вирус изменил стартовую страницу в браузерах

8 декабря, 2014

Здравствуйте,

после посещения вирусного сайта в интернете у меня во всех браузерах сменилась стартовая страница на вот эту istart.webssearches.com и самостоятельно у меня не получается это изменить. еще установилась какая-то программа SupHPUIWindow в которой предлагается установить homepage

помогите пожалуйста от этого избавиться

Строгое предупреждение от модератора Roman_Five

автокарантин удалён!

info.txt

log.txt

virusinfo_syscure.zip

8 декабря, 2014

переделайте логи по правилам.

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

8 декабря, 2014

переделайте логи по правилам.

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Пожалуйста

CollectionLog-2014.12.08-13.00.zip

8 декабря, 2014

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! Деинсталлируйте:

DebugBar v5.4.1 for Internet Explorer (remove only)-->"C:\Program Files\Core Services\DebugBar\uninstall.exe"
McAfee Security Scan Plus-->"C:\Program Files\McAfee Security Scan\uninstall.exe"

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
 TerminateProcessByName('c:\program files\suptab\hpui.exe');
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('IePluginServices', 4);
 StopService('WindowsMangerProtect');
 StopService('IePluginServices');
 QuarantineFile('C:\Program Files\suptab\dpinterface32.dll','');
 QuarantineFile('C:\Program Files\suptab\search~2.dll','');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
 QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
 QuarantineFile('c:\program files\suptab\hpui.exe','');
 DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
 DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\Tasks\DigitalSite.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Dealply','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
 DeleteFile('C:\Windows\system32\Tasks\DigitalSite','32');
 DeleteFile('C:\Windows\system32\Tasks\{1D3C2D35-DD09-4BD0-870C-271298D96853}','32');
 DeleteFile('C:\Program Files\suptab\search~2.dll','32');
 DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32');
 DeleteFile('C:\Program Files\suptab\hpui.exe','32');
 DeleteService('WindowsMangerProtect');
 DeleteService('IePluginServices');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

Сделайте новые логи Автологгером.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

8 декабря, 2014

Полученный ответ сообщите здесь (с указанием номера KLAN)

KLAN-2330761809

dpinterface32.dll,
hpui.exe,
pluginservice.exe,
protectwindowsmanager.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

search~2.dll - not-a-virus:AdWare.Win64.Agent.h

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз.

CollectionLog-2014.12.08-16.07.zip

AdwCleanerR1.txt

8 декабря, 2014

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

Распакуйте архив с утилитой в отдельную папку

Запустите FixerBro

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В главном окне программы нажмите на кнопку "Проверить"

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

По окончанию сканирования нажмите на кнопку "Отчет".

Сохраните лог утилиты

Прикрепите сохраненный отчет в вашей теме.

8 декабря, 2014

отчеты прикрепляю

AdwCleanerS0.txt

FixerBro_20141208.txt

8 декабря, 2014

Что с проблемой?

8 декабря, 2014

Здравствуйте,

проблема решилась : в Firefox, Google Chrome и IE вирусные стартовые страницы больше не появляются; все хорошо,

подозрительная программа тоже исчезла.

Большое спасибо!

9 декабря, 2014

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

вирус изменил стартовую страницу в браузерах

Рекомендуемые сообщения

sneguro4ka

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

sneguro4ka

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

sneguro4ka

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

sneguro4ka

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

sneguro4ka

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum