Yamdex

**golvin** · 24.11.2014, 13:35

Добрый день!
В настройках поисковой системы по умолчанию поставило Yamdex.net
Поменять не могу - пишет этот параметр включен администратором.
Что делать?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.11.2014, 13:36

Уважаемый(ая) golvin, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 24.11.2014, 13:38

1) выполните http://virusinfo.info/pravila.html

2)

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

**golvin** · 24.11.2014, 13:55

логи

**regist** · 24.11.2014, 14:31

Hosts: 54.204.28.26 pfclfmlchccebmcliefbcpmkdoheniel

вам эта запись знакома?

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.

Пожалуйста, обновите базы и сделайте новые логи.

**golvin** · 24.11.2014, 15:34

сделал

**regist** · 24.11.2014, 15:37

Сообщение от regist

вам эта запись знакома?

не ответили

**golvin** · 24.11.2014, 15:49

нет
я не понимаю в этом ничего

**regist** · 24.11.2014, 15:50

Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O1 - Hosts: 54.204.28.26 pfclfmlchccebmcliefbcpmkdoheniel
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=de37af56a9a6a835c191a3ad130182ec&text=

- сделайте лог Check Browsers' LNK

Сделайте полный образ автозапуска uVS только программу скачайте отсюда

**golvin** · 24.11.2014, 16:16

сделал

**regist** · 24.11.2014, 17:19

1) - выполните такой скрипт в AVZ

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk','');
 QuarantineFile('C:\Users\alex.DZNTO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk','');
 QuarantineFile('C:\Users\alex.DZNTO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk','');
 QuarantineFile('C:\Users\alex.DZNTO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk','');
 QuarantineFile('C:\Users\alex.DZNTO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LightScribe Direct Disc Labeling\Gеtting Stаrtеd.lnk','');
 QuarantineFile('C:\Users\alex.DZNTO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk','');
 QuarantineFile('C:\Users\alex.DZNTO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk','');
 QuarantineFile('C:\Users\alex.DZNTO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files (x86)\Common Files\LightScribe\lslauncher.bat','');
 QuarantineFile('C:\launcher.bat','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat','');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','');
 DeleteFile('C:\iexplore.bat','');
 DeleteFile('C:\launcher.bat','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

2) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

3) Выполните скрипт в uVS

Код:

;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
deldir %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\2.1.0.3086
deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108
deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619
delall %SystemDrive%\USERS\ALEX.DZNTO\APPDATA\ROAMING\MYSTARTSEARCH\UNINSTALLMANAGER.EXE
regt 28
regt 29
restart

сделайте новый образ автозапуска.

**golvin** · 24.11.2014, 17:21

отчет

**regist** · 24.11.2014, 17:27

golvin,

+

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.

скрипт uVS выполните и новый лог uVS после скрипта жду.

**golvin** · 24.11.2014, 18:22

не могу переслать образ -пишет что превысил размер для вашего сайта

**regist** · 24.11.2014, 18:31

загрузите сюда http://rghost.ru/ и дайте ссылку на скачивание.

**golvin** · 24.11.2014, 18:48

http://rghost.ru/59242054

**regist** · 24.11.2014, 19:53

выполните скрипт и сделайте новый образ

Код:

;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
vreg
deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\2.1.0.3086\BDKVDESKBAND64.DLL
delall %Sys32%\DRIVERS\BD0002.SYS
delall %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
areg
restart

**golvin** · 25.11.2014, 11:38

http://rghost.ru/59252613

**regist** · 25.11.2014, 12:09

выполните скрипт в безопасном режиме и пришлите карантин

Код:

;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
zoo %SystemDrive%\LAUNCHER.BAT
del %SystemDrive%\LAUNCHER.BAT
zoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME.BAT
del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME.BAT
deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\
czoo
restart

сделайте новый образ автозапуска.

**golvin** · 25.11.2014, 12:48

скрипт сделал
образ автозапуска http://rghost.ru/59253602
а откуда карантин взять?

Yamdex (заявка № 171573)

Опции темы

Yamdex

вот логи

сделал

Похожие темы

Yamdex.net+Baidu

Очередной yamdex.net

Назойливый yamdex.net

yamdex.net

Yamdex

Метки для этой темы

Ваши права в разделе