при загрузке Windows 7 автоматически открывается Chrome и сайт stabgames.org

@OLEGNEVALYASHKA · Регистрация: 25.10.2013

Author24 — интернет-сервис помощи студентам

@mike 1 · 25.10.2013, 23:57

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\DAEMON Tools Lite\AdobeFlashPlayerUpdater.exe','Bitdefender: Gen:Variant.Kazy.270235, AVAST: MSIL:Dropper-AAG [Drp], Avira: TR/Dropper.Gen');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\DAEMON Tools Lite\AdobeFlashPlayerUpdater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayer-S-1-2-1298-9822','32');   
 RegKeyParamDel('HKLM','Software\Microsoft\Windows\CurrentVersion\Run','Babakan');     
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);           
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

2. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код

R3 - URLSearchHook: (no name) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Babakan] cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131017 (exit) else (start http://dinoklafbzor.org && exit)

4. В покер играете?

5. Ваш провайдер?

IP: 91.196.148.3
Город: Боярка
Страна: Украина
Провайдер: Maximum-Net LLC

6.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

7. Подготовьте новый комплект логов согласно правилам раздела.

8. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

9. В качестве диспетчера задач у вас C:\PROGRAM FILES\SYSINTERNALS\PROCEXP.EXE используется?

@OLEGNEVALYASHKA · 26.10.2013, 01:58 **[ТС]**

1. сделал.
2. скинул с помощью данной формы.
3. пофиксил.
4. в покер не играю.
5. провайдер мой.
6. прикрепил к сообщению.
7. прикрепил к сообщению.
8. прикрепил к сообщению.
9. В качестве диспетчера задач используется C:\PROGRAM FILES\SYSINTERNALS\PROCEXP.EXE

@mike 1 · 26.10.2013, 11:50

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
По окончанию сканирования из найденного в AdwCleaner отметьте то, что вам не нужно
Нажмите кнопку "Clean" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2. Подготовьте новый комплект логов согласно правилам раздела.

@OLEGNEVALYASHKA · 26.10.2013, 13:46 **[ТС]**

уже при включении хром сам не открывается)

@mike 1 · 26.10.2013, 14:12

1. Эти изменения в файл Hosts сами вносили?

O1 - Hosts: 255.255.255.255 easyanticheat.se # misleading site
O1 - Hosts: 255.255.255.255 www.easyanticheat.se # misleading site
O1 - Hosts: 255.255.255.255 easyanticheat.com # misleading site
O1 - Hosts: 255.255.255.255 www.easyanticheat.com # misleading site
O1 - Hosts: 255.255.255.255 easyanticheat.info # misleading site
O1 - Hosts: 255.255.255.255 www.easyanticheat.info # misleading site
O1 - Hosts: 255.255.255.255 easyanticheat.org # misleading site
O1 - Hosts: 255.255.255.255 www.easyanticheat.org # misleading site

2. В браузере Internet Explorer тогда можете отключить панель от PokerStars.

@OLEGNEVALYASHKA · 26.10.2013, 14:26 **[ТС]**

1. Нет, это античит для игры, по этому скорее всего оно вносилось само.
2. Хорошо, спасибо.

@mike 1 · 26.10.2013, 14:31

1. Удалите MBAM через установка и удаление программ.

2.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

@OLEGNEVALYASHKA · 26.10.2013, 14:35 **[ТС]**

Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 26.10.2013 13:34:31
Run directory: C:\Users\Администратор\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 6.1
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 30.08.2011 05:14:15
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [48.8 Гб] Занято: [27.8 Гб] Свободно: [21 Гб]
Браузер по умолчанию: C:\Users\Администратор\AppData\Local\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 9.10.9200.16721
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
Загружать автоматически и уведомлять об установке обновлений
Дата установки обновлений: 2013-10-25 19:38:49
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 6.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiSpyware_WMI----------------------
ESET Smart Security 6.0
Windows Defender
-------------AntiVirusFirewallInstall-------------
ESET Smart Security v.6.0.304.6
AVG PC Tuneup 2011
-------------OtherUtilities-----------------------
CCleaner v.3.12
AVG PC Tuneup 2011
-------------Java---------------------------------
Java 7 Update 45 v.7.0.450
Java Auto Updater v.2.1.9.8
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.9.900.117
-------------Browser------------------------------
Mozilla Firefox 9.0.1 (x86 ru) v.9.0.1 Внимание! Скачать обновления
Google Chrome v.30.0.1599.101
-------------RunningProcess-----------------------
C:\Users\Администратор\AppData\Local\Google\Chrome\Application\chrome.exe v.30.0.1599.101
-------------EndLog-------------------------------

@mike 1 · 26.10.2013, 14:39

Контроль учетных записей рекомендуется включить. Установите обновления по ссылкам. Рекомендуется сменить пароли на веб ресурсы.

@OLEGNEVALYASHKA · 26.10.2013, 14:40 **[ТС]**

Спасибо)

@mike 1 · 26.10.2013, 14:42

Рекомендации после удаления вредоносного ПО

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	25.10.2013, 23:57	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! 1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\Администратор\AppData\Roaming\DAEMON Tools Lite\AdobeFlashPlayerUpdater.exe','Bitdefender: Gen:Variant.Kazy.270235, AVAST: MSIL:Dropper-AAG [Drp], Avira: TR/Dropper.Gen'); DeleteFile('C:\Users\Администратор\AppData\Roaming\DAEMON Tools Lite\AdobeFlashPlayerUpdater.exe','32'); DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayer-S-1-2-1298-9822','32'); RegKeyParamDel('HKLM','Software\Microsoft\Windows\CurrentVersion\Run','Babakan'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 2. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. Код R3 - URLSearchHook: (no name) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - (no file) R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [Babakan] cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131017 (exit) else (start http://dinoklafbzor.org && exit) 4. В покер играете? 5. Ваш провайдер? IP: 91.196.148.3 Город: Боярка Страна: Украина Провайдер: Maximum-Net LLC 6. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 7. Подготовьте новый комплект логов согласно правилам раздела. 8. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: Код %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве 9. В качестве диспетчера задач у вас C:\PROGRAM FILES\SYSINTERNALS\PROCEXP.EXE используется? 0

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	26.10.2013, 11:50	4
	1. Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". По окончанию сканирования из найденного в AdwCleaner отметьте то, что вам не нужно Нажмите кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Подготовьте новый комплект логов согласно правилам раздела. 0

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	26.10.2013, 14:12	6
	1. Эти изменения в файл Hosts сами вносили? O1 - Hosts: 255.255.255.255 easyanticheat.se # misleading site O1 - Hosts: 255.255.255.255 www.easyanticheat.se # misleading site O1 - Hosts: 255.255.255.255 easyanticheat.com # misleading site O1 - Hosts: 255.255.255.255 www.easyanticheat.com # misleading site O1 - Hosts: 255.255.255.255 easyanticheat.info # misleading site O1 - Hosts: 255.255.255.255 www.easyanticheat.info # misleading site O1 - Hosts: 255.255.255.255 easyanticheat.org # misleading site O1 - Hosts: 255.255.255.255 www.easyanticheat.org # misleading site 2. В браузере Internet Explorer тогда можете отключить панель от PokerStars. 0

@OLEGNEVALYASHKA 0 / 0 / 0 Регистрация: 25.10.2013 Сообщений: 6
	26.10.2013, 14:26 [ТС]	7
	1. Нет, это античит для игры, по этому скорее всего оно вносилось само. 2. Хорошо, спасибо. 0

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	26.10.2013, 14:31	8
	1. Удалите MBAM через установка и удаление программ. 2. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. Подробнее читайте в этом разделе форума поддержки утилиты. 0

@OLEGNEVALYASHKA 0 / 0 / 0 Регистрация: 25.10.2013 Сообщений: 6
	26.10.2013, 14:35 [ТС]	9
	Security Check by glax24 version 0.2.4.58 rc1 WebSite: www.safezone.cc DateLog: 26.10.2013 13:34:31 Run directory: C:\Users\Администратор\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True FileVersionInet: 6.1 __________________________________________________ Windows 7 (6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419) Дата установки ОС: 30.08.2011 05:14:15 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Системный диск: C:\ ФС: NTFS Емкость: [48.8 Гб] Занято: [27.8 Гб] Свободно: [21 Гб] Браузер по умолчанию: C:\Users\Администратор\AppData\Local\Google\Chrome\Application\chrome.exe -------------Windows------------------------------ Internet Explorer 9.10.9200.16721 Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен Запрос на повышение прав для обычных пользователей отключен Загружать автоматически и уведомлять об установке обновлений Дата установки обновлений: 2013-10-25 19:38:49 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ ESET Smart Security 6.0 Антивирус обновлен -------------Firewall_WMI------------------------- Персональный файервол ESET -------------AntiSpyware_WMI---------------------- ESET Smart Security 6.0 Windows Defender -------------AntiVirusFirewallInstall------------- ESET Smart Security v.6.0.304.6 AVG PC Tuneup 2011 -------------OtherUtilities----------------------- CCleaner v.3.12 AVG PC Tuneup 2011 -------------Java--------------------------------- Java 7 Update 45 v.7.0.450 Java Auto Updater v.2.1.9.8 -------------AdobeProduction---------------------- Adobe Flash Player 11 Plugin v.11.9.900.117 -------------Browser------------------------------ Mozilla Firefox 9.0.1 (x86 ru) v.9.0.1 Внимание! Скачать обновления Google Chrome v.30.0.1599.101 -------------RunningProcess----------------------- C:\Users\Администратор\AppData\Local\Google\Chrome\Application\chrome.exe v.30.0.1599.101 -------------EndLog------------------------------- 0

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	26.10.2013, 14:39	10
	Контроль учетных записей рекомендуется включить. Установите обновления по ссылкам. Рекомендуется сменить пароли на веб ресурсы. 0

@OLEGNEVALYASHKA 0 / 0 / 0 Регистрация: 25.10.2013 Сообщений: 6
	26.10.2013, 14:40 [ТС]	11
	Спасибо) 0

@mike 1 Helper 626 / 207 / 13 Регистрация: 16.03.2013 Сообщений: 688
	26.10.2013, 14:42	12
	Рекомендации после удаления вредоносного ПО 0