Как удалить с браузера вирус webssearches (websearches)?

Форум » Помогите! » Как удалить с браузера вирус webssearches (websearches)? » Ответить

Как удалить с браузера вирус webssearches (websearches)?

Gregar84: Скачал программу уже и не помню какую. Установил. Прога оказалась с вирусом (http://istart.webssearches.com/?type=sc&ts=1401462548&from=exp&uid=SAMSUNGXHD501LJ_S0MUJ1DP710085), либо при скачке вирус попал. Удалил программу с ПК и всё что было с ней связанно. Данный вирус действует, как поисковик поумолчанию в браузере, выходит при запуске браузеров. Пытался удалить с браузера так, как написано в интернете, т.е. в настройках браузера удалить расширения этой программы (вируса) и установить поумолчанию поисковик тот, который мне нужен, но результата НЕТ. Браузер у меня Гугл Хром, и Опера на обоих вирус присутствует. Скрин поисковика websearches (вируса) находится здесь http://shot.qip.ru/00pkgx-5Vmk2GtMj/. Помогите пожалуйста! Заранее СПАСИБО!

Ответов - 16, стр: 1 2 All

Admin: Здравствуйте! Начнем с логов

Gregar84: Логи: Файл HOME_2014-05-31_22-42-30.ZIP (размер 841.04 кб ) размещен на rusfolder.com под номером 40863358 и будет доступен по адресу http://rusfolder.com/40863358 до 2014-06-30 23:02:38 Файл hijackthis.log (размер 6.41 кб ) размещен на rusfolder.com под номером 40863359 и будет доступен по адресу http://rusfolder.com/40863359 до 2014-06-30 23:02:38 Файл virusinfo_syscheck.zip (размер 23.86 кб ) размещен на rusfolder.com под номером 40863360 и будет доступен по адресу http://rusfolder.com/40863360 до 2014-06-30 23:02:38 Файл virusinfo_syscure.zip (размер 26.25 кб ) размещен на rusfolder.com под номером 40863361 и будет доступен по адресу http://rusfolder.com/40863361 до 2014-06-30 23:02:38

Admin: Gregar84 Пофиксите в HijackThis эти строки: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1401462548&from=exp&uid=SAMSUNGXHD501LJ_S0MUJ1DP710085 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1401462548&from=exp&uid=SAMSUNGXHD501LJ_S0MUJ1DP710085&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1401462548&from=exp&uid=SAMSUNGXHD501LJ_S0MUJ1DP710085&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1401462548&from=exp&uid=SAMSUNGXHD501LJ_S0MUJ1DP710085 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1401462548&from=exp&uid=SAMSUNGXHD501LJ_S0MUJ1DP710085&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1401462548&from=exp&uid=SAMSUNGXHD501LJ_S0MUJ1DP710085&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1401462548&from=exp&uid=SAMSUNGXHD501LJ_S0MUJ1DP710085 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll Выполните скрипт AVZ: begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Control\Remote Assistance','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe'); DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32'); DeleteFile('C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe','32'); DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job','32'); DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job','32'); DeleteFile('C:\Users\D395~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\PriceMeterUpdater.job','32'); DeleteFile('C:\Users\D395~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\DSite','32'); DeleteFile('C:\Program Files\GoforFiles','32'); DeleteFile('C:\Windows\system32\Tasks\GoforFilesUpdate','32'); DeleteFile('Updater\GFFUpdater.exe','32'); DeleteFile('C:\Windows\system32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore','32'); DeleteFile('C:\Windows\system32\Tasks\pricemeterdownloader','32'); DeleteFile('C:\Users\Игорь\AppData\Local\PriceMeter\pricemeterd.exe','32'); DeleteFile('C:\Windows\system32\Tasks\PriceMeterUpdater','32'); DeleteFile('C:\Windows\system32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA','32'); DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. Сообщите результаты

Gregar84: Если результатом должно было быть исчезновение вируса, то этого не произошло. Так вирус и висит.

Admin: сделайте новые логи

Gregar84: Логи за 01.06.14: Файл virusinfo_syscheck.zip (размер 22.03 кб ) размещен на rusfolder.com под номером 40868827 и будет доступен по адресу http://rusfolder.com/40868827 до 2014-07-01 20:37:09 Файл virusinfo_syscure.zip (размер 22.94 кб ) размещен на rusfolder.com под номером 40868828 и будет доступен по адресу http://rusfolder.com/40868828 до 2014-07-01 20:37:09 Файл hijackthis.log (размер 5.05 кб ) размещен на rusfolder.com под номером 40868829 и будет доступен по адресу http://rusfolder.com/40868829 до 2014-07-01 20:37:09 Файл HOME_2014-06-01_20-32-04.ZIP (размер 839.33 кб ) размещен на rusfolder.com под номером 40868830 и будет доступен по адресу http://rusfolder.com/40868830 до 2014-07-01 20:37:09

Admin: Gregar84 Вы точно запускали HijackThis от имени администратора? Остались непофиксины некоторые строки. Ну и ладно. Тогда попробуем другое. Выполните следующие рекомендации: http://av.3dn.ru/publ/kompjuternaja_bezopasnost/reshenie_problem_postoronnjaja_reklama_na_sajtakh_otkryvajutsja_levye_sajty/4-1-0-56 и сообщите результаты.

Gregar84: Возможно не через админа. Вот через админа: Файл hijackthis.log (размер 6.39 кб ) размещен на rusfolder.com под номером 40869582 и будет доступен по адресу http://rusfolder.com/40869582 до 2014-07-01 23:02:11

Admin: Gregar84 Я про фиксенье от имени админа. Т.е. про запуск программы от админа именно для фиксов. Рекомендации пробовали? (ссылка в предыдущем сообщении). Если не поможет, то следующий шаг: Malwarebytes Anti-Malware Free Сообщите о результатах.

Gregar84: Уфф... Наконц-то! Удалил этот каварный вирус! Конечно нельзя сказать, что вирус погиб благодаря какой-то конкретной программе. Все они находили "мусор". Но заметил конкретный результат для браузера "Опера" (уничтожение данного вируса) профиксив "HijackThis" этот лог R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =. С "Гугл Хром" результатом стало лечение этой программой AdwCleaner (by Xplode). Спасибо огромное администратору! P.S. Не торопистесь нажимать на заветную кнопку "скачать" и "установить". Читайте внимательней, что скачиваете и устанавливаете.

Admin: Gregar84 Можете сделать логи еще раз (только avz и hj). Проверим, что там осталось. И какие в браузере оставили включенными плагины? P.S. Не торопистесь нажимать на заветную кнопку "скачать" и "установить". Читайте внимательней, что скачиваете и устанавливаете. Совет: перед открытием скачанных файлов, заливайте их на https://www.virustotal.com/

Gregar84: Логи: Файл virusinfo_syscheck.zip (размер 22.03 кб ) размещен на rusfolder.com под номером 40910701 и будет доступен по адресу http://rusfolder.com/40910701 до 2014-07-05 14:10:56 Файл virusinfo_syscure.zip (размер 22.17 кб ) размещен на rusfolder.com под номером 40910702 и будет доступен по адресу http://rusfolder.com/40910702 до 2014-07-05 14:10:56 Файл hijackthis.log (размер 4.96 кб ) размещен на rusfolder.com под номером 40910703 и будет доступен по адресу http://rusfolder.com/40910703 до 2014-07-05 14:10:56 В "Опера" ничего не установлено. В "Гугл Хром" - AdBlock, PasswordBox, SiteHeart Notifier, Unicloud Business 365, VkOpt.

Admin: Выполните скрипт AVZ (запускать avz от имени администратора): begin DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32'); DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. Знакома программа Content Downloader 8? Что за программа а папке C:\11\Driver\InstallDriver.exe ? В остальном - порядок.

Gregar84: Скрипт выполнил. Content Downloader 8 - для работы. C:\11\Driver\InstallDriver.exe - даже такого пути не вижу.

Admin: Полезные ссылки: 1) рекомендации; 2) группа ВКонтакте.

Gregar84: Спасибо!

полная версия страницы