Зловред stantinko

[regist]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[vil]

Выполнено.

 

PF-2_2018-10-19_15-30-17_v4.1.7z

[regist]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.1 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  ;---------command-block---------
  delref HTTP://TSIFELE.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=ED9DC2A8C6AF5F109412452259F16BF6&UTM_TERM=B597641F1883B543971FD6910DE02D4D&UTM_D=20171006
  delref HTTP://GO.MAIL.RU/DISTIB/EP/?FR=NTG&PRODUCT_ID={178BD76E-62D2-442D-BD33-EA1FB47EBABD}&GP=811037
  delref HTTP://EU.ASK.COM/WEB?Q={SEARCHTERMS}&L=DIS&O=CMNTDF
  delref HTTPS://INLINE.GO.MAIL.RU/HOMEPAGE?INLINE_COMP=HP&INLINE_HP_CNT=11956636
  delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
  delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
  delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\FOLLOWONSEARCH@MOZILLA.COM.XPI
  delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\SHIELD-RECIPE-CLIENT@MOZILLA.ORG.XPI
  delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
  delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
  delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]
  delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
  delref %SystemDrive%\USERS\3671~1\APPDATA\LOCAL\TEMP\{95178C8F-788C-439C-9378-BCF91CE4C99B}\{C3A32068-8AB1-4327-BB16-BED9C6219DC7}\INSTALLHELPER.DLL
  delref {96AF5545-BC30-4E5D-8E36-836D000A1455}\[CLSID]
  delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
  delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
  delref {BC7BE270-8631-40A0-A0CD-0A1584702875}\[CLSID]
  delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
  delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
  delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
  delref {E4625B55-9401-4B40-B5BA-9134A41BFAA0}\[CLSID]
  delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
  delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]
  delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
  delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
  delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
  delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC
  delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
  delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCODCGBPJDPHNCJKENGNFIGOIEMAIAPC%26INSTALLSOURCE%3DONDEMAND%26UC
  delref %SystemDrive%\USERS\ЭКЗАМЕН 9 КЛ. ОГЭ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\Q3J5Q2IB.DEFAULT\EXTENSIONS\VB@YANDEX.RU.XPI
  apply
  regt 37
  restart
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен..

сделайте свежий лог uVS.

[vil]

Выполнил

Проблема осталась. Домашняя страница восстанавливается, только теперь tsifele.ru

PF-2_2018-10-20_09-05-32_v4.1.7z

Изменено 20 октября, 2018 пользователем vil

[regist]

 

 

Домашняя страница восстанавливается, только теперь tsifele.ru

так и до этого у вас она была. На 12kotov.ru вас перенаправляло как раз с tsifele.ru (то есть открывалось tsifele.ru и сразу перенаправляла на котов).

Рассширение "Советник Яндекс.Маркета" (SOVETNIK-YANDEX@YANDEX.RU.XPI) вы сами ставили?

 

выполните скрипт uVS

;uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref HTTP://TSIFELE.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=ED9DC2A8C6AF5F109412452259F16BF6&UTM_TERM=B597641F1883B543971FD6910DE02D4D&UTM_D=20171006
delref HTTP://GO.MAIL.RU/DISTIB/EP/?FR=NTG&PRODUCT_ID=%7B178BD76E-62D2-442D-BD33-EA1FB47EBABD%7D&GP=811037
delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK\HPTUNEUP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP PROTECTTOOLS SECURITY MANAGER\BIN\DPUSERCONSOLE.EXE
delref %SystemDrive%\PROGRAM FILES\HEWLETT-PACKARD\HP PROTECTTOOLS SECURITY MANAGER\BIN\DPEVENTMSG.DLL
delref %SystemDrive%\PROGRAM FILES\HEWLETT-PACKARD\HP PROTECTTOOLS SECURITY MANAGER\BIN\DPEVFMSG.DLL
delref %SystemDrive%\PROGRAM FILES\HEWLETT-PACKARD\HP PROTECTTOOLS SECURITY MANAGER\BIN\DPOTSMSG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK\HPSF.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK\RESOURCES\HPSFMESSENGER\HPSFMSGR.EXE
delref %SystemDrive%\USERS\ЭКЗАМЕН 9 КЛ. ОГЭ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\Q3J5Q2IB.DEFAULT\EXTENSIONS\VB@YANDEX.RU.XPI
apply

restart
 

сделайте свежий образ автозапуска.

[vil]

Рассширение "Советник Яндекс.Маркета" (SOVETNIK-YANDEX@YANDEX.RU.XPI) вы сами ставили?

не знаю.. наверное, нет. лучше удалить

Изменено 20 октября, 2018 пользователем vil

[regist]

 

 

нет

удалите тогда его через управление рассширениями.

[vil]

хорошо

 

 

удалите тогда его через управление рассширениями.

В расширениях советника нет. стоит только адблок

[regist]

Выполните скрипт и свежий лог. Попробую по свежему логу скриптом удалить.

 

стоит только адблок

и вообще у вас там не только адблок, а целая куча рассширений установлена.

Изменено 20 октября, 2018 пользователем regist

[vil]

 

 

целая кучу рассширений установлена.

может тогда все удалить. 

[regist]

Пока

 

 

Выполните скрипт и свежий лог.

и после этого проверьте, что с проблемой.
Про остальное потом подумаем.

[vil]

выполнил

PF-2_2018-10-20_11-55-11_v4.1.7z

[regist]

@vil, у вас две Мозиллы:

Mozilla Firefox 57.0.2 (x86 ru)

Mozilla Firefox 62.0.3 (x86 ru)

и соотсветсвенно похоже два профиля. Предлагаю вам сохранить все нужные вам данные (закладки и что ещё вам нужно), затем удалить обе лисы и поставить начисто.

 

После удаления, рекомендую для надёжности ещё руками удалить следующие папки

C:\USERS\ОКСАНА\APPDATA\ROAMING\MOZILLA\
C:\USERS\ЭКЗАМЕН 9 КЛ. ОГЭ\APPDATA\ROAMING\MOZILLA\
C:\PROGRAM FILES (X86)\MOZILLA FIREFOX\

после этого если останется проблема сделайте свежий лог.

[vil]

Приветствую. Проблема исчезла. Спасибо за помощь. Еще что-нибудь надо делать?

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.