Перейти к содержанию

вирус изменил стартовую страницу в браузерах


sneguro4ka

Рекомендуемые сообщения

Здравствуйте,

после посещения вирусного сайта в интернете у меня во всех браузерах сменилась стартовая страница на вот эту istart.webssearches.com и самостоятельно у меня не получается это изменить. еще установилась какая-то программа SupHPUIWindow в которой предлагается установить homepage

помогите пожалуйста от этого избавиться

 

Строгое предупреждение от модератора Roman_Five
автокарантин удалён!

info.txt

log.txt

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Деинсталлируйте:
 

DebugBar v5.4.1 for Internet Explorer (remove only)-->"C:\Program Files\Core Services\DebugBar\uninstall.exe"
McAfee Security Scan Plus-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
 TerminateProcessByName('c:\program files\suptab\hpui.exe');
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('IePluginServices', 4);
 StopService('WindowsMangerProtect');
 StopService('IePluginServices');
 QuarantineFile('C:\Program Files\suptab\dpinterface32.dll','');
 QuarantineFile('C:\Program Files\suptab\search~2.dll','');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
 QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
 QuarantineFile('c:\program files\suptab\hpui.exe','');
 DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
 DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\Tasks\DigitalSite.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Dealply','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
 DeleteFile('C:\Windows\system32\Tasks\DigitalSite','32');
 DeleteFile('C:\Windows\system32\Tasks\{1D3C2D35-DD09-4BD0-870C-271298D96853}','32');
 DeleteFile('C:\Program Files\suptab\search~2.dll','32');
 DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32');
 DeleteFile('C:\Program Files\suptab\hpui.exe','32');
 DeleteService('WindowsMangerProtect');
 DeleteService('IePluginServices');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
 
 
Сделайте новые логи Автологгером. 
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

KLAN-2330761809

 

dpinterface32.dll,
hpui.exe,
pluginservice.exe,
protectwindowsmanager.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

search~2.dll - not-a-virus:AdWare.Win64.Agent.h

Это файл от рекламной системы. Детектирование файла будет добавлено в   следующее обновление расширенного набора баз.

 

 

CollectionLog-2014.12.08-16.07.zip

AdwCleanerR1.txt

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

 


  1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

Распакуйте архив с утилитой в отдельную папку

Запустите FixerBro

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
Да


В главном окне программы нажмите на кнопку "Проверить"

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

По окончанию сканирования нажмите на кнопку "Отчет".

Сохраните лог утилиты

Прикрепите сохраненный отчет в вашей теме.


 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

проблема решилась : в Firefox, Google Chrome и IE вирусные стартовые страницы больше не появляются; все хорошо,

подозрительная программа тоже исчезла.

 

Большое спасибо!

Ссылка на комментарий
Поделиться на другие сайты

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • olegyam
      От olegyam
      Помогите избавиться от всплывающего окна
      логи прилагаю
      CollectionLog-2024.09.29-00.17.zip
    • Ta2i4
      От Ta2i4
      Воспроизвел на браузерах: Yandex Browser 24.10; Google Chrome 121.0.
       
      Шаги для воспроизведения:
       
      1) Открыть страницу "Последние лидеры"
      2) Попробовать покликать по номерам страниц или воспользоваться меню с функционалом перехода к отдельной странице по ее номеру.
      3) Ссылка в адресной строке браузера обновится, но фактически на странице ничего не произойдет - мы останемся на той же странице.
      (переход на нужную страницу произойдет только в том случае, если обновить страницу в браузере / F5)
       

    • Ant666
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • 123343545646
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • John-80
      От John-80
      Добрый день.
      Во время работы, при переходе на некоторые страницы в браузере (яндекс браузер для организаций) происходит переадресация на страницу sweetgain.top
      Проверка машины антивирусом ничего не дает. Собран лог-файл... можете подсказать как удалить лишнее?
      avz_log.txt
×
×
  • Создать...