM', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Program Files\Common Files\Baidu\BDDownload\107\bddownloader.exe');
RebootWindows(false);
end.[/CODE]

3) [LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Удалить[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]

4) Сделайте свежие логи RSIT
07.10.2014, 13:22
qqhello

Вложений: 1

1) avg уже был удален
2) скрипт выполнил
3) awd удалил
4) rsit 1 лог
07.10.2014, 13:49
regist

1) Тем не менее в списке установленных я его вижу
[QUOTE]AVG SafeGuard toolbar-->C:\Program Files\AVG SafeGuard toolbar\UNINSTALL.exe /PROMPT /UNINSTALL[/QUOTE]
хотя это похоже вчерашний лог.
4) Второй тоже должен быть, жду его.
07.10.2014, 14:08
qqhello

Вложений: 1

1) вчера его и удалил
4)
07.10.2014, 17:56
regist

[QUOTE]Scan saved at 22:37:36, on 06.10.2014[/QUOTE]это старый лог, нужен свежий.
07.10.2014, 20:25
qqhello

Вложений: 2

вот
07.10.2014, 21:21
regist

Ещё раз выполните [URL="http://virusinfo.info/showthread.php?t=167946&p=1168280&viewfull=1#post1168280"]скрипт AVZ из поста №11[/URL] и сделайте свежие логи.
ЗЫ, перед выполнением скрипта антивирус и файрволл отключаете?

+ заодно отпишитесь, что с проблемой.
07.10.2014, 21:40
qqhello

Вложений: 2

посторонние сайты не открываются.
по всей видимости не выключал
07.10.2014, 22:30
regist

В меню Панель управления щелкните пункт Центр обеспечения безопасности.
В разделе Центр обеспечения безопасности выберите Брандмауэр Windows.
На вкладке Исключения удалите следующие правила
[CODE]"C:\Temp\F0722_s_30803.exe"="C:\Temp\F0722_s_30803.exe:*:Enabled:百度杀毒安装程序"
"C:\Temp\G0722_s_70904.exe"="C:\Temp\G0722_s_70904.exe:*:Enabled:百度卫士安装程序"[/CODE]

после этого ещё раз сделайте свежие логи RSIT

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[quote="qqhello;1168644"]по всей видимости не выключал[/quote]
наверно из-за этого скрипт и не отработал
07.10.2014, 23:49
qqhello

во вкладке Исключения у меня список программ и приложений. Как выбрать нужную с помощью приведенного кода?
07.10.2014, 23:50
regist

[quote="qqhello;1168723"]123[/quote]
???
08.10.2014, 19:51
qqhello

отредактировал вопрос
[QUOTE=qqhello;1168723]во вкладке Исключения у меня список программ и приложений. Как выбрать нужную с помощью приведенного кода?[/QUOTE]
08.10.2014, 20:09
regist

[quote="qqhello;1168723"]во вкладке Исключения у меня список программ и приложений. Как выбрать нужную с помощью приведенного кода?[/quote]
C:\Temp\F0722_s_30803
C:\Temp\G0722_s_70904

там есть? Если да, то удалите их.
08.10.2014, 23:45
qqhello

[QUOTE=regist;1169326]C:\Temp\F0722_s_30803
C:\Temp\G0722_s_70904

там есть? Если да, то удалите их.[/QUOTE]
нет, нет таких
09.10.2014, 00:29
regist

Посмотрите в реестре, если есть такие параметры в этой ветке
[CODE][HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list][/CODE]
то удалите, но в принципе это не критично.
09.10.2014, 01:12
qqhello

в этой ветке таких параметров не нашел.
09.10.2014, 01:23
regist

тогда на этом всё.

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Чистого интернета и удачи.