Вирус изменил стартовую страницу браузера,при открытии браузера направляет на сайт

@huseynoval · Регистрация: 19.12.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте.У меня такая проблема ,при открытии новой вкладки и практически после каждого клика открывается вкладка с рекламой , поиск гугл перенаправляется на поиск мейл.ру , компьютер почти не работает. Помогите пожалуйста решить проблему. Спасибо.

@shestale · 19.12.2015, 14:48

Внимание! Рекомендации написаны специально для huseynoval. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-6.exe', '');
 QuarantineFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-10.exe', '');
 QuarantineFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\StyleBubble.dll', '');
 QuarantineFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\jdkpydi.dll', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-7.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-11.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-3.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-4.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-5.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-6.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-7.exe', '');
 QuarantineFile('C:\Program Files\Torrent Search\IEEF\NALhVY52cATj.dll','');
 DeleteFile('C:\Program Files\Torrent Search\IEEF\NALhVY52cATj.dll','32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-1-6.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-1-7.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-10_user.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-11.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-3.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-4.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-5.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-5_user.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-6.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-7.job', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-1-6" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-1-7" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-10_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-11" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-4" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-5_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-6" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-7" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Style Bubble" /F', 0, 15000, true);
 DeleteFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-6.exe', '32');
 DeleteFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-10.exe', '32');
 DeleteFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\StyleBubble.dll', '32');
 DeleteFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\jdkpydi.dll', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-7.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-11.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-3.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-4.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-5.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-6.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-7.exe', '32');
 DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Windows Batch file

1
2
3

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщению не нужно!
Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.

@huseynoval · 19.12.2015, 17:59 **[ТС]**

Пытаюсь выполнить скрипт в АВЗ, но выдает ошибку : "BEGIN" expected в позиции 1:1.Что делать? Подскажите пожалуйста.

@shestale · 19.12.2015, 18:08

Не копируйте порядковые номера строк в скрипте.

@huseynoval · 19.12.2015, 21:22 **[ТС]**

Спасибо. Но теперь я не могу найти файл quarantine.zip, в папке его нет. Как быть?

@shestale · 20.12.2015, 08:51

Сообщение от shestale

После перезагрузки, выполните такой скрипт:

Вы его выполняли? Если - ДА, то возможно в карантин ни чего не попало. Тогда выполняйте дальше.

@huseynoval · 20.12.2015, 15:19 **[ТС]**

Да я так и делала, выполняла скрипт.

@shestale · 20.12.2015, 15:21

1. Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
2. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@huseynoval · 20.12.2015, 22:41 **[ТС]**

Спасибо. Надеюсь больше проблем не будет.

@shestale · 21.12.2015, 07:43

Зачистим остатки:
Подготовьте логи Farbar Recovery Scan Tool

@huseynoval · 27.12.2015, 18:27 **[ТС]**

Извините, что так поздно

@shestale · 27.12.2015, 19:09

Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.
+
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@huseynoval · 28.12.2015, 22:39 **[ТС]**

SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
WebSite: www.safezone.cc
DateLog: 28.12.2015 21:42:45
Path starting: C:\Users\acer\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: acer
VersionXML: 2.21is-26.12.2015
___________________________________________________________________________

Windows 8.1(6.3.9600) (x86) Professional Lang: Russian(0419)
Дата установки ОС: 09.09.2014 08:54:23
Статус лицензии: Windows(R), Professional edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: Opera (C:\Program Files\Opera\Opera.exe)
Системный диск: C: ФС: [NTFS] Емкость: [74.4 Гб] Занято: [18.7 Гб] Свободно: [55.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17207 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Bakcell 3G Data Kart v.1.0.0.1
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.20 (32-разрядная) v.4.20.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.30214.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
^Необязательное обновление.^
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 17 v.7.0.170 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-i586.exe^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.6.602.180 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Reader XI (11.0.02) - Russian v.11.0.02 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.47.0.2526.106
Mozilla Firefox 40.0.3 (x86 ru) v.40.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera 12.14 v.12.14 Внимание! Скачать обновления
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.47.0.2526.106
MsMpEng.exe
MpCmdRun.exe
NisSrv.exe
---------------------------- [ UnwantedApps ] -----------------------------
Skype Click to Call v.7.5.0.9082 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Амиго v.32.0.1725.115 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

@shestale · 29.12.2015, 08:35

Выполните рекомендации после удаления вредоносного ПО

Новые блоги и статьи
Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .	Полезные поделки на Arduino, которые можно сделать самому raxper 06.01.2025 Arduino как платформа для творчества Arduino представляет собой удивительную платформу для технического творчества, которая открывает безграничные возможности для создания уникальных проектов. Эта. . .	Подборка решений задач на Python IT_Exp 06.01.2025 Целью данной подборки является предоставление возможности ознакомиться с различными задачами и их решениями на Python, что может быть полезно как для начинающих, так и для опытных программистов. . . .
С чего начать программировать микроконтроллеры raxper 06.01.2025 Введение в мир микроконтроллеров Микроконтроллеры стали неотъемлемой частью современного мира, окружая нас повсюду: от простых бытовых приборов до сложных промышленных систем. Эти маленькие. . .	Из чего собрать игровой компьютер inter-admin 06.01.2025 Сборка игрового компьютера требует особого внимания к выбору комплектующих и их совместимости. Правильно собранный игровой ПК не только обеспечивает комфортный геймплей в современных играх, но и. . .	Обновление сайта www.historian.by Reglage 05.01.2025 Обещал подвести итоги 2024 года для сайта. Однако начну с того, что изменилось за неделю. Добавил краткий урок по последовательности действий при анализе вредоносных файлов и значительно улучшил урок. . .	Как использовать GraphQL в C# с HotChocolate Programming 05.01.2025 GraphQL — это современный подход к разработке API, который позволяет клиентам запрашивать только те данные, которые им необходимы. Это делает взаимодействие с API более гибким и эффективным по. . .	Модель полного двоичного сумматора с помощью логических операций (python) AlexSky-coder 04.01.2025 def binSum(x:list, y:list): s=^y] p=x and y for i in range(1,len(x)): s. append((x^y)^p) p=(x and y)or(p and (x or y)) return s x=list() y=list()	Это мы не проходили, это нам не задавали...(асихронный счётчик с управляющим сигналом зад Hrethgir 04.01.2025 Асинхронный счётчик на сумматорах (шестиразрядный по числу диодов на плате, но наверное разрядов будет больше - восемь или шестнадцать, а диоды на старшие), так как триггеры прошли тестирование и. . .

@huseynoval 0 / 0 / 0 Регистрация: 19.12.2015 Сообщений: 7
	19.12.2015, 17:59 [ТС]	3
	Пытаюсь выполнить скрипт в АВЗ, но выдает ошибку : "BEGIN" expected в позиции 1:1.Что делать? Подскажите пожалуйста. 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	19.12.2015, 18:08	4
	Не копируйте порядковые номера строк в скрипте. 1

@huseynoval 0 / 0 / 0 Регистрация: 19.12.2015 Сообщений: 7
	19.12.2015, 21:22 [ТС]	5
	Спасибо. Но теперь я не могу найти файл quarantine.zip, в папке его нет. Как быть? 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	20.12.2015, 08:51	6
	Сообщение от shestale После перезагрузки, выполните такой скрипт: Вы его выполняли? Если - ДА, то возможно в карантин ни чего не попало. Тогда выполняйте дальше. 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	20.12.2015, 15:21	8
	1. Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. 2. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	21.12.2015, 07:43	10
	Зачистим остатки: Подготовьте логи Farbar Recovery Scan Tool 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	29.12.2015, 08:35	14
	Выполните рекомендации после удаления вредоносного ПО 0