Вирус изменил стартовую страницу браузера,при открытии браузера направляет на сайт

@huseynoval · Регистрация: 19.12.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте.У меня такая проблема ,при открытии новой вкладки и практически после каждого клика открывается вкладка с рекламой , поиск гугл перенаправляется на поиск мейл.ру , компьютер почти не работает. Помогите пожалуйста решить проблему. Спасибо.

@shestale · 19.12.2015, 14:48

Внимание! Рекомендации написаны специально для huseynoval. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-6.exe', '');
 QuarantineFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-10.exe', '');
 QuarantineFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\StyleBubble.dll', '');
 QuarantineFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\jdkpydi.dll', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-7.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-11.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-3.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-4.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-5.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-6.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-7.exe', '');
 QuarantineFile('C:\Program Files\Torrent Search\IEEF\NALhVY52cATj.dll','');
 DeleteFile('C:\Program Files\Torrent Search\IEEF\NALhVY52cATj.dll','32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-1-6.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-1-7.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-10_user.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-11.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-3.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-4.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-5.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-5_user.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-6.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-7.job', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-1-6" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-1-7" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-10_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-11" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-4" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-5_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-6" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-7" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Style Bubble" /F', 0, 15000, true);
 DeleteFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-6.exe', '32');
 DeleteFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-10.exe', '32');
 DeleteFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\StyleBubble.dll', '32');
 DeleteFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\jdkpydi.dll', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-7.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-11.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-3.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-4.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-5.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-6.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-7.exe', '32');
 DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Windows Batch file
1
2
3
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщению не нужно!
Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.

@huseynoval · 19.12.2015, 17:59 **[ТС]**

Пытаюсь выполнить скрипт в АВЗ, но выдает ошибку : "BEGIN" expected в позиции 1:1.Что делать? Подскажите пожалуйста.

@shestale · 19.12.2015, 18:08

Не копируйте порядковые номера строк в скрипте.

@huseynoval · 19.12.2015, 21:22 **[ТС]**

Спасибо. Но теперь я не могу найти файл quarantine.zip, в папке его нет. Как быть?

@shestale · 20.12.2015, 08:51

Сообщение от shestale

После перезагрузки, выполните такой скрипт:

Вы его выполняли? Если - ДА, то возможно в карантин ни чего не попало. Тогда выполняйте дальше.

@huseynoval · 20.12.2015, 15:19 **[ТС]**

Да я так и делала, выполняла скрипт.

@shestale · 20.12.2015, 15:21

1. Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
2. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@huseynoval · 20.12.2015, 22:41 **[ТС]**

Спасибо. Надеюсь больше проблем не будет.

@shestale · 21.12.2015, 07:43

Зачистим остатки:
Подготовьте логи Farbar Recovery Scan Tool

@huseynoval · 27.12.2015, 18:27 **[ТС]**

Извините, что так поздно

@shestale · 27.12.2015, 19:09

Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file
1
2
3
4
5
6
7
8
9
10
start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.
+
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@huseynoval · 28.12.2015, 22:39 **[ТС]**

SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
WebSite: www.safezone.cc
DateLog: 28.12.2015 21:42:45
Path starting: C:\Users\acer\AppData\Local\Temp\Securit yCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: acer
VersionXML: 2.21is-26.12.2015
________________________________________ ___________________________________

Windows 8.1(6.3.9600) (x86) Professional Lang: Russian(0419)
Дата установки ОС: 09.09.2014 08:54:23
Статус лицензии: Windows(R), Professional edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: Opera (C:\Program Files\Opera\Opera.exe)
Системный диск: C: ФС: [NTFS] Емкость: [74.4 Гб] Занято: [18.7 Гб] Свободно: [55.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17207 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Bakcell 3G Data Kart v.1.0.0.1
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.20 (32-разрядная) v.4.20.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.30214.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
^Необязательное обновление.^
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 17 v.7.0.170 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-i586.exe^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.6.602.180 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Reader XI (11.0.02) - Russian v.11.0.02 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.47.0.2526.106
Mozilla Firefox 40.0.3 (x86 ru) v.40.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera 12.14 v.12.14 Внимание! Скачать обновления
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Google\Chrome\Application\chrome.e xe v.47.0.2526.106
MsMpEng.exe
MpCmdRun.exe
NisSrv.exe
---------------------------- [ UnwantedApps ] -----------------------------
Skype Click to Call v.7.5.0.9082 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Амиго v.32.0.1725.115 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

@shestale · 29.12.2015, 08:35

Выполните рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а привычная функция main(). . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .	Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом	http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .
http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь(не выше 3-го порядка) постоянного тока с элементами R, L, C, k(ключ), U, E, J. Программа находит переходные токи и напряжения на элементах схемы классическим методом(1 и 2 з-ны. . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/

@huseynoval 0 / 0 / 0 Регистрация: 19.12.2015 Сообщений: 7
	19.12.2015, 17:59 [ТС]
	Пытаюсь выполнить скрипт в АВЗ, но выдает ошибку : "BEGIN" expected в позиции 1:1.Что делать? Подскажите пожалуйста. 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	19.12.2015, 18:08
	Не копируйте порядковые номера строк в скрипте. 1

@huseynoval 0 / 0 / 0 Регистрация: 19.12.2015 Сообщений: 7
	19.12.2015, 21:22 [ТС]
	Спасибо. Но теперь я не могу найти файл quarantine.zip, в папке его нет. Как быть? 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	20.12.2015, 15:21
	1. Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. 2. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	21.12.2015, 07:43
	Зачистим остатки: Подготовьте логи Farbar Recovery Scan Tool 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	29.12.2015, 08:35
	Выполните рекомендации после удаления вредоносного ПО 0

Опции темы