Перейти к содержанию

вирус изменил стартовую страницу в браузерах


Рекомендуемые сообщения

Здравствуйте,

после посещения вирусного сайта в интернете у меня во всех браузерах сменилась стартовая страница на вот эту istart.webssearches.com и самостоятельно у меня не получается это изменить. еще установилась какая-то программа SupHPUIWindow в которой предлагается установить homepage

помогите пожалуйста от этого избавиться

 

Строгое предупреждение от модератора Roman_Five
автокарантин удалён!

info.txt

log.txt

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Деинсталлируйте:
 

DebugBar v5.4.1 for Internet Explorer (remove only)-->"C:\Program Files\Core Services\DebugBar\uninstall.exe"
McAfee Security Scan Plus-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
 TerminateProcessByName('c:\program files\suptab\hpui.exe');
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('IePluginServices', 4);
 StopService('WindowsMangerProtect');
 StopService('IePluginServices');
 QuarantineFile('C:\Program Files\suptab\dpinterface32.dll','');
 QuarantineFile('C:\Program Files\suptab\search~2.dll','');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
 QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
 QuarantineFile('c:\program files\suptab\hpui.exe','');
 DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
 DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\Tasks\DigitalSite.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Dealply','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
 DeleteFile('C:\Windows\system32\Tasks\DigitalSite','32');
 DeleteFile('C:\Windows\system32\Tasks\{1D3C2D35-DD09-4BD0-870C-271298D96853}','32');
 DeleteFile('C:\Program Files\suptab\search~2.dll','32');
 DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32');
 DeleteFile('C:\Program Files\suptab\hpui.exe','32');
 DeleteService('WindowsMangerProtect');
 DeleteService('IePluginServices');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1412417584&from=exp&uid=WDCXWD2500BEVS-26UST0_WD-WXE608C8980089800
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
 
 
Сделайте новые логи Автологгером. 
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

KLAN-2330761809

 

dpinterface32.dll,
hpui.exe,
pluginservice.exe,
protectwindowsmanager.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

search~2.dll - not-a-virus:AdWare.Win64.Agent.h

Это файл от рекламной системы. Детектирование файла будет добавлено в   следующее обновление расширенного набора баз.

 

 

CollectionLog-2014.12.08-16.07.zip

AdwCleanerR1.txt

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

 


  1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

Распакуйте архив с утилитой в отдельную папку

Запустите FixerBro

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
Да


В главном окне программы нажмите на кнопку "Проверить"

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

По окончанию сканирования нажмите на кнопку "Отчет".

Сохраните лог утилиты

Прикрепите сохраненный отчет в вашей теме.


 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

проблема решилась : в Firefox, Google Chrome и IE вирусные стартовые страницы больше не появляются; все хорошо,

подозрительная программа тоже исчезла.

 

Большое спасибо!

Ссылка на комментарий
Поделиться на другие сайты

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • moretti
      Автор moretti
      начал замечать что ФПС в играх упал и просто комп стал работать не так как раньше очень насторожило решил проверить антивирусом но скачать не смог так как просто напросто выбрасывало с браузера, далее хотел по простому снести Винду но и тут ничего не вышло. помогитеее
    • NoVirusAvailable
      Автор NoVirusAvailable
      Здравствуйте! Вероятно компьютер требует лечения.
       
      При запуске windows запускается три(!) окна CMD и мигом закрываются. Так происходит несколько месяцев.
       
      Сегодня в браузере начал открываться сайт с рекламой. Заходить на него не пробовал. Начал искать решение на форуме.
       
      Еще у меня подозрение, что на моем компьютере что-то запускается в фоне, так как иногда загрузка процессора достигает 80%, хотя фактически нагрузки нет. В диспетчере задач не нахожу ничего подозрительного.
       
      Система Windows 10 x64
       
      Что сделал:
      Скачал AutoLogger.exe, но с первого (пятого) раза программа не запустилась: "Ошибка при выполнении AV_Z.exe "Скрипт=AV\script2.txt hidden mode=0". Не удается найти указанный файл."
      Поэтому скачал FRST, запустил, получил 3 лога: FRST, addition, shortcut. Вероятно, поторопился, но такие советы также встретил.
       
      Снова начал искать AutoLogger, который запустился и создал файл CollectionLog-2025.01.18-00.36, его и прилагаю.
       
      Какие дальнейшие действия, чтобы вылечить компьютер? Спасибо за советы.
      CollectionLog-2025.01.18-00.36.zip
    • nooky910
      Автор nooky910
      Добрый день. Заметил, что при играх резкая просадка фпс началась. Лечил 2 таблетками, но безуспешно. Бесконечно создается сам. Так же был замечен xmring miner, но таблетка его вроде пыталась удалить. 


       
      CollectionLog-2025.05.24-17.36.zip
    • KL FC Bot
      Автор KL FC Bot
      В апреле, с выходом Google Chrome 136, наконец решена проблема приватности, которая есть во всех крупных браузерах и о которой широко известно с 2002 года. Причем еще 15 лет назад зарегистрирована ее массовая эксплуатация недобросовестными маркетологами. Это угрожающее описание имеет известная и, казалось бы, безобидная функция, элемент удобства: когда вы посетили какой-то сайт, ссылку на него ваш браузер начинает показывать другим цветом.
      «А хотите, я его кликну? Он станет фиолетовым в крапинку…»
      Менять цвет ссылки на посещенные сайты (по умолчанию — с синего на фиолетовый) придумали 32 года назад в браузере NCSA Mosaic, и оттуда эту удобную для пользователя практику заимствовали практически все браузеры девяностых. Затем она вошла и в стандарт стилизации веб-страниц, CSS. По умолчанию такое перекрашивание работает во всех популярных браузерах и сегодня.
      Еще в 2002 году исследователи обратили внимание, что этой системой можно злоупотреблять: на странице можно разместить сотни или тысячи невидимых ссылок и с помощью JavaScript проверять, какие из них браузер раскрашивает, как посещенные. Таким образом, посторонний сайт может частично раскрыть историю веб-браузинга пользователя.
      В 2010 году исследователи обнаружили, что этой технологией пользуются на практике: нашлись крупные сайты, шпионящие за историей веб-браузинга своих посетителей. В их числе были YouPorn, TwinCities и еще 480 популярных на тот момент сайтов. Услугу анализа чужой истории предлагали сервисы Tealium и Beencounter, а против рекламной фирмы interclick, внедрившей эту технологию для аналитики, был подан судебный иск. Суд фирма выиграла, но производители основных браузеров изменили код обработки ссылок, чтобы считывать состояние посещенности ссылок «в лоб» стало невозможно.
      Но развитие веб-технологий создавало новые обходные пути для подглядывания за историей посещений сайтов, хранимой браузером. Исследование 2018 года описало четыре новых способа проверять состояние ссылок, причем к двум из них были уязвимы все протестированные браузеры, кроме Tor Browser, а один из дефектов, CVE-2018-6137, позволял проверять посещенные пользователем сайты со скоростью до 3000 ссылок в секунду. Новые, все более сложные атаки по извлечению истории веб-браузинга, продолжают появляться и сейчас.
       
      View the full article
    • Игорь11
      Автор Игорь11
      Здравствуйте.
      Внезапно появилась проблема с KIS. В первой половине этого (2023) года KIS стал блокировать любые сайти, открываемые с помощью браузеров Яндекс, Атом и Хромиум-ГОСТ.
      В Яндекс-браузере открывается и работает только поиск яндекса. Переход на любой сайт:
      Не удаётся установить соединение с сайтом.
      Соединение сброшено.
      В Атом и Хромиум-ГОСТ блокируется всё.
      Попытка поставить в исключение не помогла.
      Помогает только приостановка защиты KIS.
      Другие браузеры (Edge, Хром, Firefox, Опера) работают без проблем.
      Подскажите, если знаете, в чём тут дело?
      ОС - Виндовс10проф
      KIS 21.3.10.391
      Всё официально и с последними обновлениями.
×
×
  • Создать...