Появились непонятные начальные страницы в браузерах

kovalsky · 06.01.2016, 01:31

Проверьте, пожалуйста, логи
При загрузке системы озу загружена на 1.2гб, появились непонятные службы, которые нельзя отключить и удалить.
Вот мои логи uvs http://rghost.ru/6BYPXLPyb

safety · 06.01.2016, 05:28

добавьте полный образ автозапуска
http://pchelpforum.ru/showpost.php?p=293738&postcount=2

kovalsky · 06.01.2016, 14:15

http://rghost.ru/6PgbqWWDD

safety · 06.01.2016, 14:51

для начала надо очистить систему от вредоносных программ:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.86.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\МАКСИМ\APPDATA\ROAMING\TSV\TSVR.EXE
addsgn 1ACC709A5583278FF42B5194F4DA5605DAAF68E4CDFAE05D1DD181BCAFF3DD5E671795DC7A718942EBF5AC140A32597139FBE441872D41A7F5FCE00BCFF1D3F8 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\PICEXA\PICEXASVC.EXE
addsgn 1A13AD9A5583338CF42B627DA84B2F5537C0FCF7FBA510CEC1E7CD378017914428C7A558508F6F465B5B849050CDC2AE59DB517D55DAB0AFE58887E514E609A2 8 Win32/ELEX

zoo %SystemDrive%\PROGRAMDATA\RWDMR\WDMAN.EXE
addsgn 1A67B79A5583338CF42BFB3A88434711AEC7F4A00C286A75000AB0B1699B7D39022403BC10D0543D320BC193C3D63DE8F80D9D76DDCB5BC5A602B4AA317335B5 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\WINZIPPER\WINZIPERSVC.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3214273169-2934921437-3888907691-1000\$I2J2ZJ8.EXE
addsgn 1A3DE49A5583338CF42BFB3A889E99702D0F0A829A714A740011B1B0DB9B61C9EA62DA64FE33144FC389949F467C5FA4F4EF007701DAB0A7EB29F9EC908DDC58 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\PICEXA\PICEXA.EXE
addsgn 1A531A9A55834C720BD4C4A50C204C47256260FD89FAF7F4EAC3C5B3E7261B4ECB45AE573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\SFK\SSFK.EXE
delall %SystemDrive%\USERS\2BA0~1\APPDATA\LOCAL\TEMP\D2C0\TEMP\2175698463681435632B.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\WINZIPPER

deldirex %SystemDrive%\PROGRAM FILES\PICEXA

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP:\\WWW.YOURSITES123.COM\?TYPE=SC&TS=1449649018&Z=0126937CC653D548EBEBEB0G8Z0Z0TFQ6Z5TEE5O9G&FROM=IENT07021&UID=HITACHIXHTS547550A9E384_J2150050H87XLCH87XLCX

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+
добавьте новый образ автозапуска

kovalsky · 06.01.2016, 15:05

После выполнения скрипта компьютер вообще не включается, после ползунка windows синий экран смерти на секунду и перезагрузка))
Сейчас выполняется startup repair

kovalsky · 06.01.2016, 15:09

Startup repair пофиксил проблему и комп включился)
Какие действия предпринять?

safety · 06.01.2016, 15:11

какой скрипт выполнили? из сообщения 4 который сейчас размещен?

kovalsky · 06.01.2016, 15:14

нет, Ваше сообщение я увидел позже, скрипт выполнял от пользователя RUS дальше ник не помню, выполнить Ваш?

safety · 06.01.2016, 15:20

да, выполните сейчас новый скрипт из сообщения 4, и потом новый образ автозапуска еще добавьте

kovalsky · 06.01.2016, 15:30

сейчас я не могу запустить программу увс, после анализа автозапуска она автоматически закрывается. Уже скачал ее во второй раз - не помогло.

safety · 06.01.2016, 15:37

пробуйте выполнить этот скрипт из безопасного режима системы

RP55.RP55 · 06.01.2016, 16:01

Запуск PC - безопасный режим.
http://support.kaspersky.ru/general/various/493

kovalsky · 06.01.2016, 16:21

скрипт выполнил, в итоге озу освободилось на 300 мб, но увс по прежнему не запускается и в браузере начальные страницы тоже не изменились.
Выполнил образ автозапуска в безопасном режиме http://rghost.ru/6ckcGvzh2

safety · 06.01.2016, 16:33

возможно, его ELEX-TECH\YAC заблокировал при попытки зачистить из нормального режима.
сейчас напишу скрипт очистки, его тоже выполнить из безопасного режима.

safety · 06.01.2016, 16:36

выполните скрипт из безопасного режима:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.86.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
sreg

delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFESVC.EXE
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNL.SYS
delref %Sys32%\DRIVERS\ISAFEKRNLBOOT.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLMON.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLR3.SYS
delref %Sys32%\DRIVERS\ISAFENETFILTER.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS
delref HTTP://V9.COM/?TYPE=HP&TS=1450689401&FROM=MYCH123&UID=HITACHIXHTS547550A9E384_J2150050H87XLCH87XLCX&Z=808CCAA1E740C40D4A34484G8ZCW7E6Q8B8T9ZBGAC
delref HTTP://WWW.YOURSITES123.COM/WEB/?TYPE=DS&TS=1449649018&Z=0126937CC653D548EBEBEB0G8Z0Z0TFQ6Z5TEE5O9G&FROM=IENT07021&UID=HITACHIXHTS547550A9E384_J2150050H87XLCH87XLCX&Q={SEARCHTERMS}
delref HTTP://YOURSITES123.COM/WEB?TYPE=DS&TS=1450945125&Z=57DAF6D3CB1950CE14B99BFGEZ3W3E3T8ZEWDG4Z4E&FROM=WPM07173&UID=HITACHIXHTS547550A9E384_J2150050H87XLCH87XLCX&Q={SEARCHTERMS}
areg

перезагрузка, пишем о старых и новых проблемах.
----------
пробуем создать новый образ автозапуска из нормального режима.
(если не получится, то еще раз сделайте из безопасного режима)

06.01.2016, 01:31	#1 (ссылка)
kovalsky Новичок Регистрация: 05.03.2011 Сообщений: 28 Репутация: 0	Появились непонятные начальные страницы в браузерах Проверьте, пожалуйста, логи При загрузке системы озу загружена на 1.2гб, появились непонятные службы, которые нельзя отключить и удалить. Вот мои логи uvs http://rghost.ru/6BYPXLPyb

06.01.2016, 16:36	#15 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполните скрипт из безопасного режима: выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.86.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE sreg delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFESVC.EXE delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNL.SYS delref %Sys32%\DRIVERS\ISAFEKRNLBOOT.SYS delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLMON.SYS delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLR3.SYS delref %Sys32%\DRIVERS\ISAFENETFILTER.SYS delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS delref HTTP://V9.COM/?TYPE=HP&TS=1450689401&FROM=MYCH123&UID=HITACHIXHTS547550A9E384_J2150050H87XLCH87XLCX&Z=808CCAA1E740C40D4A34484G8ZCW7E6Q8B8T9ZBGAC delref HTTP://WWW.YOURSITES123.COM/WEB/?TYPE=DS&TS=1449649018&Z=0126937CC653D548EBEBEB0G8Z0Z0TFQ6Z5TEE5O9G&FROM=IENT07021&UID=HITACHIXHTS547550A9E384_J2150050H87XLCH87XLCX&Q={SEARCHTERMS} delref HTTP://YOURSITES123.COM/WEB?TYPE=DS&TS=1450945125&Z=57DAF6D3CB1950CE14B99BFGEZ3W3E3T8ZEWDG4Z4E&FROM=WPM07173&UID=HITACHIXHTS547550A9E384_J2150050H87XLCH87XLCX&Q={SEARCHTERMS} areg перезагрузка, пишем о старых и новых проблемах. ---------- пробуем создать новый образ автозапуска из нормального режима. (если не получится, то еще раз сделайте из безопасного режима)

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Не загружаются страницы в браузерах!	bez_na	Безопасность	7	06.05.2013 21:03
Не загружаются страницы в браузерах!	bez_na	Безопасность	1	04.05.2013 21:20
непонятные баннеры на каждой странице в браузерах	max747	Безопасность	3	01.03.2013 16:32
непонятные баннеры на каждой странице в браузерах	unknownghost	Безопасность	15	01.03.2013 12:04
Не открываются страницы в браузерах	kampa	Безопасность	5	23.06.2012 19:49

06.01.2016, 05:28	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	добавьте полный образ автозапуска http://pchelpforum.ru/showpost.php?p=293738&postcount=2

06.01.2016, 14:15	#3 (ссылка)
kovalsky Новичок Регистрация: 05.03.2011 Сообщений: 28 Репутация: 0	http://rghost.ru/6PgbqWWDD

06.01.2016, 15:05	#5 (ссылка)
kovalsky Новичок Регистрация: 05.03.2011 Сообщений: 28 Репутация: 0	После выполнения скрипта компьютер вообще не включается, после ползунка windows синий экран смерти на секунду и перезагрузка)) Сейчас выполняется startup repair

06.01.2016, 15:09	#6 (ссылка)
kovalsky Новичок Регистрация: 05.03.2011 Сообщений: 28 Репутация: 0	Startup repair пофиксил проблему и комп включился) Какие действия предпринять?

06.01.2016, 15:11	#7 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	какой скрипт выполнили? из сообщения 4 который сейчас размещен?

06.01.2016, 15:14	#8 (ссылка)
kovalsky Новичок Регистрация: 05.03.2011 Сообщений: 28 Репутация: 0	нет, Ваше сообщение я увидел позже, скрипт выполнял от пользователя RUS дальше ник не помню, выполнить Ваш?

06.01.2016, 15:20	#9 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	да, выполните сейчас новый скрипт из сообщения 4, и потом новый образ автозапуска еще добавьте

06.01.2016, 15:30	#10 (ссылка)
kovalsky Новичок Регистрация: 05.03.2011 Сообщений: 28 Репутация: 0	сейчас я не могу запустить программу увс, после анализа автозапуска она автоматически закрывается. Уже скачал ее во второй раз - не помогло.

06.01.2016, 15:37	#11 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	пробуйте выполнить этот скрипт из безопасного режима системы

06.01.2016, 16:01	#12 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Запуск PC - безопасный режим. http://support.kaspersky.ru/general/various/493

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

06.01.2016, 16:21	#13 (ссылка)
kovalsky Новичок Регистрация: 05.03.2011 Сообщений: 28 Репутация: 0	скрипт выполнил, в итоге озу освободилось на 300 мб, но увс по прежнему не запускается и в браузере начальные страницы тоже не изменились. Выполнил образ автозапуска в безопасном режиме http://rghost.ru/6ckcGvzh2

06.01.2016, 16:33	#14 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	возможно, его ELEX-TECH\YAC заблокировал при попытки зачистить из нормального режима. сейчас напишу скрипт очистки, его тоже выполнить из безопасного режима.