Реклама в браузере и принудительная переадресация на поиск mail.ru

@Kaito · Регистрация: 14.01.2015

Студворк — интернет-сервис помощи студентам

Добрый день.

При отключенной защите на системе Windows 8.1 был запущен exe файл, установивший множество гадости: китайский антивирус, множество ярлыков на сайты браузерных игр, игровой центр mail.ru и вирус, который открывает рекламу в текущем окне браузера во время его запуска и с периодичностью в несколько минут запускает дополнительное окно с рекламными ресурсами и делает это же почти через каждое нажатие на что-либо в окне браузера (работает во всех браузерах). К тому же он принудительно перенаправляет запросы поисковой строки на поиск от mail (изначально в адресной строке идёт прогрузка поисковой системы google, но спустя волшебное мгновенье мы оказываемся на поиске от меила).

Всё кроме вируса влияющего на браузеры было выпилено в безопасном режиме, но с вирусом справиться не получилось. Прошу помощи, прилагаю лог.

@Sandor · 15.01.2015, 09:30

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Kaito. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ____

1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Ushakova\AppData\Roaming\Browsers\exe.xoferif.bat','');
 QuarantineFile('C:\Users\Ushakova\AppData\Roaming\Browsers\exe.rehcnual ten.elttab.bat','');
 QuarantineFile('C:\Users\Ushakova\AppData\Roaming\Browsers\exe.rehcnual ateb enotshtraeh.bat','');
 QuarantineFile('C:\Users\Ushakova\AppData\Roaming\Browsers\exe.rehcnualtow.bat','');
 QuarantineFile('C:\Users\Ushakova\AppData\Roaming\Browsers\exe.rehcnual tfarcraw fo dlrow.bat','');
 DeleteFile('C:\Users\Ushakova\AppData\Roaming\Browsers\exe.xoferif.bat','');
 DeleteFile('C:\Users\Ushakova\AppData\Roaming\Browsers\exe.rehcnual ten.elttab.bat','');
 DeleteFile('C:\Users\Ushakova\AppData\Roaming\Browsers\exe.rehcnual ateb enotshtraeh.bat','');
 DeleteFile('C:\Users\Ushakova\AppData\Roaming\Browsers\exe.rehcnualtow.bat','');
 DeleteFile('C:\Users\Ushakova\AppData\Roaming\Browsers\exe.rehcnual tfarcraw fo dlrow.bat','');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(false);
end.

Компьютер перезагрузится.

2. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

4. Подготовьте лог сканирования AdwCleaner.

@Kaito · 15.01.2015, 18:54 **[ТС]**

Выполнила скрипт, отправила quarantine.zip
Отчёт ClearLNK и лог AdwCleaner прилагаю.

@Sandor · 16.01.2015, 09:10

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@Kaito · 16.01.2015, 19:41 **[ТС]**

Сделала

@thyrex · 18.01.2015, 12:40

Выполните скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
begin
 SetServiceStart('sysmon', 4);
 SetServiceStart('rsutils', 4);
 DeleteService('sysmon');
 DeleteService('rsutils');
ExecuteSysClean;
 BC_DeleteFile('C:\Windows\system32\DRIVERS\rsutils.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\sysmon.sys');
 BC_DeleteSvc('RsRavMon');
 BC_DeleteSvc('SkypeUpdate');
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Сделайте новые логи

@Kaito · 20.01.2015, 19:26 **[ТС]**

Большое спасибо за помощь =)

Вот ещё логи.

@Sandor · 21.01.2015, 09:24

В логах порядок. Проблема решена?

@Kaito · 21.01.2015, 09:41 **[ТС]**

Да, решена, большое спасибо за помощь, тему можно закрывать =)

@Sandor · 21.01.2015, 09:48

Выполните скрипт в AVZ при наличии доступа в интернет:

Code
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после удаления вредоносного ПО

@Kaito · 21.01.2015, 18:22 **[ТС]**

Сделано, ещё раз большое спасибо =)

Новые блоги и статьи Все статьи Все блоги /
Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	16.01.2015, 09:10
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	21.01.2015, 09:24
	В логах порядок. Проблема решена? 0

@Kaito 0 / 0 / 0 Регистрация: 14.01.2015 Сообщений: 7
	21.01.2015, 09:41 [ТС]
	Да, решена, большое спасибо за помощь, тему можно закрывать =) 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	21.01.2015, 09:48
	Выполните скрипт в AVZ при наличии доступа в интернет: Code var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО 0

@Kaito 0 / 0 / 0 Регистрация: 14.01.2015 Сообщений: 7
	21.01.2015, 18:22 [ТС]
	Сделано, ещё раз большое спасибо =) 0