Показано с 1 по 18 из 18.

Рекламная стартовая страница (заявка № 180748)

  1. #1
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    33

    Рекламная стартовая страница

    Здравствуйте!
    Маленький ребёнок без моего ведома скачал игру из интернета, в нагрузку к скачанному поустанавливалось очень много программ, в том числе Baidu, которые я успешно принудительно удалил с помощью Revo Uninstaller Pro по инструкции из интернета.

    Несколько раз чистил всё ccleaner, перезагружал компьютер, сбрасывал настройки браузера, проверял антивирусом, но ничего не помогает.

    В IE, Mozilla, Chrome остались стартовые страницы: trahlab, vezunchik.club, search-da.

    Не знаю что делать.

    +сделал всё по инструкции, но файла AVZ - virusinfo_syscure.zip [/B][B]в папке LOG нет.

    Выполнил ещё раз третий скрипт, прикрепляю.
    Но получается, что порядок действий нарушен, если надо, то переделаю.
    Вложения Вложения
    Последний раз редактировалось Doge; 29.03.2015 в 21:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Doge, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

    WindowsMangerProtect, AnyProtectEx, - удалите через установку удаление программ.


    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     SetServiceStart('BDArKit', 4);
     SetServiceStart('BDKVRTP', 4);
     StopService('BdSandBox');
     StopService('BDMWrench_x64');
     StopService('bd0003');
     StopService('BDArKit');
     StopService('BDKVRTP');
     QuarantineFile('C:\Users\HM\AppData\Roaming\QGYN.exe', '');
     QuarantineFile('C:\Program Files\Adobe\Adobe After Effects CC\Support Files\AfterFX.com', '');
     QuarantineFile('C:\Windows\system32\DRIVERS\BdSandBox.sys', '');
     QuarantineFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe', '');
     QuarantineFile('C:\Windows\System32\Drivers\BDArKit.SYS', '');
     QuarantineFile('C:\Windows\system32\DRIVERS\bd0003.sys', '');
     DeleteFile('C:\Windows\Tasks\QGYN.job', '64');
     DeleteFile('C:\Windows\system32\Tasks\QGYN', '64');
     DeleteFile('C:\Users\HM\AppData\Roaming\QGYN.exe', '32');
     DeleteFile('C:\Program Files\Adobe\Adobe After Effects CC\Support Files\AfterFX.com', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys', '32');
     DeleteFile('C:\Windows\System32\Drivers\BDArKit.SYS', '32');
     DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys', '32');
     DeleteService('BdSandBox');
     DeleteService('BDMWrench_x64');
     DeleteService('bd0003');
     DeleteService('BDArKit');
     DeleteService('BDKVRTP');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(2);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaninger (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaninger\AdwCleaninger[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    33
    Здравствуйте!
    Сделал файл и загрузил его по форме, не совсем понял, что значит прикрепить его к этому сообщению.
    Ссылка на результаты анализа: http://virusinfo.info/virusdetector/...F6CB2DA32780E2
    Тема для обсуждения результатов анализа: http://virusinfo.info/showthread.php?t=180815

    WindowsMangerProtect нашёл и удалил, а вот AnyProtectEx не могу найти ни в ccleaner, ни в Revo Uninstaller Pro, ни в стандартных (у меня win 8.1) "Программы и компоненты" - поиск выдаёт только файлы с карантином avz по этому запросу.
    + В процессах таких активных нет.

    Сейчас буду выполнять скрипт в AVZ.

    ...
    Скрипт выполнил, карантин отправил, повторные логи прикрепляю, перехожу к следующему пункту.

    ...
    Я так понял, что для того, чтобы скачать AdwCleaninger (by Xplode) необходимо зарегистрироваться на сайте, никак не могу найти там регистрацию. Можно ли скачать эту программу откуда-то ещё?

    Скачал с другого сайта, ссылка есть на этот (https://toolslib.net/) сайт есть на том сайте (http://general-changelog-team.fr/), который Вы дали. Надеюсь всё безопасно.

    Прикрепляю отчёт.
    Вложения Вложения
    Последний раз редактировалось Doge; 30.03.2015 в 18:43.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Doge Посмотреть сообщение
    Сделал файл и загрузил его по форме, не совсем понял, что значит прикрепить его к этому сообщению.
    надо было ссылки, вы правильно сделали.

    Цитата Сообщение от Doge Посмотреть сообщение
    Я так понял, что для того, чтобы скачать AdwCleaninger (by Xplode) необходимо зарегистрироваться на сайте, никак не могу найти там регистрацию. Можно ли скачать эту программу откуда-то ещё?

    Скачал с другого сайта, ссылка есть на этот (https://toolslib.net/) сайт есть на том сайте (http://general-changelog-team.fr/), который Вы дали. Надеюсь всё безопасно.
    сегодня новая версия вышла и видно они сменили ссылку на скачивание, как раз на тот сайт откуда вы скачали.

    Логи сейчас просмотрю.

    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFile('C:\Windows\system32\VCL.dll', '');
     DeleteFile('C:\Windows\system32\VCL.dll', '32');
    ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.


    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    33
    Почистил, прикрепляю отчёт, после очистки и перезагрузки всё равно эти стартовые страницы остались.

    Сейчас буду делать скрипт и логи...

    После выполнения скрипта и перезагрузки всё равно стартовые страницы остались и никак не убираются
    Вложения Вложения
    Последний раз редактировалось Doge; 30.03.2015 в 20:43.

  10. #7

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    33
    Отчёт uvs уже не получается прикрепить, так как израсходовано доступное место.
    Можно ли удалить старые отчёты и логи?
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Doge Посмотреть сообщение
    Можно ли удалить старые отчёты и логи?
    личный кабинет - управление вложениями, но лучше просто загрузите сюда http://rghost.ru/

    - - - - -Добавлено - - - - -

    +
    - выполните такой скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk','');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk','');
     QuarantineFile('C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk','');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Маil.Ru.lnk','');
     QuarantineFile('C:\Users\HM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk','');
     QuarantineFile('C:\firefox.bat','');
     QuarantineFile('C:\launcher.bat','');
     QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
     QuarantineFile('C:\iexplore.bat','');
     DeleteFile('C:\firefox.bat','');
     DeleteFile('C:\launcher.bat','');
     DeleteFile('C:\Program Files (x86)\Google\chrome.bat','');
     DeleteFile('C:\iexplore.bat','');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


    • Пожалуйста, запустите adwCleaninger.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    33
    UVS:
    http://rghost.ru/private/8zNbmkj2M/d...e5ea3b1a047bef

    ...
    Карантин загрузил, сейчас буду делать следующий пункт
    ...
    Отчёт о работе прикрепил

    adwClean удалил
    Вложения Вложения
    Последний раз редактировалось Doge; 30.03.2015 в 23:02.

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS

    Код:
    ;uVS v3.85.12 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v385c
    BREG
    
    sreg
    
    zoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
    bl F217EF2EA31D8F73504B1CD2F9787D9D 809288
    delall \\?\C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
    
    zoo %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL
    delall \\?\C:\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL
    
    zoo %Sys32%\DRIVERS\BDFILEDEFEND.SYS
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDFILEDEFEND.SYS
    
    zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
    delall \\?\C:\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
    
    zoo %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
    bl 46E85FE5F787FDABAE8EA8C571ADC53B 56136
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDMWRENCH_X64.SYS
    
    zoo %Sys32%\DRIVERS\BD0003.SYS
    bl A5E55CB840660113D2C051D09EF3790F 67400
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0003.SYS
    
    zoo %Sys32%\DRIVERS\BD0001.SYS
    bl B070BE913D270FC77A53F8D4304AF94D 202576
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0001.SYS
    
    zoo %Sys32%\DRIVERS\BDARKIT.SYS
    bl AC5C57F6C95C5B2EE4FE78C7C93372A5 152392
    delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDARKIT.SYS
    
    zoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\СHRОMЕ.BАT.EXE
    delall \\?\C:\PROGRAM FILES (X86)\GOOGLE\СHRОMЕ.BАT.EXE
    
    czoo
    areg
    сделайте свежий образ автозапуска.

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    33
    Здравствуйте!
    Я так понял, что скрипт удалил полностью Хром?
    После установки нового не будет стоять по-умолчанию поиск ямдекс?

    Карантин отправил
    Полный образ автозапуска: http://rghost.ru/private/8HXNjCR9y/a...886219878101bf

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Doge Посмотреть сообщение
    Я так понял, что скрипт удалил полностью Хром?
    нет, он удалил только
    Цитата Сообщение от regist Посмотреть сообщение
    СHRОMЕ.BАT.EXE
    - этот файл скопирован вирусом.

    Посмотрите, разве у вас нету файла?
    Код:
    C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

  20. Это понравилось:


  21. #14
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    33
    Здравствуйте!
    Да, этот файл есть, но в настройках всё ещё стоит ямдекс как поиск по-умолчанию.
    Как его оттуда убрать?

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    В адресной строке Хрома наберите
    Код:
    chrome://settings/
    В разделе Поиск нажмите Управление поисковыми системами.
    Появится список. При наведении мышкой на нужную строку справа появится крестик, нажав на который, эта строка (и поисковая система) удалится из настроек.

  23. Это понравилось:


  24. #16
    Junior Member Репутация
    Регистрация
    29.03.2015
    Сообщений
    15
    Вес репутации
    33
    Здравствуйте!
    Дело в том, что там нет этого крестика, пишет, что эта поисковая система установлена администратором

    image.png

  25. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Doge Посмотреть сообщение
    Дело в том, что там нет этого крестика
    потому что надо сначала сменить поиск по умолчанию на какой-то другой, а уже потом удалять.

  26. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\iexplore.bat - Trojan.Win32.StartPage.frep


  • Уважаемый(ая) Doge, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 18.03.2015, 23:12
    2. Ответов: 13
      Последнее сообщение: 10.03.2015, 01:32
    3. Ответов: 2
      Последнее сообщение: 04.03.2015, 14:56
    4. Ответов: 12
      Последнее сообщение: 25.02.2015, 19:04
    5. Ответов: 14
      Последнее сообщение: 10.01.2015, 21:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00390 seconds with 20 queries