Форум » Помогите! » Как удалить вирус поисковой системы? » Ответить
Как удалить вирус поисковой системы?
Wiki: Здравствуйте, я знаю об этом уже писали, но я не совсем разобралась что к чему и прошу помочь мне удалить с Гугл Хрома вирус webssearches (websearches). Когда открываю новые вкладки, обязательно открывает дополнительные подозрительные сайты. Удалила уже все программы через которые могла занести его, почистила антивирусником комп, пыталась сделать откат компа назад, ничего не вышло. Помогите как избавиться от этого вируса?
Ответов - 16, стр:
1 2 All
Admin: Здравствуйте. Сможете сделать логи?
Wiki: Здравствуйте, вроде все сделала. Только вот я пыталась скачать программу AVZ, но гугл упорно блокировал мои попытки. Другого браузера у меня нет. Я попросила друга и он мне через скайп кинул установку, но обновление без я так и не смогла сделать, выдает ошибку. Пришлось делать без этого. Вот что получилось по указаниям: http://exfile.ru/463257 http://exfile.ru/463256 http://exfile.ru/463254 http://exfile.ru/463255
Admin: Wiki 1) Программу Html5 geolocation provider деинсталлируйте. 2) в файл Hosts сами прописывали текст ниже? fdgbr67gff 76.76.116.123 www.telebank.ru 76.76.116.123 telebank.ru 76.76.116.126 www.alfabank.ru 76.76.116.126 alfabank.ru 76.76.116.126 click.alfabank.ru 76.76.116.124 sbrf.ru 76.76.116.124 www.sbrf.ru 76.76.116.124 www.esk.sbrf.ru 76.76.116.124 esk.sbrf.ru 76.76.116.126 www.click.alfabank.ru 3) Выполните скрипт AVZ: begin SetServiceStart('RDSessMgr', 4); SetAVZGuardStatus(True); SearchRootkit(true, true); TerminateProcessByName('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe'); TerminateProcessByName('c:\program files\hd-v1.9\hd-v1.9-nova.exe'); TerminateProcessByName('c:\program files\hd-v1.9\fdf384c1-776a-4039-be0d-6252ad467382-10.exe'); DeleteFile('c:\program files\hd-v1.9\fdf384c1-776a-4039-be0d-6252ad467382-10.exe','32'); DeleteFile('c:\program files\hd-v1.9\hd-v1.9-nova.exe','32'); DeleteFile('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe','32'); DeleteFile('C:\Program Files\HD-V1.9\HD-V1.9-nova.dll','32'); DeleteFile('C:\Program Files\HD-V1.9\HD-V1.9-codedownloader.exe','32'); DeleteFile('C:\WINDOWS\Tasks\fdf384c1-776a-4039-be0d-6252ad467382-1.job','32'); DeleteFile('C:\Program Files\HD-V1.9\fdf384c1-776a-4039-be0d-6252ad467382-10.exe','32'); DeleteFile('C:\WINDOWS\Tasks\fdf384c1-776a-4039-be0d-6252ad467382-10.job','32'); DeleteFile('C:\Program Files\HD-V1.9\fdf384c1-776a-4039-be0d-6252ad467382-11.exe','32'); DeleteFile('C:\WINDOWS\Tasks\fdf384c1-776a-4039-be0d-6252ad467382-11.job','32'); DeleteFile('C:\Program Files\HD-V1.9\fdf384c1-776a-4039-be0d-6252ad467382-2.exe','32'); DeleteFile('C:\WINDOWS\Tasks\fdf384c1-776a-4039-be0d-6252ad467382-2.job','32'); DeleteFile('C:\Program Files\HD-V1.9\fdf384c1-776a-4039-be0d-6252ad467382-3.exe','32'); DeleteFile('C:\WINDOWS\Tasks\fdf384c1-776a-4039-be0d-6252ad467382-3.job','32'); DeleteFile('C:\Program Files\HD-V1.9\fdf384c1-776a-4039-be0d-6252ad467382-4.exe','32'); DeleteFile('C:\WINDOWS\Tasks\fdf384c1-776a-4039-be0d-6252ad467382-4.job','32'); DeleteFile('C:\Program Files\HD-V1.9\fdf384c1-776a-4039-be0d-6252ad467382-5.exe','32'); DeleteFile('C:\WINDOWS\Tasks\fdf384c1-776a-4039-be0d-6252ad467382-5.job','32'); DeleteFile('C:\Program Files\HD-V1.9\HD-V1.9-novainstaller.exe','32'); DeleteFile('C:\WINDOWS\Tasks\fdf384c1-776a-4039-be0d-6252ad467382-6.job','32'); DeleteFile('C:\Program Files\HD-V1.9\HD-V1.9-nova.exe','32'); DeleteFile('C:\WINDOWS\Tasks\fdf384c1-776a-4039-be0d-6252ad467382-7.job','32'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU',2,2,true); ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(16); ExecuteRepair(20); BC_Activate; RebootWindows(true); DeleteFile('C:\Documents and Settings\All Users\Application','32'); end. 4) Программы от производитля IObit сами устанавливали? Эти "оптимизаторы" - вещь бестолковая, можете смело удалить программы от этого производителя. 5) Выполните скрипт UVS: Скрипт здесь: http://rghost.ru/56866097 6) Пофиксите в hijackthis эти строки: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1405026443&from=amt&uid=SAMSUNGXHD250HJ_S0URJ1CQB00520 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1405026443&from=amt&uid=SAMSUNGXHD250HJ_S0URJ1CQB00520&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1405026443&from=amt&uid=SAMSUNGXHD250HJ_S0URJ1CQB00520&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1405026443&from=amt&uid=SAMSUNGXHD250HJ_S0URJ1CQB00520 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1405026443&from=amt&uid=SAMSUNGXHD250HJ_S0URJ1CQB00520 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1405026443&from=amt&uid=SAMSUNGXHD250HJ_S0URJ1CQB00520&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1405026443&from=amt&uid=SAMSUNGXHD250HJ_S0URJ1CQB00520&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1405026443&from=amt&uid=SAMSUNGXHD250HJ_S0URJ1CQB00520 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\juujve.exe,C:\WINDOWS\system32\orlumxr.exe,C:\WINDOWS\system32\rzjrcpr.exe,C:\WINDOWS\system32\vzjccac.exe,userinit.exe,C:\WINDOWS\system32\msdqvdr.exe O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDrive\vsdrv.exe 7) Внимательно прочитайте и выполните эти рекомендации. 8) Сообщите результаты.
Wiki: 1. Удалила. 2. Нет, я ничего не делала. Понятия даже не имею что за файл. 3. Выполняла, вылезла ошибка, я несколько раз нажала повтор и все прошло успешно. 4. А можете подробней подсказать, какие именно программы от IObit? 5. Выполнила. 6. Сделала, но там были только эти строки: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1405026443&from=amt&uid=SAMSUNGXHD250HJ_S0URJ1CQB00520 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1405026443&from=amt&uid=SAMSUNGXHD250HJ_S0URJ1CQB00520 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\juujve.exe,C:\WINDOWS\system32\orlumxr.exe,C:\WINDOWS\system32\rzjrcpr.exe,C:\WINDOWS\system32\vzjccac.exe,userinit.exe,C:\WINDOWS\system32\msdqvdr.exe O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDrive\vsdrv.exe Остального там не было. 7. Все выполнила. 8. Вирус не ушел:(((((
Admin: Wiki Лечение потребует некоторого времени, ничего страшного. 0. Пофиксите строки: O1 - Hosts: fdgbr67gff O1 - Hosts: 76.76.116.123 www.telebank.ru O1 - Hosts: 76.76.116.123 telebank.ru O1 - Hosts: 76.76.116.126 www.alfabank.ru O1 - Hosts: 76.76.116.126 alfabank.ru O1 - Hosts: 76.76.116.126 click.alfabank.ru O1 - Hosts: 76.76.116.124 sbrf.ru O1 - Hosts: 76.76.116.124 www.sbrf.ru O1 - Hosts: 76.76.116.124 www.esk.sbrf.ru O1 - Hosts: 76.76.116.124 esk.sbrf.ru O1 - Hosts: 76.76.116.126 www.click.alfabank.ru O1 - Hosts: следовать соответствующее имя. 1. Пролечите компьютер с помощью Malwarebytes Anti-Malware Free: http://av.3dn.ru/forum/3-15-1 2. Выложите новые логи AVZ и HJ.
Wiki: 0. Была только первая строчка, O1 - Hosts: fdgbr67gff 1. Пролечила. 2. http://exfile.ru/463354 http://exfile.ru/463355 http://exfile.ru/463356 Вот.
Admin: Пофиксите строку: O15 - Trusted Zone: http://software.kuaiche.com Запустите программу AVZ, Выберите в меню "Файл" -> "Мастер поиска и устранения проблем" -> "Пуск". Поставьте галки на выявленные проблемы, нажмите "Исправить отмеченные проблемы". Затем выполните скрипт AVZ: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. Откроется Блокнот со ссылками на программы, которые следует обновить - выполните обновления. Выложите лог AdwCleaner (by Xplode): http://av.3dn.ru/forum/3-25-1 Выложите лог CheckBrowserLnk: http://av.3dn.ru/forum/3-24-1 Выложите лог MiniToolBox: http://av.3dn.ru/forum/3-19-1 Попробуйте портативную версию браузера Опера: http://www.opera-usb.com/ru/ Проверьте, будут ли проблемы в это версии браузера. Скачанный архив следует сначала разархивировать перед запуском браузера. И перечислите все расширение, которые установлены в проблемном браузере (можете выложить скриншот).
Wiki: Кажется вирус удалился. Точней его удалила программа Malwarebytes Anti-Malware Free. Была такая странность, что когда я заходила в интернет через значок интернета на рабочем столе, то вирус в гугл хроме был. А когда я зашла в гугл хром через корневую папку, вируса там не было, но рекламный сайты открывались и тормозил жестко. Гугл хром был один, так почему он разделился так? А программа удалила вирус, теперь когда захожу через интернет выдает ошибку, рекламные сайты больше не вылезают. Скачала оперу проверила, все в порядке. Вот скрины: http://exfile.ru/463375 http://exfile.ru/463374 ошбика после удаления вируса программой Malwarebytes Anti-Malware Free. http://exfile.ru/463373 в корневой папке гугл хром.
Admin: Wiki а где логи, о которых я писал выше? Выполните все, что я писал в том сообщении.
Wiki: http://exfile.ru/463404 http://exfile.ru/463405 http://exfile.ru/463406 Вот:)
tmp: 1.Программу AdwCleaner запустите заново, Нажмите "Сканировать", подождите, нажмите "Очистить". 2. В свойствах ярлыков: C:\Documents and Settings\UserXP\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Documents and Settings\UserXP\Application Data\Microsoft\Internet Explorer\Quick Launch\Панель запуска приложений Chrome.lnk C:\Documents and Settings\UserXP\Главное меню\Программы\Google Chrome\Google Chrome.lnk C:\Documents and Settings\UserXP\Главное меню\Программы\Google Chrome\Панель запуска приложений Chrome.lnk нужно убрать адрес этого зловредного сайта, который идет после chrome.exe. Если этот пункт выполнить сложно, то полностью удалите браузер Хром (вместе с профилем) и установите заново. Но сначала сохраните адреса сайтов, которые у вас в закладках браузера (если они нужны).
Wiki: 1. Очистила. 2. Да почему же сложно, все просмотрела в свойствах, нигде не было адреса. Я думаю вирус удалился, спасибо вам большое, вы так мне помогли и так все доступно объяснили. Просто огромное спасибо!!!! Рада что есть люди, готовые всегда помочь.
Admin: Wiki пожалуйста. Но перечисленные ярлыки точно не очищены (или вы их очистили?). На примере браузера Оперы и другого сайта (похожая ситуация с другого компьютера): Вот тут и нужно искать ссылку на сайт. Рекомендации после лечения: http://av.3dn.ru/publ/kompjuternaja_bezopasnost/osnovy_antivirusnoj_zashhity_kompjutera/4-1-0-52
Wiki: Нет правда, я все это посмотрела, ярлыки очищены, там ничего не было. Спасибо вам большое:))))))
yurahoma7: В мене така ж була проблема...знайшов на одному із сайті вирішення...скачав програму AdwCleaner і запстив її...все знайшла і видалила з компа...
полная версия страницы