sneguro4ka 0 Опубликовано 8 декабря, 2014 Share Опубликовано 8 декабря, 2014 Здравствуйте, после посещения вирусного сайта в интернете у меня во всех браузерах сменилась стартовая страница на вот эту istart.webssearches.com и самостоятельно у меня не получается это изменить. еще установилась какая-то программа SupHPUIWindow в которой предлагается установить homepage помогите пожалуйста от этого избавиться Строгое предупреждение от модератора Roman_Five автокарантин удалён! info.txt log.txt virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 8 декабря, 2014 Share Опубликовано 8 декабря, 2014 переделайте логи по правилам. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Цитата Ссылка на сообщение Поделиться на другие сайты
sneguro4ka 0 Опубликовано 8 декабря, 2014 Автор Share Опубликовано 8 декабря, 2014 переделайте логи по правилам. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Пожалуйста CollectionLog-2014.12.08-13.00.zip CollectionLog-2014.12.08-13.00.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 8 декабря, 2014 Share Опубликовано 8 декабря, 2014 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Деинсталлируйте: DebugBar v5.4.1 for Internet Explorer (remove only)-->"C:\Program Files\Core Services\DebugBar\uninstall.exe" McAfee Security Scan Plus-->"C:\Program Files\McAfee Security Scan\uninstall.exe" Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe'); TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe'); TerminateProcessByName('c:\program files\suptab\hpui.exe'); SetServiceStart('WindowsMangerProtect', 4); SetServiceStart('IePluginServices', 4); StopService('WindowsMangerProtect'); StopService('IePluginServices'); QuarantineFile('C:\Program Files\suptab\dpinterface32.dll',''); QuarantineFile('C:\Program Files\suptab\search~2.dll',''); QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe',''); QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe',''); QuarantineFile('c:\program files\suptab\hpui.exe',''); DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32'); DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','32'); DeleteFile('C:\Windows\Tasks\DigitalSite.job','32'); DeleteFile('C:\Windows\system32\Tasks\Dealply','32'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32'); DeleteFile('C:\Windows\system32\Tasks\DigitalSite','32'); DeleteFile('C:\Windows\system32\Tasks\{1D3C2D35-DD09-4BD0-870C-271298D96853}','32'); DeleteFile('C:\Program Files\suptab\search~2.dll','32'); DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32'); DeleteFile('C:\Program Files\suptab\hpui.exe','32'); DeleteService('WindowsMangerProtect'); DeleteService('IePluginServices'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800 R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
sneguro4ka 0 Опубликовано 8 декабря, 2014 Автор Share Опубликовано 8 декабря, 2014 Полученный ответ сообщите здесь (с указанием номера KLAN) KLAN-2330761809 dpinterface32.dll,hpui.exe,pluginservice.exe,protectwindowsmanager.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.search~2.dll - not-a-virus:AdWare.Win64.Agent.hЭто файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. CollectionLog-2014.12.08-16.07.zip AdwCleanerR1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 8 декабря, 2014 Share Опубликовано 8 декабря, 2014 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите FixerBro Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да В главном окне программы нажмите на кнопку "Проверить" Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt) По окончанию сканирования нажмите на кнопку "Отчет". Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме. Цитата Ссылка на сообщение Поделиться на другие сайты
sneguro4ka 0 Опубликовано 8 декабря, 2014 Автор Share Опубликовано 8 декабря, 2014 отчеты прикрепляю AdwCleanerS0.txt FixerBro_20141208.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 8 декабря, 2014 Share Опубликовано 8 декабря, 2014 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
sneguro4ka 0 Опубликовано 8 декабря, 2014 Автор Share Опубликовано 8 декабря, 2014 Здравствуйте, проблема решилась : в Firefox, Google Chrome и IE вирусные стартовые страницы больше не появляются; все хорошо, подозрительная программа тоже исчезла. Большое спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 9 декабря, 2014 Share Опубликовано 9 декабря, 2014 Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.