В Google Chrome удалось избавиться от этой напасти в стартовой странице, но слишком много рекламы. В IE никакие действия не помогают, открывается как стартовая страница.
В Google Chrome удалось избавиться от этой напасти в стартовой странице, но слишком много рекламы. В IE никакие действия не помогают, открывается как стартовая страница.
Уважаемый(ая) miran70, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Tmp\Q0Lzp9O0HLHR.exe', ''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kbupdater Utility\kbupdater-utility.exe', ''); QuarantineFile('C:\WINDOWS\System32\Drivers\BDArKit.SYS', ''); DeleteFile('C:\Documents and Settings\All Users\Application Data\Kbupdater Utility\kbupdater-utility.exe', '32'); DeleteFile('C:\WINDOWS\Tmp\Q0Lzp9O0HLHR.exe', '32'); DeleteFile('C:\WINDOWS\Tasks\At1.job', '32'); DeleteService('BDSafeBrowser'); DeleteService('BDEnhanceBoost'); DeleteService('bd0004'); DeleteService('BDArKit'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'DivX'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\System32\Drivers\BDArKit.SYS'); BC_DeleteSvc('BDArKit'); BC_DeleteSvc('bd0004'); BC_DeleteSvc('BDEnhanceBoost'); BC_DeleteSvc('BDSafeBrowser'); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Скачайте http://www.bleepingcomputer.com/down...ery-scan-tool/ Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.
WBR,
Vadim
К заявке №173390
Выполните в AVZ скрипт:Файлы:Код:begin ExpRegKey('HKEY_CURRENT_USER','Software\Policies\Google','HKCU_Google_policies.reg'); ExpRegKey('HKEY_LOCAL_MACHINE','Software\Policies\Google','HKLM_Google_policies.reg'); end.
HKCU_Google_policies.reg
HKLM_Google_policies.reg
из папки с AVZ упакуйте в архив и прикрепите к своему следующему сообщению.
Деинсталлируйте программы:
Html5 geolocation provider
Browser Configuration Utility
SmilesExtensions version 2.1
Remote Desktop Access (VuuPC)
Surftastic
Update for Html5 geolocation provider
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае).Код:HKU\S-1-5-21-1957994488-527237240-682003330-1003\...\MountPoints2: {dbcac26c-ee41-11df-ae2a-6cf0499ddce8} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-1957994488-527237240-682003330-1003\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\S-1-5-21-1957994488-527237240-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://2inf.net/?utm_source=startpage SearchScopes: HKU\S-1-5-21-1957994488-527237240-682003330-1003 -> E09793132FDBA905045382F088D7717C URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c412b751ee70d173c221d3c5324eb960&text={searchTerms} SearchScopes: HKU\S-1-5-21-1957994488-527237240-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c412b751ee70d173c221d3c5324eb960&text= SearchScopes: HKU\S-1-5-21-1957994488-527237240-682003330-1003 -> {3ABDFF69-4DE3-4777-B3D2-5E43409949BC} URL = http://ru.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=STDVM FF Homepage: hxxp://2inf.net/?utm_source=startpage FF Extension: TrollBar - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2013-09-29] FF Extension: MegaSmiles - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2013-09-29] FF Extension: Desktopy - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2014-02-08] FF Extension: AlterGeo Addons - C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{B100D0FF-0001-8CE4-2790-AACE49B8AE35} [2012-07-10] FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha1931\ff CHR Extension: (Adobe Flash Player) - C:\Documents and Settings\Пользователь\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lhkkilnkkndgjdibjagkeelhofffcmam [2014-12-24] CHR Extension: (HTML5 location provider) - C:\Documents and Settings\Пользователь\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2014-12-24] CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path CHR HKLM\...\Chrome\Extension: [boikejnhiggonokccamalbhmenopmiji] - C:\Program Files\Аудио и видео скачивание\avdownloader-sk.crx [Not Found] CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path CHR HKLM\...\Chrome\Extension: [imepomhdipdiihnehfpkojldjkmckkkb] - C:\Documents and Settings\Пользователь\Local Settings\Application Data\CRE\imepomhdipdiihnehfpkojldjkmckkkb.crx [Not Found] CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path CHR HKLM\...\Chrome\Extension: [lhkkilnkkndgjdibjagkeelhofffcmam] - C:\Program Files\Adobe Flash Players 11.0\adobeflashplayer-sk.crx [2014-01-30] CHR HKLM\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files\AlterGeo\Html5 geolocation provider\altergeo.crx [2012-06-06] CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path S3 block_reader; \??\C:\Documents and Settings\Пользователь\Рабочий стол\Portable\block_reader.sys [X] NETSVC: dqlxhdub -> No Registry Path. 2014-12-18 15:47 - 2014-12-20 11:29 - 00000826 _____ () C:\Documents and Settings\Пользователь\Рабочий стол\Continue VuuPC Installation.lnk 2014-12-18 15:24 - 2014-12-18 15:24 - 00000000 ____D () C:\Documents and Settings\Пользователь\Главное меню\Программы\VOPackage 2014-12-14 19:07 - 2014-12-14 19:10 - 00000000 ____D () C:\Documents and Settings\Пользователь\Application Data\advPlugin 2014-12-14 18:58 - 2014-12-14 19:10 - 00000000 ____D () C:\Program Files\Kinoroom Browser 2014-12-14 18:58 - 2014-12-14 18:58 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\Kbupdater Utility Google Update Helper (Version: 1.3.23.0 - PriceMeter) Hidden <==== ATTENTION Task: C:\WINDOWS\Tasks\AlterGeoUpdaterS-1-5-18.job => C:\Program Files\AlterGeo\Html5 geolocation provider\html5locsvc.exe ShortcutWithArgument: C:\Documents and Settings\All Users\Рабочий стол\Logitech Webcam Software .lnk -> C:\Program Files\Common Files\logishrd\LWSPlugins\LWS\launchershortcut.bat () -> "hxxp://supersearch13.ru" ShortcutWithArgument: C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Logitech Webcam Software.lnk -> C:\Program Files\Common Files\logishrd\LWSPlugins\LWS\launchershortcut.bat () -> "hxxp://supersearch13.ru" ShortcutWithArgument: C:\Documents and Settings\Пользователь\Рабочий стол\music Bieber\Google Chrome.lnk -> C:\Program Files\Google\chrome.bat () -> "hxxp://supersearch13.ru" EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
WBR,
Vadim
Как видим, полное цитирование сообщений не улучшает их понимания, а только затрудняет чтение темы
Уведомление
Не нужно полностью цитировать сообщения хелпера, просто пишите в окне "Быстрый ответ"
Fixlog.txt приложите.
Жду.Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой
WBR,
Vadim
Программа SmilesExtensions version 2.1 не удаляется и выдаёт ошибку( файл прилагаю); программы Update for Html5 geolocation provider нет в списке установленных программ. Файл Fixlog.txt прикрепляю к сообщению.
В данный момент в IE из стартовой страницы 2inf.Net исчез.
P.S. Файл с ошибкой удаления сохранил в Word, но ваша программа его не загрузила.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Выполните рекомендации после лечения.
WBR,
Vadim
Огромное спасибо!!!!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\tmp\q0lzp9o0hlhr.exe - Trojan.Win32.Agent.alcdu ( BitDefender: Gen:Variant.Graftor.164910 )
Уважаемый(ая) miran70, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.