Решена Замена поиска на mail.ru и всплывающие баннеры.

Статус
В этой теме нельзя размещать новые ответы.

Игорь Чех

Новый пользователь
Сообщения
19
Реакции
0
Здравствуйте. После скачивания и запуска файла exe, начали устанавливаться разные программы типа одноклассники, vk, mail и т.д. Я их удалил,но осталась проблема при поиске через гугл все равно запрос открывается через mail.ru и появилось огромное кол-во баннеров, которые не блокируются adblock. Помогите пожалуйста.
 

Вложения

  • CollectionLog-2016.01.06-00.20.zip
    68.1 KB · Просмотры: 2
Я так понял эти файлы тоже могут понадобиться.
 

Вложения

  • Addition.txt
    24.8 KB · Просмотры: 0
  • FRST.txt
    217 KB · Просмотры: 0
  • Shortcut.txt
    50.2 KB · Просмотры: 0
Игорь Чех, приложение Ace Stream Media 3.0.12 сами устанавливали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('netfilter2');
 QuarantineFile('C:\Users\CHEKH\AppData\Local\Steak\{31E5B248-1799-F4EE-78F6-94DB9EEA38B5}\czpjx.dll', '');
 QuarantineFile('C:\Users\CHEKH\AppData\Local\Steak\{31E5B248-1799-F4EE-78F6-94DB9EEA38B5}\Steak.dll', '');
 QuarantineFile('C:\Users\CHEKH\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
 QuarantineFile('C:\Program Files (x86)\4015E747-1451140440-331C-895C-88AE1D768210\hnsn65D7.tmp', '');
 QuarantineFileF('C:\Users\CHEKH\AppData\Roaming\istartpageing\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 QuarantineFileF('C:\Users\CHEKH\AppData\Roaming\MailProducts\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\AnySend\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\Mail.Ru\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\4015E747-1451140440-331C-895C-88AE1D768210\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\Mail.Ru\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 DeleteFile('C:\Program Files (x86)\4015E747-1451140440-331C-895C-88AE1D768210\hnsn65D7.tmp', '32');
 DeleteFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys', '32');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task', '64');
 DeleteFile('C:\Users\CHEKH\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
 DeleteService('swsedrvr_vt_1_10_0_25');
 DeleteService('wucotusy');
 DeleteFileMask('C:\Users\CHEKH\AppData\Roaming\istartpageing', '*', true);
 DeleteFileMask('C:\Users\CHEKH\AppData\Roaming\MailProducts', '*', true);
 DeleteFileMask('C:\Program Files (x86)\AnySend', '*', true);
 DeleteFileMask('C:\Program Files (x86)\Mail.Ru', '*', true);
 DeleteFileMask('C:\Program Files (x86)\4015E747-1451140440-331C-895C-88AE1D768210', '*', true);
 DeleteFileMask('C:\ProgramData\Mail.Ru', '*', true);
 DeleteDirectory('C:\Users\CHEKH\AppData\Roaming\istartpageing');
 DeleteDirectory('C:\Users\CHEKH\AppData\Roaming\MailProducts');
 DeleteDirectory('C:\Program Files (x86)\AnySend');
 DeleteDirectory('C:\Program Files (x86)\Mail.Ru');
 DeleteDirectory('C:\Program Files (x86)\4015E747-1451140440-331C-895C-88AE1D768210');
 DeleteDirectory('C:\ProgramData\Mail.Ru');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=820031
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Ace Stream Media 3.0.12 сам устанавливал.
Вот еще лог после повторной диагностики запустите снова AutoLogger
 

Вложения

  • AdwCleaner[S1].txt
    5.4 KB · Просмотры: 2
  • CollectionLog-2016.01.06-15.41.zip
    69.1 KB · Просмотры: 0
Спасибо помогло. Но только вот стало оперативу грузить, работая только в хроме до 90% и процессор 90-100
 
Игорь Чех, лечение еще не закончено.
Вы карантин отправляли который я просил вас отправить?
- Удалите в AdwCleaner всё кроме папок от Ace Stream- если программами от Ace Stream не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
 
Последнее редактирование:
Да карантин отправлял через форму отправки. Вложил последние отчеты.
 

Вложения

  • Quarantine.log
    279.1 KB · Просмотры: 1
  • AdwCleaner[S2].txt
    888 байт · Просмотры: 1
  • AdwCleaner[C2].txt
    1,002 байт · Просмотры: 2
Игорь Чех, Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Вот отчеты.
 

Вложения

  • Addition.txt
    20.9 KB · Просмотры: 1
  • FRST.txt
    216.2 KB · Просмотры: 1
  • Shortcut.txt
    53 KB · Просмотры: 1
Вот, вроде этот.
прикреплять карантин к сообщению запрещено / regist
 
Последнее редактирование модератором:
Игорь Чех,
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:B755D674
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B755D674
FirewallRules: [TCP Query User{B0FF3B67-D9D3-4B51-893C-33AED6D612CB}C:\users\chekh\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\chekh\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [UDP Query User{BD110280-8351-484A-BC78-E325C04AEBAB}C:\users\chekh\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\chekh\appdata\roaming\acestream\engine\ace_engine.exe
HKU\S-1-5-21-3951187486-3232626147-1358031260-1000\...\Run: [AceStream] => C:\Users\CHEKH\AppData\Roaming\ACEStream\engine\ace_engine.exe
FF HKU\S-1-5-21-3951187486-3232626147-1358031260-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\CHEKH\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
S1 netfilter2; system32\drivers\netfilter2.sys [X]
2015-12-26 17:38 - 2016-01-05 22:13 - 00000000 ____D C:\Users\CHEKH\AppData\Local\Unity
2015-12-26 17:37 - 2016-01-05 22:13 - 00000000 ____D C:\Users\CHEKH\AppData\LocalLow\Unity
2015-12-26 17:36 - 2015-12-26 17:35 - 00333506 _____ (AnySend.com) C:\Users\CHEKH\AppData\Local\nstE471.tmp
2015-12-26 17:32 - 2016-01-05 23:24 - 00000000 ____D C:\netfilter2
2015-12-20 01:42 - 2015-12-20 01:42 - 00000000 ____D C:\Users\CHEKH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ace Stream Media
2015-12-26 17:36 - 2015-12-26 17:35 - 0333506 _____ (AnySend.com) C:\Users\CHEKH\AppData\Local\nstE471.tmp
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

сделайте повторно логи по правилам (которые делали в самом начале)
 
Вот все сделал как сказали.
 

Вложения

  • Fixlog.txt
    3.4 KB · Просмотры: 1
  • CollectionLog-2016.01.07-18.18.zip
    67.9 KB · Просмотры: 2
Игорь Чех,
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
 QuarantineFileF('C:\Users\CHEKH\AppData\Local\Steak\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys', '32');
 DeleteService('netfilter2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Через Панель управления удалите программу Steak.

После выполнения всех действий повторите логи.
 
Через Панель управления удалить программу Steak не получается снимок экрана приложил.
quarantine.zip отправил через форму отправки, размер 1 КБ.
 

Вложения

  • Снимок.PNG
    Снимок.PNG
    11.9 KB · Просмотры: 60
  • CollectionLog-2016.01.07-22.28.zip
    67.3 KB · Просмотры: 1
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('C:\Users\CHEKH\AppData\Local\Steak\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 DeleteFile('C:\Windows\system32\Tasks\Steak','64');
 DeleteFile('C:\Windows\system32\Tasks\Steak2','64');
 DeleteFileMask('C:\Users\CHEKH\AppData\Local\Steak\', '*', true);
DeleteDirectory('C:\Users\CHEKH\AppData\Local\Steak\');
DeleteService('netfilter2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Запустите AVZ выберите Сервис - Поиск данных в реестре, в строку поиска введите steak и нажмите пуск. Сохраните протокол и прикрепите к своему сообщению.
 
quarantine.zip отправил, размер 1 КБ.
 

Вложения

  • Export.txt
    28.2 KB · Просмотры: 8
Игорь Чех, Если поиск в AVZ уже закрыли еще раз выполните его, после окончания выберите все ключи и нажмите ""Удалить отмеченные ключи".
После еще раз соберите логи по правилам.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу