Sinitsa 0 Опубликовано 1 апреля, 2014 Share Опубликовано 1 апреля, 2014 Здравствуйте.Компьютер Core i5 3000 - 4Гб, Win7HBx64.С некоторых пор Хром 33.0 начал грузить в начале работу некую рекламную страницу, не всегда хорошего содержания. Видимых установленных программ нет.Логи AVZ и RSIT прикладываем: virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
_Maks__ 370 Опубликовано 1 апреля, 2014 Share Опубликовано 1 апреля, 2014 Скорее всего установили с какой-нибудь программой или при распаковке файла.. Попробуйте изменить страницу вручную. Недавняя запись на эту тему в блоге Лаборатории. Цитата Ссылка на сообщение Поделиться на другие сайты
Sinitsa 0 Опубликовано 1 апреля, 2014 Автор Share Опубликовано 1 апреля, 2014 Скорее всего установили с какой-нибудь программой или при распаковке файла.. Попробуйте изменить страницу вручную. Недавняя запись на эту тему в блоге Лаборатории. Мы это и без Вас знаем. Пробовали — бесполезно. А ссылка битая. 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Pomka. 2 082 Опубликовано 1 апреля, 2014 Share Опубликовано 1 апреля, 2014 (изменено) Скорее всего установили с какой-нибудь программой или при распаковке файла.. Попробуйте изменить страницу вручную. Недавняя запись на эту тему в блоге Лаборатории. Мы это и без Вас знаем. Пробовали — бесполезно. А ссылка битая. прошел по ссылке все работает. Изменено 1 апреля, 2014 пользователем Pomka. 4 Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 286 Опубликовано 1 апреля, 2014 Share Опубликовано 1 апреля, 2014 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
gecsagen 279 Опубликовано 1 апреля, 2014 Share Опубликовано 1 апреля, 2014 Можно AdwCleaner http://www.comss.ru/page.php?id=1309 попробовать(по ссылке можно скачать). Цитата Ссылка на сообщение Поделиться на другие сайты
ACIK 404 Опубликовано 1 апреля, 2014 Share Опубликовано 1 апреля, 2014 Покажите скрин Свойств ярлыка Хрома. P.S. Должно быть типа: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --profile-directory="Profile 1" 2 Цитата Ссылка на сообщение Поделиться на другие сайты
_Maks__ 370 Опубликовано 1 апреля, 2014 Share Опубликовано 1 апреля, 2014 @ACIK, тоже про ярлык хотел написать. Там не должно быть прописано никаких адресов сайтов.. Можно убрать вручную всё, что после .exe" и применить. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Soft 1 505 Опубликовано 1 апреля, 2014 Share Опубликовано 1 апреля, 2014 Всех не смутило, что пользователь пришёл с логами, но не в этот радел 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 1 апреля, 2014 Share Опубликовано 1 апреля, 2014 Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь". 1 Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 1 апреля, 2014 Share Опубликовано 1 апреля, 2014 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url',''); QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url',''); DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32'); DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32'); DeleteFile('C:\Users\UserPC16\AppData\Roaming\Mozilla\Firefox\Profiles\83sgqufc.default\searchplugins\webalta-search.xml','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Пересоздайте ярлыки для браузеров. Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Сделайте лог MBAM. Подробней: http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware.16050/ 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Sinitsa 0 Опубликовано 2 апреля, 2014 Автор Share Опубликовано 2 апреля, 2014 Покажите скрин Свойств ярлыка Хрома. P.S. Должно быть типа: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --profile-directory="Profile 1" Скрин стандартный, но там просто "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" без всяких --profile-directory="Profile 1 Покажите скрин Свойств ярлыка Хрома. P.S. Должно быть типа: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --profile-directory="Profile 1" Скрин стандартный, но там просто "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" без всяких --profile-directory="Profile 1 Речь шла о ярлыки, который был на Р.Столе. Но запускали мы Хром в основном через Панель задач, где свойства Хрома были непонятны. И вот: после выполнения скрипта от mike 1 этот Хром перестал запускаться, ссылаясь на ошибочный url. Что и требовалось доказать. Удалили его с панели задач. Хром запускается без рекламы. Будем работать дальше с HJT... Пересоздайте ярлыки для браузеров. Да, конечно. Отправить карантин через форму не удалось, ибо пишет: Unfortunately, there is a fault on the server. We are very sorry for the inconvenience; our specialists are currently working on the problem and normal service will be resumed shortly. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Пересоздайте ярлыки для браузеров. Пофиксили в HiJackThis все строки, кроме: строки с Mobogenie\DaemonProcess.exe не было, да и в соответствующей папки этого не было, а всё, что было удалили вручную (был один htm-файл) AdwCleanerR1.txt hijackthis.log MBAM запустили, просканировали, нашел 5 чего-то там (Detected), мы давай фиксить, пофиксил, тут же перезагрузилось, не успели записать лог. отчет малбар.txt Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 2 апреля, 2014 Share Опубликовано 2 апреля, 2014 (изменено) Строгое предупреждение от модератора Roman_Five удалено! Сообщение от модератора Roman_Five тему уже в разделе "УВ". Изменено 2 апреля, 2014 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 апреля, 2014 Share Опубликовано 2 апреля, 2014 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". По окончанию сканирования снимите галочки со следующих строк: Folder Found C:\Program Files (x86)\Yandex Folder Found C:\ProgramData\Yandex Folder Found C:\Users\UserPC16\AppData\Local\Yandex Folder Found C:\Users\UserPC16\AppData\LocalLow\Yandex Folder Found C:\Users\UserPC16\AppData\Roaming\Yandex Нажмите кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве. Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. Лог MBAM нужен полного сканирования. Подробней как сделать этот лог описано здесь http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware.16050/ Цитата Ссылка на сообщение Поделиться на другие сайты
Sinitsa 0 Опубликовано 2 апреля, 2014 Автор Share Опубликовано 2 апреля, 2014 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". По окончанию сканирования снимите галочки со следующих строк: Folder Found C:\Program Files (x86)\Yandex Folder Found C:\ProgramData\Yandex Folder Found C:\Users\UserPC16\AppData\Local\Yandex Folder Found C:\Users\UserPC16\AppData\LocalLow\Yandex Folder Found C:\Users\UserPC16\AppData\Roaming\Yandex Нажмите кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве. Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. Лог MBAM нужен полного сканирования. Подробней как сделать этот лог описано здесь http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware.16050/ Спасибо за помощь. К сожалению, сегодня выполнить Ваши рекомендации полностью нет возможности. Продолжим завтра. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.