Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Стартовая страница в браузере постоянно меняется (http://forum.oszone.net/showthread.php?t=289988)

Vp936 26-10-2014 19:02 2420729
Стартовая страница в браузере постоянно меняется
 
Вложений: 1
Доброго времени суток!
Самостоятельно не смог решить проблему. Скачал в Инете как оказалось вредоносное ПО, самостоятельно удалил только типа mail и т.д. Но при запуске Mozilla Firefox стартовая страница постоянно меняется на рекламные сайты, в настройках по умолчанию стоит Яндекс. Надеюсь на Вашу помощь. Логи прилагаю.

Sandor 27-10-2014 17:54 2421139
Здравствуйте!

1. Ярлыки
Цитата:
C:\Users\All Users\Application Data\Desktop\Mozilla Firefox.lnk
C:\Users\All Users\Application Data\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\All Users\Application Data\Microsoft\Windows\Start Menu\Программы\Mozilla Firefox.lnk
C:\Users\All Users\Application Data\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\All Users\Application Data\Start Menu\Программы\Mozilla Firefox.lnk
C:\Users\All Users\Application Data\главное меню\Programs\Mozilla Firefox.lnk
C:\Users\All Users\Application Data\главное меню\Программы\Mozilla Firefox.lnk
C:\Users\All Users\Application Data\Рабочий стол\Mozilla Firefox.lnk
C:\Users\All Users\Desktop\Mozilla Firefox.lnk
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\All Users\Microsoft\Windows\Start Menu\Программы\Mozilla Firefox.lnk
C:\Users\All Users\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\All Users\Start Menu\Программы\Mozilla Firefox.lnk
C:\Users\All Users\главное меню\Programs\Mozilla Firefox.lnk
C:\Users\All Users\главное меню\Программы\Mozilla Firefox.lnk
C:\Users\All Users\Рабочий стол\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
исправьте с помощью утилиты ClearLNK.
Отчет о работе прикрепите к следующему сообщению.

2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Максим\AppData\Local\amigo.bat', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\ok.bat', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\vk.bat', '');
 QuarantineFile('C:\iexplore.bat', '');
 DeleteFile('C:\Users\Максим\AppData\Local\amigo.bat', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\ok.bat', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\vk.bat', '32');
 DeleteFile('C:\iexplore.bat', '32');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Vp936 27-10-2014 20:26 2421220
Вложений: 2
- Пункт 1 выполнил, отчет приложил.
- Пункт 2 выполнил частично, т.е. кроме этого "Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма." http://www.oszone.net/virusnet/ там написано "Файлы quarantine.zip и/или virusinfo_cure.zip (другие недопустимы)". Файла в архиве не вижу, но вес архива 22 кбт. Я что то не так делаю?
- Пункт 3 выполнил, отчет приложил.
Проблема не решена.

Sandor 28-10-2014 09:44 2421382
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.

Цитата:
Цитата Vp936
что то не так делаю? »
Нет, все правильно, по какой-то причине файлы в карантин не попали.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Vp936 28-10-2014 22:23 2421796
Вложений: 2
Выполнил все так, как вы написали. Отчеты приложил.
Вопрос не решен.

Sandor 29-10-2014 12:34 2422087
1. Ярлыки
Цитата:
C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.lnk
C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Программы\Internet Explorer.lnk
C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Программы\Амиго.lnk
C:\Users\Максим\Application Data\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Максим\Application Data\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Максим\Application Data\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.lnk
C:\Users\Максим\Application Data\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Максим\Application Data\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
C:\Users\Максим\Application Data\Microsoft\Windows\Start Menu\Программы\Internet Explorer.lnk
C:\Users\Максим\Application Data\Microsoft\Windows\Start Menu\Программы\Амиго.lnk
C:\Users\Максим\главное меню\Programs\Internet Explorer.lnk
C:\Users\Максим\главное меню\Programs\Амиго.lnk
C:\Users\Максим\главное меню\Программы\Internet Explorer.lnk
C:\Users\Максим\главное меню\Программы\Амиго.lnk
исправьте с помощью утилиты ClearLNK.
Отчет прикрепите к следующему сообщению.

2. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  QuarantineFile('C:\iexplore.bat','');
  QuarantineFile('C:\firefox.bat','');
  QuarantineFile('C:\Users\Максим\AppData\Local\amigo.bat','');
  DeleteFile('C:\iexplore.bat','');
  DeleteFile('C:\firefox.bat','');
  DeleteFile('C:\Users\Максим\AppData\Local\amigo.bat','');
 ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(false);
end.
Компьютер перезагрузится.

3. После перезагрузки полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4. Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
Search App by Ask
5. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Vp936 29-10-2014 19:05 2422267
Вложений: 2
1. Выполнил, отчет приложил.
2. Выполнил, перезагрузил - проблема решена на данном этапе.
3. Архив опять пустой!
4. Удалил.
5. Выполнил. отчет приложил.
__________
Sandor Огромный поклон!

Sandor 30-10-2014 11:06 2422464
В логах чисто.

Если проблема решена:

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

Vp936 30-10-2014 21:28 2422733
Sandor выкладываю, рекомендации учел!
Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 30.10.2014 21:25:26
Run directory: C:\Users\Максим\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 8.2
__________________________________________________

Windows 8.1 (6.3.9200) (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 27.08.2014 19:56:08
Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 253157 мин.
Системный диск: C:\ ФС: NTFS Емкость: [891.4 Гб] Занято: [100 Гб] Свободно: [791.4 Гб]
Браузер по умолчанию: C:\WINDOWS\system32\OpenWith.exe
-------------Windows------------------------------
Internet Explorer 11.0.9600.17351 [+]
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2014-10-19 16:51:48
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 7.0
Антивирус обновлен
Windows Defender
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiSpyware_WMI----------------------
Windows Defender
ESET Smart Security 7.0
-------------AntiVirusFirewallInstall-------------
ESET Smart Security v.7.0.317.4
-------------AdobeProduction----------------------
Adobe Flash Player 15 Plugin v.15.0.0.189 [+]
Adobe Reader XI (11.0.09) - Russian v.11.0.09
-------------Browser------------------------------
Mozilla Firefox 32.0.3 (x86 ru) v.32.0.3
-------------RunningProcess-----------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.32.0.3.5379
-------------EndLog-------------------------------

Sandor 31-10-2014 10:50 2422866
Удачи!


Время: 21:01.

Время: 21:01.
© OSzone.net 2001-