Решена При запуске браузера, происходит переход на сайты

Статус
В этой теме нельзя размещать новые ответы.

fseto

Ветеран
Сообщения
1,438
Реакции
320
При запуске браузера, каждый раз открываются разные сайты (открывается одна вкладка) иногда открывается www_.Вулкан.
Собрал логи, после удаления этих прог:
Код:
HashCheck Shell Extension (x86-32) [2015/09/06 00:52:05]-->regsvr32.exe /u /i /n "C:\Windows\system32\ShellExt\HashCheck.dll"
HashCheck Shell Extension (x86-64) [2015/09/06 00:52:05]-->regsvr32.exe /u /i /n "C:\Windows\system32\ShellExt\HashCheck.dll"
HP Defender [2015/09/23 21:16:55]-->C:\Program Files (x86)\HP Defender\uninstall.exe
Time tasks [2015/09/23 21:31:29]-->"C:\ProgramData\TimeTasks\uninstall.exe"
Unlocker 1.9.0-x64 [2015/09/06 00:52:05]-->C:\Program Files\Unlocker\uninst.exe
Zaxar Games Browser [2015/09/23 21:31:29]-->"C:\Program Files (x86)\Zaxar\uninstall.exe"
ZDServer [20150924]-->"C:\ProgramData\ZDSupport\ZDServ\UninstallZDServ.exe" /uninstall
Элементы Яндекса 8.9 для Internet Explorer [20150905]-->MsiExec.exe /X{F5E5A5C8-479C-4D19-B5D8-175ADB1C80B9}
Составил свой скрипт для лечения, но в целях безопасности не стал проводить лечение. Хотелось бы пролечиться с вашей помощью и за одно, сравню метод лечения с моим вариантом.
 

Вложения

  • CollectionLog-2015.09.24-14.47.zip
    58.7 KB · Просмотры: 6

Vvvyg

Ассоциация VN
Сообщения
223
Реакции
83
Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Выполните скрипт в AVZ:
Код:
begin
DeleteFile('C:\ProgramData\Browsers\browser0.bat', '32');
DeleteFile('C:\ProgramData\Browsers\browser6.bat', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.
Компьютер перезагрузится.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

fseto

Ветеран
Сообщения
1,438
Реакции
320
Готово
 

Вложения

  • ClearLNK-24.09.2015_20-24.log
    7.7 KB · Просмотры: 5
  • AdwCleaner[S1].txt
    2.4 KB · Просмотры: 8

fseto

Ветеран
Сообщения
1,438
Реакции
320
А что постеснялся его выложить?
я подумал, а вдруг не заинтересует)), а так, только рад представить свой вариант..
Здравствуйте.
1. Выполните скрипт в АВЗ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\ProgramData\Browsers\browser0.bat', '');
QuarantineFile('C:\ProgramData\Browsers\browser6.bat', '');
QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
DeleteFile('C:\ProgramData\Browsers\browser0.bat', '32');
DeleteFile('C:\ProgramData\Browsers\browser6.bat', '32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
DeleteDirectory('C:\ProgramData\Browsers');
DeleteDirectory('C:\Program Files (x86)\HP Defender');
DeleteDirectory('C:\Program Files\Unlocker');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(false);
end.
После перезагрузки, выполните следующий скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему.

Как учили, дублируем в хиджаке
2. Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s
O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O4 - HKLM\..\Run: [Timestasks] "C:\Program Files (x86)\Zaxar\timetasks.exe"

3. Перетащите лог Check_Browsers_LNK.log из ...\AutoLogger\AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

4.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
Как-то так..
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,669
И чего тогда стеснялся...нормальное решение.
 

fseto

Ветеран
Сообщения
1,438
Реакции
320
И чего тогда стеснялся...нормальное решение.
:Thank You:
не хотел поперед батьки в пекло лезть)) ©
У Vvvyg'а как-то интересно получается, ключи Zahar'a удаляет через АВЗ, а его файлы, видимо думает удалить через AdwCleaner.
Посмотрим.., сравним, постараемся извлечь выгоду))
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Папка Найдено : C:\Users\Алина\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\yasearch@yandex.ru
    Папка Найдено : C:\Users\Алина\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\vb@yandex.ru
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

fseto

Ветеран
Сообщения
1,438
Реакции
320
Farbar приготовил, а вот по поводу AdwCleaner, не стал пока применять, т.к пользователь использует программу MediaGet.
Жду ваших рекомендаций..
 

Вложения

  • FRST.txt
    54.5 KB · Просмотры: 4
  • Shortcut.txt
    49.6 KB · Просмотры: 2
  • Addition.txt
    26 KB · Просмотры: 2

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3555794144-1787238943-102425960-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2015-09-23 21:31 - 2015-09-24 20:24 - 00000000 ____D C:\Users\Алина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
Folder: C:\Users\Все пользователи\Browsers
Folder: C:\ProgramData\Browsers
Folder: C:\Program Files (x86)\Zaxar
cmd: del /a/f/q "C:\Program Files (x86)\Zaxar"
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

fseto

Ветеран
Сообщения
1,438
Реакции
320
Выполнено
 

Вложения

  • Fixlog.txt
    4.2 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
Содержимое

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
cmd: copy /y "C:\Users\Все пользователи\Browsers\*" C:\FRST\Quarantine
cmd: copy /y "C:\ProgramData\Browsers\*" C:\FRST\Quarantine
cmd: del /a/f/q "C:\Program Files (x86)\Zaxar"
cmd: del /a/f/q "C:\Users\Все пользователи\Browsers"
cmd: del /a/f/q "C:\ProgramData\Browsers"
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Запаковываем в архив папку C:\FRST\Quarantine\ с паролем virus
Полученный архив quarantine.zip отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Последнее редактирование:

fseto

Ветеран
Сообщения
1,438
Реакции
320
Привет, Кирилл.
А эта ссылка правильно ведет?
Запаковываем в архив папку C:\FRST\Quarantine\ с паролем virus
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
[*]Подробнее читайте в этом руководстве.

[/QUOTE]
Готово.
 

Вложения

  • Fixlog.txt
    2.2 KB · Просмотры: 2
  • CollectionLog-2015.10.02-16.37.zip
    57.8 KB · Просмотры: 2
  • SecurityCheck.txt
    8 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
А эта ссылка правильно ведет?
Поправил,жду карантин.

Проблемы есть еще?


Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен


Microsoft Silverlight v.4.0.60831.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.9 v.7.9.103 Внимание! Скачать обновления
^Необязательное обновление.^

Adobe Flash Player 11 ActiveX 64-bit v.11.1.102.55 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin 64-bit v.11.1.102.55 Внимание! Скачать обновления
--------------
MediaGet v.2.01.3399 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------


MBAM можно деинсталлировать.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.
 

fseto

Ветеран
Сообщения
1,438
Реакции
320
Поправил,жду карантин.
карантин уже отправлял,сюда:
quarantine <at> safezone.cc
MBAM можно деинсталлировать.
лишние проги удалил.
Проблемы есть еще?
Проблем нет. Они пропали после первого и единственного сообщ. Vvvyg., который почему-то потом пропал.
Тему можно закрывать.
Спасибо.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу