Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 5.00/4: Рейтинг темы: голосов - 4, средняя оценка - 5.00
Модератор
Эксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
4415 / 2246 / 131
Регистрация: 27.06.2011
Сообщений: 8,965
1

Подмена интернет эксплорера, лишние ссылки

21.04.2015, 08:48. Просмотров 782. Ответов 9
Метки нет (Все метки)

В общем из названия понятно, что очередная систему нуждается в хорошей чистке)

Логи прикрепляю
0
Вложения
Тип файла: zip CollectionLog-2015.04.21-10.32.zip (214.7 Кб, 2 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
21.04.2015, 08:48
Ответы с готовыми решениями:

Открытие множества страниц Интернет Эксплорера
Компьютер тормозит и при включении открывается Интернет Эксплорер, Амиго. Удалил с автозагрузки...

При включении ноута, открывается 2 интернет эксплорера
Вот скрин. Может у кого бывало. В автозагрузке не нашёл. И надо заметить, не пустые эксплореры, а...

Перестали работать браузеры кроме интернет эксплорера
Здравствуйте, после того как ребенок скачал какую-то игру в интернете - перестали запускаться...

Подмена ссылки на картинку, если она не найдена
Всем привет! Как можно реалзовать такую функцию. Есть один сайт site.ru, который использует два...

9
Вирусоборец
15671 / 13059 / 2289
Регистрация: 08.10.2012
Сообщений: 52,958
21.04.2015, 09:09 2
Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя HotBeer. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________
  1. Через Панель управления - Удаление программ - удалите нежелательное ПО:
    AnyProtect
    CinemaPlus-3.2cV20.04
    GamesDesktop 033.216
    istartsurf uninstall
    SmartWeb
  2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.


    Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
     QuarantineFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184444-0000-0000-001FD009D1AA\bnsm171F.exe','');
     QuarantineFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184621-0000-0000-001FD009D1AA\snst211F.tmp', '');
     QuarantineFile('C:\Documents and Settings\Kassir\Application Data\00000000-1429166369-0000-0000-001FD009D1AA\jnsr1589.tmp', '');
     QuarantineFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184601-0000-0000-001FD009D1AA\cnsf2084.tmp', '');
     QuarantineFile('C:\Documents and Settings\Kassir\Application Data\Browsers\exe.erolpxei.bat', '');
     QuarantineFile('C:\Documents and Settings\Kassir\Application Data\jTi1zLVrum5GOltl6UFwLaRPPYq.exe', '');
     QuarantineFile('C:\Documents and Settings\Kassir\Application Data\PLKG.exe', '');
     QuarantineFile('C:\Documents and Settings\Kassir\Application Data\Z2V49etG2y1eBDmzp651.exe', '');
     QuarantineFile('H:\autorun.inf', '');
     DeleteFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184444-0000-0000-001FD009D1AA\bnsm171F.exe','32');
     DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
     DeleteFile('C:\WINDOWS\Tasks\jTi1zLVrum5GOltl6UFwLaRPPYq.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\PLKG.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\Z2V49etG2y1eBDmzp651.job', '32');
     DeleteFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184621-0000-0000-001FD009D1AA\snst211F.tmp', '32');
     DeleteFile('C:\Documents and Settings\Kassir\Application Data\00000000-1429166369-0000-0000-001FD009D1AA\jnsr1589.tmp', '32');
     DeleteFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184601-0000-0000-001FD009D1AA\cnsf2084.tmp', '32');
     DeleteFile('C:\Documents and Settings\Kassir\Application Data\Browsers\exe.erolpxei.bat', '32');
     DeleteFile('C:\Documents and Settings\Kassir\Application Data\jTi1zLVrum5GOltl6UFwLaRPPYq.exe', '32');
     DeleteFile('C:\Documents and Settings\Kassir\Application Data\PLKG.exe', '32');
     DeleteFile('C:\Documents and Settings\Kassir\Application Data\Z2V49etG2y1eBDmzp651.exe', '32');
     DeleteService('bytegenu');
     DeleteService('poxuwyvy');
     DeleteService('qipokuzu');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinCheck','command');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  3. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  4. Файл CheckBrowserLnk.log
    из папки
    ...\AutoLogger\CheckBrowserLnk
    перетащите на утилиту ClearLNK.



    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  5. Подготовьте лог сканирования AdwCleaner.
1
Модератор
Эксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
4415 / 2246 / 131
Регистрация: 27.06.2011
Сообщений: 8,965
21.04.2015, 10:12  [ТС] 3
done
0
Вложения
Тип файла: txt AdwCleaner[R0].txt (16.9 Кб, 2 просмотров)
Тип файла: log ClearLNK-21.04.2015_12-05.log (4.2 Кб, 2 просмотров)
Вирусоборец
15671 / 13059 / 2289
Регистрация: 08.10.2012
Сообщений: 52,958
21.04.2015, 10:15 4
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
1
Модератор
Эксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
4415 / 2246 / 131
Регистрация: 27.06.2011
Сообщений: 8,965
21.04.2015, 10:33  [ТС] 5
done
0
Вложения
Тип файла: rar log.rar (26.2 Кб, 2 просмотров)
Вирусоборец
15671 / 13059 / 2289
Регистрация: 08.10.2012
Сообщений: 52,958
21.04.2015, 10:43 6
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код
start
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-3900008742-3929510554-3579788594-1120 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} -  No File
Toolbar: HKU\S-1-5-21-3900008742-3929510554-3579788594-1120 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Kassir\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-04-18]
2015-04-17 10:38 - 2015-04-17 10:38 - 00613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsc5ED.tmp
2015-04-16 11:58 - 2015-04-18 17:01 - 00000000 ____D () C:\Program Files\e516bf56-d4dc-4d25-883d-a99eb1669ada
2015-04-16 11:56 - 2015-04-18 17:01 - 00000000 ____D () C:\Program Files\CinemaPlus-3.2cV15.04
2015-04-17 10:38 - 2015-04-17 10:38 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsc5ED.tmp
2015-04-18 14:04 - 2015-04-18 14:04 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsd45E.tmp
2015-04-18 16:38 - 2015-04-18 16:38 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsj197C.tmp
2015-04-18 10:47 - 2015-04-18 10:47 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsj1CFC.tmp
2015-04-21 00:24 - 2015-04-21 00:24 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsj1EC0.tmp
2015-04-18 12:56 - 2015-04-18 12:56 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nso2696.tmp
AlternateDataStreams: C:\WINDOWS\system32\20007696_75358ae6d26213b4c8862563b1f4e6fb58efd6ec (1).cab:SummaryInformation
AlternateDataStreams: C:\WINDOWS\system32\20007696_75358ae6d26213b4c8862563b1f4e6fb58efd6ec (1).cab:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
1
Модератор
Эксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
4415 / 2246 / 131
Регистрация: 27.06.2011
Сообщений: 8,965
21.04.2015, 11:16  [ТС] 7
Цитата Сообщение от Sandor Посмотреть сообщение
Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Слушаюсь и повинуюсь о мой хозяин
0
Вложения
Тип файла: txt Fixlog.txt (4.4 Кб, 2 просмотров)
Вирусоборец
15671 / 13059 / 2289
Регистрация: 08.10.2012
Сообщений: 52,958
21.04.2015, 11:20 8

Как обстановка?
0
Модератор
Эксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
4415 / 2246 / 131
Регистрация: 27.06.2011
Сообщений: 8,965
21.04.2015, 11:29  [ТС] 9
Цитата Сообщение от Sandor Посмотреть сообщение
Как обстановка?
Сейчас проверил сбербанк онлайн и контур, теперь работают (просто они не работали, поэтому и вызвали) открывается через НЕ так, то есть по ярлыку контура тыкаешь, либо вручную созданому по нужной ссылке, ослик открывает пустое окно (то есть окно с пустой адресной строкой), тыкаешь в адресную строку нужный url, он открывает, такая же ситуация со сбером.

В остальном проблем нет.
0
Вирусоборец
15671 / 13059 / 2289
Регистрация: 08.10.2012
Сообщений: 52,958
21.04.2015, 11:33 10
Возможно в свойствах ярлыков нужно что-то изменить или прописать как требуется.

В завершение как обычно -

Выполните скрипт в AVZ при наличии доступа в интернет:

Код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после удаления вредоносного ПО
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
21.04.2015, 11:33

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Фотомедиатека, Лишние ссылки в разделах
Добрый день. Дали сайт разобраться в чём дело. В разделах фотомедиатеки на сайте отображаются...

Ширина сайдбара и лишние ссылки
Всем привет! Будьте добры помогите решить две проблемы. Сайт www.moneybomba.ru Суть вопроса:...

Валидатор Яндекса генерирует лишние ссылки
Валидатор Яндекса вывел несколько строк по сайту, хотелось бы узнать что это и как это убрать? ...

Закрываем лишние внешние ссылки от индексации
Тег &lt;noindex&gt;***&lt;/noindex&gt; не даёт индексироваться тексту (***), а ссылки внутри этого тега отлично...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.