Подмена интернет эксплорера, лишние ссылки

HotBeer · Регистрация: 27.06.2011

В общем из названия понятно, что очередная систему нуждается в хорошей чистке)

Логи прикрепляю

@Sandor · 21.04.2015, 09:09

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя HotBeer. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AnyProtect
CinemaPlus-3.2cV20.04
GamesDesktop 033.216
istartsurf uninstall
SmartWeb

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
 QuarantineFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184444-0000-0000-001FD009D1AA\bnsm171F.exe','');
 QuarantineFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184621-0000-0000-001FD009D1AA\snst211F.tmp', '');
 QuarantineFile('C:\Documents and Settings\Kassir\Application Data\00000000-1429166369-0000-0000-001FD009D1AA\jnsr1589.tmp', '');
 QuarantineFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184601-0000-0000-001FD009D1AA\cnsf2084.tmp', '');
 QuarantineFile('C:\Documents and Settings\Kassir\Application Data\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Documents and Settings\Kassir\Application Data\jTi1zLVrum5GOltl6UFwLaRPPYq.exe', '');
 QuarantineFile('C:\Documents and Settings\Kassir\Application Data\PLKG.exe', '');
 QuarantineFile('C:\Documents and Settings\Kassir\Application Data\Z2V49etG2y1eBDmzp651.exe', '');
 QuarantineFile('H:\autorun.inf', '');
 DeleteFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184444-0000-0000-001FD009D1AA\bnsm171F.exe','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\jTi1zLVrum5GOltl6UFwLaRPPYq.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\PLKG.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\Z2V49etG2y1eBDmzp651.job', '32');
 DeleteFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184621-0000-0000-001FD009D1AA\snst211F.tmp', '32');
 DeleteFile('C:\Documents and Settings\Kassir\Application Data\00000000-1429166369-0000-0000-001FD009D1AA\jnsr1589.tmp', '32');
 DeleteFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\00000000-1429184601-0000-0000-001FD009D1AA\cnsf2084.tmp', '32');
 DeleteFile('C:\Documents and Settings\Kassir\Application Data\Browsers\exe.erolpxei.bat', '32');
 DeleteFile('C:\Documents and Settings\Kassir\Application Data\jTi1zLVrum5GOltl6UFwLaRPPYq.exe', '32');
 DeleteFile('C:\Documents and Settings\Kassir\Application Data\PLKG.exe', '32');
 DeleteFile('C:\Documents and Settings\Kassir\Application Data\Z2V49etG2y1eBDmzp651.exe', '32');
 DeleteService('bytegenu');
 DeleteService('poxuwyvy');
 DeleteService('qipokuzu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinCheck','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

HotBeer · 21.04.2015, 10:12 **[ТС]**

done

@Sandor · 21.04.2015, 10:15

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

HotBeer · 21.04.2015, 10:33 **[ТС]**

done

@Sandor · 21.04.2015, 10:43

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-3900008742-3929510554-3579788594-1120 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} -  No File
Toolbar: HKU\S-1-5-21-3900008742-3929510554-3579788594-1120 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Kassir\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-04-18]
2015-04-17 10:38 - 2015-04-17 10:38 - 00613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsc5ED.tmp
2015-04-16 11:58 - 2015-04-18 17:01 - 00000000 ____D () C:\Program Files\e516bf56-d4dc-4d25-883d-a99eb1669ada
2015-04-16 11:56 - 2015-04-18 17:01 - 00000000 ____D () C:\Program Files\CinemaPlus-3.2cV15.04
2015-04-17 10:38 - 2015-04-17 10:38 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsc5ED.tmp
2015-04-18 14:04 - 2015-04-18 14:04 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsd45E.tmp
2015-04-18 16:38 - 2015-04-18 16:38 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsj197C.tmp
2015-04-18 10:47 - 2015-04-18 10:47 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsj1CFC.tmp
2015-04-21 00:24 - 2015-04-21 00:24 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nsj1EC0.tmp
2015-04-18 12:56 - 2015-04-18 12:56 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Kassir\Local Settings\Application Data\nso2696.tmp
AlternateDataStreams: C:\WINDOWS\system32\20007696_75358ae6d26213b4c8862563b1f4e6fb58efd6ec (1).cab:SummaryInformation
AlternateDataStreams: C:\WINDOWS\system32\20007696_75358ae6d26213b4c8862563b1f4e6fb58efd6ec (1).cab:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

HotBeer · 21.04.2015, 11:16 **[ТС]**

Сообщение от Sandor

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Слушаюсь и повинуюсь о мой хозяин

@Sandor · 21.04.2015, 11:20

Как обстановка?

HotBeer · 21.04.2015, 11:29 **[ТС]**

Сообщение от Sandor

Как обстановка?

Сейчас проверил сбербанк онлайн и контур, теперь работают (просто они не работали, поэтому и вызвали

) открывается через НЕ так, то есть по ярлыку контура тыкаешь, либо вручную созданому по нужной ссылке, ослик открывает пустое окно (то есть окно с пустой адресной строкой), тыкаешь в адресную строку нужный url, он открывает, такая же ситуация со сбером.

В остальном проблем нет.

@Sandor · 21.04.2015, 11:33

Возможно в свойствах ярлыков нужно что-то изменить или прописать как требуется.

В завершение как обычно -

Выполните скрипт в AVZ при наличии доступа в интернет:

Код

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после удаления вредоносного ПО

@Sandor 15671 / 13059 / 2289 Регистрация: 08.10.2012 Сообщений: 52,958
	21.04.2015, 10:15	4
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Sandor 15671 / 13059 / 2289 Регистрация: 08.10.2012 Сообщений: 52,958
	21.04.2015, 11:20	8
	Как обстановка? 0

HotBeer Модератор 4415 / 2246 / 131 Регистрация: 27.06.2011 Сообщений: 8,965
	21.04.2015, 11:29 [ТС]	9
	Сообщение от Sandor Как обстановка? Сейчас проверил сбербанк онлайн и контур, теперь работают (просто они не работали, поэтому и вызвали) открывается через НЕ так, то есть по ярлыку контура тыкаешь, либо вручную созданому по нужной ссылке, ослик открывает пустое окно (то есть окно с пустой адресной строкой), тыкаешь в адресную строку нужный url, он открывает, такая же ситуация со сбером. В остальном проблем нет. 0

@Sandor 15671 / 13059 / 2289 Регистрация: 08.10.2012 Сообщений: 52,958
	21.04.2015, 11:33	10
	Возможно в свойствах ярлыков нужно что-то изменить или прописать как требуется. В завершение как обычно - Выполните скрипт в AVZ при наличии доступа в интернет: Код var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО 1

Опции темы