Здравствуете, возникла такая проблема: в хроме поставился поисковик yamdex.net от имени администратора, удалить я его никак не могу, открываются дополнительные вкладки и окна с рекламой.
Здравствуете, возникла такая проблема: в хроме поставился поисковик yamdex.net от имени администратора, удалить я его никак не могу, открываются дополнительные вкладки и окна с рекламой.
Уважаемый(ая) [B]13hamster13[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\janeshan\appdata\local\microsoft\windows\system.exe');
QuarantineFile('C:\Program Files\baidu\bindex.exe', '');
QuarantineFile('C:\ProgramData\IePluginServices\PluginService.exe', '');
QuarantineFile('c:\users\janeshan\appdata\local\microsoft\windows\system.exe', '');
QuarantineFile('C:\iexplore.bat', '');
DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe', '32');
DeleteFile('C:\Program Files\baidu\BindEx.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\SystemScript', '32');
DeleteFile('c:\users\janeshan\appdata\local\microsoft\windows\system.exe', '32');
DeleteFile('C:\iexplore.bat', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SystemScript');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SystemScript');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
- сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL]
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
вот
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
StopService('BDSafeBrowser');
StopService('BDAntiExp');
StopService('bd0004');
QuarantineFile('C:\Program Files\SupTab\SupTab.dll', '');
QuarantineFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys', '');
QuarantineFile('C:\Windows\system32\DRIVERS\BDAntiExp.sys', '');
QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\75340c07071867a9\Google Chrome.lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
QuarantineFile('C:\Users\JaneShan\Desktop\Google Chrome.lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\75340c07071867a9\Gооglе Сhrоmе.lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоme (2).lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоme.lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrer (2).lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr (2).lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Exрlоrer.lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr.lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Explorer (Nо Add-ons).lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Explorer (Nо Add-оns).lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Exрlorеr (Nо Add-ons).lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Eхplorer (Nо Аdd-ons).lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr (2).lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk', '');
QuarantineFile('C:\PROGRA~2\Baidu\BaiduAn\SWMANA~1\-E773~1.LNK', '');
QuarantineFile('C:\Program Files\Google\chrome.bat', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Browsers\exe.emorhc.bat', '');
QuarantineFile('C:\Users\JaneShan\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
QuarantineFile('C:\iexplore.bat', '');
DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\BDAntiExp.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys', '32');
DeleteFile('C:\Program Files\Google\chrome.bat', '');
DeleteFile('C:\Users\JaneShan\AppData\Roaming\Browsers\exe.emorhc.bat', '');
DeleteFile('C:\Users\JaneShan\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
DeleteFile('C:\iexplore.bat', '');
DeleteService('BDSafeBrowser');
DeleteService('BDAntiExp');
DeleteService('bd0004');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Исправьте с помощью [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиты ClearLNK[/url] следующие ярлыки, отчёт о работе прикрепите:
[CODE]C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\75340c07071867a9\Google Chrome.lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\JaneShan\Desktop\Google Chrome.lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\75340c07071867a9\Gооglе Сhrоmе.lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоme (2).lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоme.lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrer (2).lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr (2).lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Exрlоrer.lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr.lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Explorer (Nо Add-ons).lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Explorer (Nо Add-оns).lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Exрlorеr (Nо Add-ons).lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Eхplorer (Nо Аdd-ons).lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr (2).lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk
C:\Users\JaneShan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk
C:\PROGRA~2\Baidu\BaiduAn\SWMANA~1\-E773~1.LNK
[/CODE]
- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
Как и просили
- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
Каким то образом удалился AdwCleaner
Вот новые отчеты
что с проблемой?
осталась
В каком браузере проблема? Сбросьте все настройки браузера по умолчанию, либо переустановите его с удалением профиля и снова проверьте проблему.
Проблема в Гугл Хром, уже сбрасывала все настройки, и удаляла 2 раза, не помогло
Список расширений браузера напишите.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
+ свежий лог AdwCleaner сделайте.
-Adobe DTM Switch
-Google Презентации
-Google Таблицы
-SuperMegaBest.com(выключен)
-Документы Google
[quote="13hamster13;1199768"]-Adobe DTM Switch[/quote]
[quote="13hamster13;1199768"]SuperMegaBest.com(выключен)[/quote]
эти два удаляйте. Из-за них проблемы. После этого снова исправляйте настройки и проверяйте проблему.
[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Удалить[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]
Удалила расширения, все равно не могу удалить yamdex.net из списка поисковиков
Но проблема с рекламой решилась, спасибо
Я конечно могу поставить стартовую страницу- поисковик гугл, но хотелось бы продолжать работу с прошлого сеанса
Ещё раз сбросьте все настройки и проверьте проблему.
осталась
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
вот
Создайте текстовый файл [B]fixlist.txt[/B] в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
[code]start
HKU\S-1-5-21-2006813376-1913643890-4007242991-1000\...\Policies\Explorer: [HideSCAVolume] 0
HKU\S-1-5-21-2006813376-1913643890-4007242991-1000\...\MountPoints2: {bad98f57-3f0a-11e4-bb29-e89a8fbac959} - G:\AutoRun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2088.1.A01B06 PID_0083 {01D42BF0-ED08-463f-8A28-99EB6FEE962B}
HKU\S-1-5-21-2006813376-1913643890-4007242991-1000\...\MountPoints2: {bad98f6c-3f0a-11e4-bb29-e89a8fbac959} - G:\BELOFF.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2006813376-1913643890-4007242991-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1418046510&from=amt&uid=WDCXWD5000BPVT-22HXZT3_WD-WX11A81C1470C1470
URLSearchHook: [S-1-5-21-2006813376-1913643890-4007242991-1000] ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: HKU\S-1-5-21-2006813376-1913643890-4007242991-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
SearchScopes: HKU\S-1-5-21-2006813376-1913643890-4007242991-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1418046510&from=amt&uid=WDCXWD5000BPVT-22HXZT3_WD-WX11A81C1470C1470&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2006813376-1913643890-4007242991-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1418046510&from=amt&uid=WDCXWD5000BPVT-22HXZT3_WD-WX11A81C1470C1470&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\JaneShan\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
FF Extension: SuperMegaBest.com - C:\Users\JaneShan\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2014-12-08]
CHR HKLM\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - No Path
EmptyTemp:
Reboot:
end[/code]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемами.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]95[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\iexplore.bat - [B]Trojan-Clicker.BAT.Agent.av[/B][*] c:\program files\baidu\bindex.exe - [B]not-a-virus:Downloader.Win32.BindEx.b[/B] ( BitDefender: Gen:Variant.Strictor.24013, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\program files\google\chrome.bat - [B]Trojan-Clicker.BAT.Agent.av[/B][*] c:\programdata\iepluginservices\pluginservice.exe - [B]not-a-virus:AdWare.Win32.Agent.eqwa[/B] ( DrWEB: Trojan.Click3.9479, AVAST4: Win32:SupTab-C [Adw] )[*] c:\users\janeshan\appdata\local\microsoft\windows\system.exe - [B]Trojan.Win32.Agent.almmc[/B] ( DrWEB: Trojan.MulDrop5.42554, BitDefender: Gen:Variant.Zusy.116777, AVAST4: Win32:Malware-gen )[*] c:\users\janeshan\appdata\roaming\browsers\exe.emorhc.bat - [B]Trojan-Clicker.BAT.Agent.an[/B] ( DrWEB: BAT.StartPage.42, AVAST4: BV:Runner-AN [Trj] )[*] c:\users\janeshan\appdata\roaming\browsers\exe.erolpxei.bat - [B]Trojan-Clicker.BAT.Agent.an[/B] ( DrWEB: BAT.StartPage.42, AVAST4: BV:Runner-AN [Trj] )[*] c:\users\janeshan\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\intеrnet еxplоrer (2).lnk - [B]Trojan-Clicker.WinLNK.Agent.ao[/B][*] c:\users\janeshan\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\intеrnet еxplоrеr (2).lnk - [B]Trojan-Clicker.WinLNK.Agent.ao[/B][*] c:\users\janeshan\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\intеrnеt exрlоrer.lnk - [B]Trojan-Clicker.WinLNK.Agent.ao[/B][*] c:\users\janeshan\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\intеrnеt eхplоrеr.lnk - [B]Trojan-Clicker.WinLNK.Agent.ao[/B][/LIST][/LIST]