Не работают браузеры Opera и Mozilla Firefox

[Markz3]

По работе, понадобились указанные в теме браузеры, оперу снес и поставил свежую версию, мозилу скачал, так как не было. Мозила, в принципе не открывает ничего, в том числе и настройки. Опера (ставил в том числе версию на начало этого года) показывает непонятно по-какому принципу (http://prntscr.com/krvc8k(так выглядит стартовая страница Гугла)), но в основном "Сбой загрузки страницы" тоже самое при открытии настроек. Хром обновился до последней версии и работает без нареканий.

[Info_bot]

Уважаемый(ая) Markz3, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

Удалите Baidu через установку программ в панели управления.

HiJackThis (из каталога autologger)профиксить

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2401cb53d829b7332dd4865e913538b9&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2401cb53d829b7332dd4865e913538b9&text={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2401cb53d829b7332dd4865e913538b9&text=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2401cb53d829b7332dd4865e913538b9&text=
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D} [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2401cb53d829b7332dd4865e913538b9&text= - >
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5EC7C82B-E4FF-4CDD-AA8B-1DA9A90B51C3} [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2401cb53d829b7332dd4865e913538b9&text={searchTerms} - >
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [AceWebException] = C:\Users\Марк\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 StopService('BDKVRTP');
 StopService('BDMRTP');
 StopService('bd0002');
 StopService('BDEnhanceBoost');
 StopService('BDSafeBrowser');
 StopService('BDMNetMon');
 DeleteService('BDSafeBrowser');
 DeleteService('BDMNetMon');
 DeleteService('BDEnhanceBoost');
 DeleteService('bd0002');
 DeleteService('BDMRTP');
 DeleteService('BDKVRTP');
 QuarantineFile('C:\Users\Марк\AppData\Local\kzF\QcZorHcr1.bat','');
 QuarantineFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','');
 QuarantineFile('C:\Windows\system32\SafeIPs.dll','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','');
 QuarantineFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0002.sys','');
 QuarantineFile('C:\Program Files (x86)\BaiduAn3.0\BaiduAn\3.0.0.3971\baiduAnSvc.exe','');
 QuarantineFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\baidusdSvc.exe','');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\baidusdSvc.exe','32');
 DeleteFile('C:\Program Files (x86)\BaiduAn3.0\BaiduAn\3.0.0.3971\baiduAnSvc.exe','32');
 DeleteFile('C:\Users\Марк\AppData\Local\kzF\QcZorHcr1.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

[Markz3]

Всё выполнил. Baidu в программах или установках программ в панели управления обнаружен не был. При первой загрузке архива с карантином, мне сразу выдало ошибку, что такой файл уже есть. Поэтому прикрепил его во вложения.

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Markz3]

С первого раза программа зависла, пришлось выключать кнопкой, так как не перезагрузка, не завершение работы, не давали эффекта. Сделал прогон ещё раз. После второго раза, сразу открылась программа с результатом. Прикрепляю два лога. После второго раза , в хроме добавились расширения "Мэйл.ру" и "Яндекса".

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Markz3]

Прилагаю логи

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  (百度在线网络技术（北京）有限公司) C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe
  HKU\S-1-5-21-3208269729-2028298732-2543861642-1000\...\Run: [AdobeBridge] => [X]
  Toolbar: HKU\S-1-5-21-3208269729-2028298732-2543861642-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin HKU\S-1-5-21-3208269729-2028298732-2543861642-1000: @acestream.net/acestreamplugin,version=3.0.2 -> C:\Users\Марк\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
  CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path/update_url>
  CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Марк\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
  CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
  R2 BDSGRTP; C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe [1940072 2014-12-04] (百度在线网络技术（北京）有限公司)
  File: C:\Program Files (x86)\SafeIP\SafeIPs.exe
  S1 bd0002; system32\DRIVERS\bd0002.sys [X]
  S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
  S1 BDSafeBrowser; system32\drivers\BDSafeBrowser.sys [X]
  R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [181072 2014-12-11] (Baidu)
  R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [170312 2014-11-28] (Baidu)
  R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2014-12-26] (Baidu Technology)
  R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [130888 2015-01-19] (Baidu)
  Folder: C:\8336500659725115574
  File: C:\Users\Марк\AppData\Local\downloader.exe
  Zip: C:\Users\Марк\AppData\Local\downloader.exe
  ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
  ContextMenuHandlers1: [HamsterLiteMenu] -> {2DEDD2C9-928E-4442-9417-769C969973B6} =>  -> No File
  ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
  ContextMenuHandlers6: [HamsterLiteMenu] -> {2DEDD2C9-928E-4442-9417-769C969973B6} =>  -> No File
  Task: {5AAF75DB-2F45-442D-8CE4-60DBD033EEF0} - System32\Tasks\{7F5E5AB3-41CD-4734-8945-84A05A544B48} => C:\Windows\system32\pcalua.exe -a C:\Users\E6DA~1\AppData\Local\Temp\jre-8u161-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== ATTENTION
  AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

[Markz3]

Карантин отправлен, лог прикрепляю

[SQ]

Не прикладывайте карантин как вложение к сообщению.

Сообщите, что с проблемой?

[Markz3]

Всё так же, мозилла не работает, Опера, как минимум через раз прогружаются настройки, но никаких шрифтов не видно, как на скрине из первого сообщения

[SQ]

Пробуйте отключить все расширения в браузере Mozilla и сообщите результат.

[Markz3]

Первый раз удалось зайти в настройки, отключил расширения, страницы не грузились. После закрытия браузера, все опять перестало открываться. Опера всё так же не работает

[SQ]

А если временно удалить SafeIPs проблема воспроизводиться?

[Markz3]

Нет, ничего не меняется, я особо и не пользовался. Скажите, а то что baidu не удаляется, это нормально? Он вообще лечится?

[SQ]

Baidu еще в системе?

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Markz3]

Прилагаю лог, если не ошибаюсь, после проверки ADwCleanerom в логах видно, что baidu до сих пор в системе

[SQ]

Выполните скрипт в uVS:

Код:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\USERS\МАРК\.INTELLIJIDEA2018.2\SYSTEM\TMP\JNA4598641931084254720.DLL
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.124\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.129\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\USERS\E6DA~1\APPDATA\LOCAL\GOOGLE\DRIVE\APDFLLCKAAHABAFNDBHIEAHIGKJLHALF_LIVE.CRX
delref %SystemDrive%\USERS\МАРК\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\USERS\МАРК\APPDATA\ROAMING\ACESTREAM\PLAYER\NPACE_PLUGIN.DLL
restart

[Markz3]

загрузил архив с паролем, после выполнения скрипта был текстовый документ