проклятый yamdex.net достал! помогите парни!

[Georgii321]

Здравствуйте!

Проблема следующая. При вводе поискового запроса в строку браузера Google Chrome осуществляется переход на вирусную страницу yamdex.net. Изменить поиск по умолчанию в настройках Chrome не получается: для поиска по умолчанию стоит адрес "http://yamdex.net", и рядом с ним стоит значок "этот параметр включен администратором".

В похожих постах я видел ваши руководства к действию, поэтому скачал Farbar Recovery Scan Tool и прилагаю к письму файлы логи.

Спасите помогите

С уважением,
Георгий

[Info_bot]

Уважаемый(ая) Georgii321, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

http://virusinfo.info/pravila.html

[Georgii321]

thyrex привет

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files (x86)\punto.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 DeleteFile('C:\Program Files (x86)\punto.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в Hijack

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c95f6aec84c336e7af79513dd50c7b3d&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c95f6aec84c336e7af79513dd50c7b3d&text=
O2 - BHO: Torrent Search - {05EB6920-D8AD-4350-BEF1-4F7107F70431} - (no file)
O2 - BHO: Aecoaeuiua caeeaaee - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c95f6aec84c336e7af79513dd50c7b3d&text=

Сделайте новые логи

Сделайте такой лог
Сделайте логи RSIT

Выполните скрипт в AVZ

Код:

begin
 ExpRegKey('HKEY_LOCAL_MACHINE', 'Software\Policies', 'c:\HKLM-Policies.log');
 ExpRegKey('HKEY_CURRENT_USER', 'Software\Policies', 'c:\HKCU-Policies.log');
end.

Файлы c:\HKLM-Policies.log и c:\HKCU-Policies.log прикрепите к сообщению

[Georgii321]

Выполнил скрипт в AVZ. Комп перезагрузился. не понял что именно прислать на карантин? какой файл?
перед тем как фиксить в Hijack

Всё, прости, догнал ))) отправляю


Файл сохранён как 150109_154249_virus_54afbeb9cb490.zip
Размер файла 1980
MD5 3ef6ab2a1196faf5839991283d5ff770

- - - - -Добавлено - - - - -

все сделал


этот п***р еще жив

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\iехplоrе.bаt.exe','');
 QuarantineFile('C:\Program Files (x86)\WelcomeToPunto.bat','');
 QuarantineFile('C:\Program Files (x86)\ps.bat','');
QuarantineFile('C:\Program Files (x86)\puntо.bаt.exe','');
 QuarantineFile('C:\Program Files (x86)\lаyоuts.bаt.exe','');
 QuarantineFile('C:\Program Files (x86)\layouts.bat','');
QuarantineFile('C:\Program Files (x86)\diаry.bаt.exe','');
 QuarantineFile('C:\Program Files (x86)\diary.bat','');
 DeleteFile('C:\Program Files (x86)\diary.bat','32');
 DeleteFile('C:\Program Files (x86)\diаry.bаt.exe','32');
 DeleteFile('C:\Program Files (x86)\layouts.bat','32');
 DeleteFile('C:\Program Files (x86)\lаyоuts.bаt.exe','32');
 DeleteFile('C:\Program Files (x86)\puntо.bаt.exe','32');
 DeleteFile('C:\Program Files (x86)\ps.bat','32');
 DeleteFile('C:\Program Files (x86)\WelcomeToPunto.bat','32');
 DeleteFile('C:\iехplоrе.bаt.exe','32');
RegKeyDel('HKEY_LOCAL_MACHINE', 'Software\Policies\Google\Chrome');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

• Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи RSIT

[Georgii321]

Файл сохранён как 150109_201551_virus_54affeb71e015.zip
Размер файла 169986
MD5 b80004e6b8fc1350fd0a489fa8b3b8eb

[thyrex]

Удалите вручную

C:\Users\anna\AppData\Roaming\Torrent Search
C:\Users\anna\AppData\Roaming\Media Saver
C:\iехplоrе.bаt.exe
C:\Program Files (x86)\puntо.bаt.exe
C:\Program Files (x86)\lаyоuts.bаt.exe
C:\Program Files (x86)\diаry.bаt.exe
C:\Program Files (x86)\Torrent Search

Проблема решена?

[Georgii321]

да! спасибо огромное!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 12
• В ходе лечения вредоносные программы в карантинах не обнаружены