Реклама в браузере

[Andriy90]

Я скачал вирус. У меня на компьютере установилось много программ: одноклассники, байду и еще какието китайские программы. Удалил через диспечер но во всех браузерах появилась невыносимая реклама. Помогите

CollectionLog-2014.10.15-01.02.zip

[Roman_Five]

PokerStars и partypoker 

сами ставили?

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
TerminateProcessByName('c:\program files\baidu\bindex.exe');
SetServiceStart('WindowsMangerProtect', 4);
StopService('WindowsMangerProtect');
DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
DeleteFile('C:\Program Files\baidu\BindEx.exe','32');
DeleteFile('C:\Users\BANDIT\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','32');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','32');
DeleteFileMask('C:\Users\BANDIT\AppData\Roaming\Baidu\ ','* ',true ,' ');
DeleteDirectory('C:\Users\BANDIT\AppData\Roaming\Baidu ',' ');
DeleteFileMask('C:\Program Files\Common Files\Baidu\ ',' *',true ,' ');
DeleteDirectory('C:\Program Files\Common Files\Baidu ',' ');
DeleteFileMask(' C:\ProgramData\Baidu\ ','* ',true ,' ');
DeleteDirectory(' C:\ProgramData\Baidu ',' ');
DeleteFileMask(' C:\Program Files\baidu\ ','* ',true ,' ');
DeleteDirectory(' C:\Program Files\baidu ',' ');
DeleteFileMask('c:\programdata\windowsmangerprotect\ ','* ',true ,' ');
DeleteDirectory('c:\programdata\windowsmangerprotect\ ',' ');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
DeleteService('WindowsMangerProtect');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cc18d98d3d3226c572efed8f55602c9c&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cc18d98d3d3226c572efed8f55602c9c&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1409911496&from=cor&uid=WDCXWD3200AAKS-00VYA0_WD-WCARW003460034600&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1409911496&from=cor&uid=WDCXWD3200AAKS-00VYA0_WD-WCARW003460034600&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cc18d98d3d3226c572efed8f55602c9c&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cc18d98d3d3226c572efed8f55602c9c&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O4 - HKCU\..\Run: [baidu] C:\Program Files\baidu\BindEx.exe
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cc18d98d3d3226c572efed8f55602c9c&text=

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

 >>  Protocol prefixes are modified

Сделайте новые логи по правилам.

 

+

приложите лог FixerBro

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647404

 

+

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe
Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1

[Andriy90]

PokerStars и Partypoker я сам установил .

Не нашел этого пункта  >> Protocol prefixes are modified 

Все остальное выполнил

 

CollectionLog-2014.10.15-16.26.zip

FixerBro_20141015.txt

ComboFix.txt

[Roman_Five]

исправьте все ярлыки в FixerBro

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647500

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::
 
File::
c:\windows\system32\drivers\BDEnhanceBoost.sys
 
Driver::
bd0004
bd0001
 
Folder::
c:\program files\baidu
 
Registry::
 
FileLook::
 
DirLook::
 
RegLock::
 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Andriy90]

Сделал

ComboFix.txt

[thyrex]

c:\windows\system32\drivers\BDEnhanceBoost.sys удалите вручную

[Andriy90]

Удалил.

То теперь у меня комп чист от вируса?

[thyrex]

Проблема решена?

[Andriy90]

Да. В браузерах нет уже рекламы. Спасибо за скорость реагирования и решения проблемы!!!

[thyrex]

Удалите ComboFix