Вирус самопроизвольно открывает непонятные страницы

@Калипсо · Регистрация: 11.02.2015

Студворк — интернет-сервис помощи студентам

После закачки драйверов попал вирус. Самостоятельно открывает непонятные сайты, прописывает поисковик yamdex в браузере хром. Нет возможности его удалить.

@Sandor · 12.02.2015, 11:06

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Калипсо. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Юра\appdata\local\systemdir\setsearchm.exe','');
 QuarantineFile('C:\Program Files\Zaxar\timetasks.exe','');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Program Files\Google\chrome.bat', '');
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\Users\Юра\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.exe', '');
 QuarantineFile('C:\Users\Юра\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.lnk', '');
 DeleteFile('C:\Users\Юра\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.exe');
 DeleteFile('C:\Users\Юра\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.lnk');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe');
 DeleteFile('C:\Program Files\Zaxar\timetasks.exe');
 DeleteFile('C:\Users\Юра\appdata\local\systemdir\setsearchm.exe');
 DeleteFile('C:\Program Files\Google\chrome.bat');
 DeleteFile('C:\iexplore.bat');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ljupmikrmz');
 DeleteFileMask('C:\Program Files\Zaxar\', '*', true);
 DeleteFileMask('C:\Users\Юра\appdata\local\systemdir\', '*', true);
 DeleteDirectory('C:\Program Files\Zaxar\');
 DeleteDirectory('C:\Users\Юра\appdata\local\systemdir\');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Ярлыки

C:\Users\Юра\AppData\Roaming\Microsoft\I nternet Explorer\Quick Launch\Gооglе Сhrоmе.lnk
C:\Users\Юра\AppData\Roaming\Microsoft\I nternet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk
C:\Users\Юра\AppData\Roaming\Microsoft\I nternet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\Users\Юра\AppData\Roaming\Microsoft\I nternet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk
C:\Users\Юра\AppData\Roaming\Microsoft\W indows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk
C:\Users\Юра\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldc kninlnmhoe\Амиго.Музыка.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Подготовьте лог сканирования AdwCleaner.

@Калипсо · 12.02.2015, 20:50 **[ТС]**

Не получается выполнить первый скрипт, выдает ошибку: Too many actual parametrs в позиции 14:12

@Sandor · 13.02.2015, 09:34

Пробуйте еще раз.

@Калипсо · 13.02.2015, 16:00 **[ТС]**

Добрый день !
Лог утилиты ClearLNK создал по новой, так как при создании старого открывал ClearLNK не от имени администратора.
Соответственно в нем уже все исправленное

@Sandor · 13.02.2015, 16:05

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").

По окончанию сканирования снимите галочки со следующих строк:

Code
***** [ Files / Folders ] *****
 
Folder Found : C:\Users\Юра\AppData\Local\Mail.Ru
Folder Found : C:\Users\Юра\AppData\Local\MailRu
 
***** [ Registry ] *****
 
Data Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <local>

Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@Калипсо · 13.02.2015, 20:17 **[ТС]**

запустил AdwCleaner от имени администратора, сканирует, но никаих логов не выдает. Пишет:
wating for actions. uncheck elements you want to keep

@shestale · 14.02.2015, 09:50

Сообщение от Калипсо

сканирует, но никаих логов не выдает

для этого

Сообщение от Sandor

Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.

@Калипсо · 14.02.2015, 13:42 **[ТС]**

запустил, нажал на "очистить", пк перезагрузился, появился текстовый документ. больше ничего

@shestale · 14.02.2015, 15:30

Сообщение от Калипсо

появился текстовый документ

вот его и выложите, вы инструкции вообще читаете или в принципе нет?

Сообщение от Sandor

Подробнее читайте в этом руководстве.

+

Сообщение от Sandor

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@Калипсо · 14.02.2015, 21:10 **[ТС]**

логи

@Sandor · 14.02.2015, 23:20

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Далее:
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Юра\AppData\Local\SystemDir\nethost.exe','');
 DeleteFile('C:\Users\Юра\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Программу Protector Suite 2009 ставили самостоятельно?

Что с проблемой?

@Калипсо · 17.02.2015, 14:24 **[ТС]**

Добрый день !

Скачатьvirusinfo_auto_ЮРА-ПК.zip

quarantine.zip отправил по почте

Protector Suite 2009 вроде как с каким то драйвером попал.. не помню что устанавливал его.

@Sandor · 17.02.2015, 14:28

Сообщение от Калипсо

не помню что устанавливал его

Удалите через Панель управления - Удаление программ

Сообщение от Sandor

Что с проблемой?

?

@Калипсо · 17.02.2015, 14:33 **[ТС]**

сорри, протектор сьюит - это утилита по отпечаткам пальцев, я ее скачал недавно и с помощью ее управляю пк отпечатком. До установки семерки, была родная утилита на висте, но ее я в сети не нашел.

проблема с поиском yamdex.net не исчезла, по прежнему не могу ее удалить из Chrome

@Sandor · 17.02.2015, 14:35

Сообщение от Калипсо

управляю пк отпечатком

Тогда оставляйте.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

@Калипсо · 17.02.2015, 14:56 **[ТС]**

готово

@Sandor · 17.02.2015, 15:12

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Code
start
CreateRestorePoint:
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3002796554-2012360172-3007246162-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3002796554-2012360172-3007246162-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
CHR HKLM\...\Chrome\Extension: [nphbmanpfjfdngbaamhajooihmjacmfe] - No Path
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path
Task: {44DDC829-1A27-4D6C-9FAA-DCF1173117AA} - \nethost task No Task File <==== ATTENTION
InternetURL: C:\Users\Юра\Favorites\Links\Интернет.url -> hxxp://2inf.net/?utm_source=favorites12
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@Калипсо · 17.02.2015, 15:36 **[ТС]**

ок.

@Sandor · 17.02.2015, 15:38

Что сейчас с проблемой?

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .
SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .

@Калипсо 0 / 0 / 0 Регистрация: 11.02.2015 Сообщений: 15
	12.02.2015, 20:50 [ТС]
	Не получается выполнить первый скрипт, выдает ошибку: Too many actual parametrs в позиции 14:12 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	13.02.2015, 09:34
	Пробуйте еще раз. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	13.02.2015, 16:05
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"). По окончанию сканирования снимите галочки со следующих строк: Code *** [ Files / Folders ] * Folder Found : C:\Users\Юра\AppData\Local\Mail.Ru Folder Found : C:\Users\Юра\AppData\Local\MailRu * [ Registry ] * Data Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <local> Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!**. Подробнее читайте в этом руководстве. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 0

@Калипсо 0 / 0 / 0 Регистрация: 11.02.2015 Сообщений: 15
	13.02.2015, 20:17 [ТС]
	запустил AdwCleaner от имени администратора, сканирует, но никаих логов не выдает. Пишет: wating for actions. uncheck elements you want to keep 0

@Калипсо 0 / 0 / 0 Регистрация: 11.02.2015 Сообщений: 15
	14.02.2015, 13:42 [ТС]
	запустил, нажал на "очистить", пк перезагрузился, появился текстовый документ. больше ничего 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	14.02.2015, 23:20
	Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Выполните обновление баз (Меню Файл - Обновление баз) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем *virusinfo_files_<имя_ПК>.zip* Закачайте полученный архив, как описано на этой странице. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении. Далее: Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Code begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Юра\AppData\Local\SystemDir\nethost.exe',''); DeleteFile('C:\Users\Юра\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\Windows\system32\Tasks\nethost task','32'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Code begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Программу Protector Suite 2009 ставили самостоятельно? Что с проблемой? 0

@Калипсо 0 / 0 / 0 Регистрация: 11.02.2015 Сообщений: 15
	17.02.2015, 14:24 [ТС]
	Добрый день ! Скачатьvirusinfo_auto_ЮРА-ПК.zip quarantine.zip отправил по почте Protector Suite 2009 вроде как с каким то драйвером попал.. не помню что устанавливал его. 0

@Калипсо 0 / 0 / 0 Регистрация: 11.02.2015 Сообщений: 15
	17.02.2015, 14:33 [ТС]
	сорри, протектор сьюит - это утилита по отпечаткам пальцев, я ее скачал недавно и с помощью ее управляю пк отпечатком. До установки семерки, была родная утилита на висте, но ее я в сети не нашел. проблема с поиском yamdex.net не исчезла, по прежнему не могу ее удалить из Chrome 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	17.02.2015, 15:38
	Что сейчас с проблемой? 0