Заразил браузеры каким-то лоадером. ( установился браузер амиго и прочие)
Приветствую друзья.
Ситуация следующая, ребенок сидел за компом, после его посиделок подошел я. Что имею:
Амиго, Одноклассники, Вк.
Браузер Хром при запуске отправляет на страничку с сиськами, поменять стартовую страничку не представляется возможным. Ярлык Фаерфокса на рабочем столе стал почему-то *.bat файлом.
Реклама выскакивает поверх окон в эксплорере и в хроме.
Ну и поисковик по умолчания Yamdex - изменить так же не получается.
Что сделано до того как обратился к вам: удалил амиго и его друзей утилой "Uninstall tools pro" - больше он не появлялся, установиться за ново не пробует. Удалил еще пять шесть непонятных мне программ в списке, установленных как раз за в одно время с Амиго.
Далее, комп проверен: CureIt (найдено и удалено 2 опасных файла)
Компьютер проверен утилами KVRT и TDSkiller от Касперского. Две последние угроз не обнаружили.
Удалил и заново установил браузер Хром ( с удалением всех его следов в реестре и всех связанных с ним файлов)
На вид все ок, только браузер жены = Firefox по прежнему почему-то отображается на рабочем столе как *.bat
прошу проверить, всё ли так хорошо, как кажется на первый взгляд.
Заранее благодарю.
Решил подстраховаться.
П.с. У меня Вин 7 64 бита.
Как я понял, пункт 1 инструкции я не выполнял, потому что для 64 битных систем и серверов нужно сразу выполнить второй пункт? В результате всех манипуляций имею всего 2 файла из 3 необходимых, что делаю не так?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Дмитрий Никулин, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\iexplore.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Выполнено. Переживаю что система после наших манипуляций полноценно работать не будет.
Проще по ходу просто переставить винду... (найти бы свой компакт вин 7 с лицензией)
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
SearchScopes: HKU\S-1-5-21-2245918121-2835085838-714260175-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bf5b00e76bc236665379fead439fef84&text={searchTerms}
SearchScopes: HKU\S-1-5-21-2245918121-2835085838-714260175-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bf5b00e76bc236665379fead439fef84&text={searchTerms}
SearchScopes: HKU\S-1-5-21-2245918121-2835085838-714260175-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bf5b00e76bc236665379fead439fef84&text=
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-2245918121-2835085838-714260175-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled No File
2015-02-20 09:18 - 2015-02-20 09:47 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-02-20 09:18 - 2015-02-20 09:47 - 00000258 __RSH () C:\ProgramData\ntuser.pol
2015-02-20 09:17 - 2015-02-20 09:21 - 00000000 ____D () C:\Users\Imp\AppData\Local\Amigo
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:55B41E6A
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Большое Вам спасибо! Похоже что да. По крайней мере на вид никаких симптомов не наблюдаю. Задумался по поводу надежности своего антивируса "Microsoft Essential"
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: