Junior Member
Вес репутации
34
appbusy.com - не могу избавиться от надоедливого фишингового сайта
Всем привет.
После программы Амиго у меня постоянно и без моего ведома (google chrome) открывается новая вкладка - appbusy.com
Уже всё перепробовал, что советовали (удалил все "левые программы, чистил антивирусами, лечил ADGuard и еще несколькими прогами) - безрезультатно.
Прошу совет, как избавиться от этой проблемы.
P.S. читал тему с похожей проблемой и сделал логи с помощью Farbar Recovery Scan Tool
Вложения
Последний раз редактировалось brayen; 30.01.2015 в 00:13 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) brayen , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
34
Лучше правила заново читайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
34
Сделал новые логи, по правилам.
Вложения
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\User\AppData\Roaming\omiga-plus\UninstallManager.exe','');
DelBHO('{44627DAE-18B6-4ABC-8B22-13979EDFC56D}');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
DelBHO('{05EB6920-D8AD-4350-BEF1-4F7107F70431}');
QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
QuarantineFile('C:\Program Files (x86)\Torrent Search\Toolbar32.dll','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
TerminateProcessByName('c:\users\user\appdata\local\wincheck\wincheck.exe');
QuarantineFile('c:\users\user\appdata\local\wincheck\wincheck.exe','');
DeleteFile('c:\users\user\appdata\local\wincheck\wincheck.exe','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files (x86)\Torrent Search\Toolbar32.dll','32');
DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Users\User\AppData\Roaming\omiga-plus\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{29512905-6676-4E16-91B4-71036E7C799E}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте лог Check Browsers' LNK
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
34
1. Выполнил скрипт в AVZ
2. карантин - он пустой, ничего нет.
3. сделал лог полного сканирования МВАМ
4. Сделал логи RSIT
5. Сделал лог Check Browsers' LNK
Вложения
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421704392&from=cor&uid=ST360015A_3KC28NQ8
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fb08f9b3ea0ff483c72e186fff9ebe81&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fb08f9b3ea0ff483c72e186fff9ebe81&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mail.ru/?ieverfix=1&fr=ieverfix_sg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421704392&from=cor&uid=ST360015A_3KC28NQ8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421704352&from=cor&uid=ST360015A_3KC28NQ8&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421704352&from=cor&uid=ST360015A_3KC28NQ8&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421704392&from=cor&uid=ST360015A_3KC28NQ8
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421704392&from=cor&uid=ST360015A_3KC28NQ8&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421704392&from=cor&uid=ST360015A_3KC28NQ8&q={searchTerms}
Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG . Прикрепите этот отчет к своему следующему сообщению.
Поместите в карантин МВАМ всё, кроме
Код:
Risktool.CHP, C:\Users\User\AppData\Local\Beeline Network Manager\updater\chp.exe, , [074a2fc8ff8a191d3ee987bf4db835cb],
Удалите вручную
C:\Users\User\AppData\Roaming\AnyProtectEx
C:\ProgramData\IHProtectUpDate
C:\Program Files (x86)\XTab
C:\ProgramData\WindowsMangerProtect
C:\Users\User\AppData\Roaming\Torrent Search
C:\Users\User\AppData\Roaming\Media Saver
C:\iехplоrе.bаt.exe
C:\iexplore.bat
C:\firеfох.bаt.exe
C:\firefox.bat
C:\lаunсhеr.bаt.exe
C:\launcher.bat
C:\Program Files (x86)\Media Saver
C:\Program Files (x86)\Torrent Search
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
34
Сообщение от
thyrex
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421704392&from=cor&uid=ST360015A_3KC28NQ8
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fb08f9b3ea0ff483c72e186fff9ebe81&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fb08f9b3ea0ff483c72e186fff9ebe81&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mail.ru/?ieverfix=1&fr=ieverfix_sg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421704392&from=cor&uid=ST360015A_3KC28NQ8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421704352&from=cor&uid=ST360015A_3KC28NQ8&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421704352&from=cor&uid=ST360015A_3KC28NQ8&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421704392&from=cor&uid=ST360015A_3KC28NQ8
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421704392&from=cor&uid=ST360015A_3KC28NQ8&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421704392&from=cor&uid=ST360015A_3KC28NQ8&q={searchTerms}
"пофиксить" - это значит открыть текстовый документ с логами и удалить то, что Вы выделили ? Я правильно понял ?
Последний раз редактировалось brayen; 04.02.2015 в 12:27 .
Junior Member
Вес репутации
34
Сообщение от
thyrex
Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG . Прикрепите этот отчет к своему следующему сообщению.
Это выполнил
- - - - -Добавлено - - - - -
Сообщение от
thyrex
Поместите в карантин МВАМ всё,
кроме
Код:
Risktool.CHP, C:\Users\User\AppData\Local\Beeline Network Manager\updater\chp.exe, , [074a2fc8ff8a191d3ee987bf4db835cb],
Удалите вручную
Напишите пожалуйста подробнее, как поместить в карантин и как удалять.
Вложения
Junior Member
Вес репутации
34
Напишите, что делать дальше ?
Сообщение от
brayen
пофиксить" - это значит
http://virusinfo.info/showthread.php?t=4491
Сообщение от
brayen
как поместить в карантин
Запустить повторное сканирование, дождаться его окончания
Сообщение от
brayen
как удалять.
Вручную в Проводнике
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
34
Благодарю за помощь ! Пока надоедливый сайт не беспокоит.
Скажите, все программы, которыми делали логи, можно удалять ?
Удалите МВАМ
Остальное по желанию - места они занимают немного
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect