Вирус изменил стартовую страницу браузера,при открытии браузера направляет на сайт

@huseynoval · Регистрация: 19.12.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте.У меня такая проблема ,при открытии новой вкладки и практически после каждого клика открывается вкладка с рекламой , поиск гугл перенаправляется на поиск мейл.ру , компьютер почти не работает. Помогите пожалуйста решить проблему. Спасибо.

@shestale · 19.12.2015, 14:48

Внимание! Рекомендации написаны специально для huseynoval. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-6.exe', '');
 QuarantineFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-10.exe', '');
 QuarantineFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\StyleBubble.dll', '');
 QuarantineFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\jdkpydi.dll', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-7.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-11.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-3.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-4.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-5.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-6.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-7.exe', '');
 QuarantineFile('C:\Program Files\Torrent Search\IEEF\NALhVY52cATj.dll','');
 DeleteFile('C:\Program Files\Torrent Search\IEEF\NALhVY52cATj.dll','32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-1-6.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-1-7.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-10_user.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-11.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-3.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-4.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-5.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-5_user.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-6.job', '32');
 DeleteFile('C:\Windows\Tasks\baf76b52-4aba-4e8e-a213-c55732f648a7-7.job', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-1-6" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-1-7" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-10_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-11" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-4" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-5_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-6" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "baf76b52-4aba-4e8e-a213-c55732f648a7-7" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Style Bubble" /F', 0, 15000, true);
 DeleteFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-6.exe', '32');
 DeleteFile('c:\program files\cinemaplus_1.3dv09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-10.exe', '32');
 DeleteFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\StyleBubble.dll', '32');
 DeleteFile('C:\Users\acer\AppData\Local\Style Bubble\Bin\jdkpydi.dll', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-1-7.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-11.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-3.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-4.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-5.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-6.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus_1.3dV09.08\baf76b52-4aba-4e8e-a213-c55732f648a7-7.exe', '32');
 DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Windows Batch file

1
2
3

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщению не нужно!
Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.

@huseynoval · 19.12.2015, 17:59 **[ТС]**

Пытаюсь выполнить скрипт в АВЗ, но выдает ошибку : "BEGIN" expected в позиции 1:1.Что делать? Подскажите пожалуйста.

@shestale · 19.12.2015, 18:08

Не копируйте порядковые номера строк в скрипте.

@huseynoval · 19.12.2015, 21:22 **[ТС]**

Спасибо. Но теперь я не могу найти файл quarantine.zip, в папке его нет. Как быть?

@shestale · 20.12.2015, 08:51

Сообщение от shestale

После перезагрузки, выполните такой скрипт:

Вы его выполняли? Если - ДА, то возможно в карантин ни чего не попало. Тогда выполняйте дальше.

@huseynoval · 20.12.2015, 15:19 **[ТС]**

Да я так и делала, выполняла скрипт.

@shestale · 20.12.2015, 15:21

1. Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
2. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@huseynoval · 20.12.2015, 22:41 **[ТС]**

Спасибо. Надеюсь больше проблем не будет.

@shestale · 21.12.2015, 07:43

Зачистим остатки:
Подготовьте логи Farbar Recovery Scan Tool

@huseynoval · 27.12.2015, 18:27 **[ТС]**

Извините, что так поздно

@shestale · 27.12.2015, 19:09

Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.
+
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@huseynoval · 28.12.2015, 22:39 **[ТС]**

SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
WebSite: www.safezone.cc
DateLog: 28.12.2015 21:42:45
Path starting: C:\Users\acer\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: acer
VersionXML: 2.21is-26.12.2015
___________________________________________________________________________

Windows 8.1(6.3.9600) (x86) Professional Lang: Russian(0419)
Дата установки ОС: 09.09.2014 08:54:23
Статус лицензии: Windows(R), Professional edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: Opera (C:\Program Files\Opera\Opera.exe)
Системный диск: C: ФС: [NTFS] Емкость: [74.4 Гб] Занято: [18.7 Гб] Свободно: [55.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17207 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Bakcell 3G Data Kart v.1.0.0.1
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.20 (32-разрядная) v.4.20.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.30214.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
^Необязательное обновление.^
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 17 v.7.0.170 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-i586.exe^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.6.602.180 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Reader XI (11.0.02) - Russian v.11.0.02 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.47.0.2526.106
Mozilla Firefox 40.0.3 (x86 ru) v.40.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera 12.14 v.12.14 Внимание! Скачать обновления
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.47.0.2526.106
MsMpEng.exe
MpCmdRun.exe
NisSrv.exe
---------------------------- [ UnwantedApps ] -----------------------------
Skype Click to Call v.7.5.0.9082 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Амиго v.32.0.1725.115 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

@shestale · 29.12.2015, 08:35

Выполните рекомендации после удаления вредоносного ПО

@huseynoval 0 / 0 / 0 Регистрация: 19.12.2015 Сообщений: 7
	19.12.2015, 17:59 [ТС]	3
	Пытаюсь выполнить скрипт в АВЗ, но выдает ошибку : "BEGIN" expected в позиции 1:1.Что делать? Подскажите пожалуйста. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	19.12.2015, 18:08	4
	Не копируйте порядковые номера строк в скрипте. 1

@huseynoval 0 / 0 / 0 Регистрация: 19.12.2015 Сообщений: 7
	19.12.2015, 21:22 [ТС]	5
	Спасибо. Но теперь я не могу найти файл quarantine.zip, в папке его нет. Как быть? 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	20.12.2015, 08:51	6
	Сообщение от shestale После перезагрузки, выполните такой скрипт: Вы его выполняли? Если - ДА, то возможно в карантин ни чего не попало. Тогда выполняйте дальше. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	20.12.2015, 15:21	8
	1. Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. 2. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	21.12.2015, 07:43	10
	Зачистим остатки: Подготовьте логи Farbar Recovery Scan Tool 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	29.12.2015, 08:35	14
	Выполните рекомендации после удаления вредоносного ПО 0