17.02.2016, 20:10 | #1 (ссылка) |
Новичок
Регистрация: 19.05.2014
Сообщений: 15
Репутация: 0
|
Стартовая страница http://zenigameblinger.org/
Здравствуйте!
Наверно уже больше полугода назад ребёнок подцепил стартовую страницу http://zenigameblinger.org/, пытался с ней как-то бороться, но в итоге ничего не помогло (на специализированные форумы не ходил), страница не сильно-то мне мешала, но сегодня в связи с другой проблемой оказался на Вашем форуме, поэтому хотел бы заодно вылечить и эту заразу. При запуске системы запускается фаерфокс со стартовой страницей http://zenigameblinger.org/, при чём он запускается не сразу, если во время загрузки всех программ с автозапуском (Steam, Skype например) убить процесс firefox.exe в диспетчере задач, то следующий запуск браузера идёт с нормальной стартовой страницей, которую установил я. У меня Win 7 x64 Ultimate, Firefox 44.0.2. |
17.02.2016, 20:42 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- hide %SystemDrive%\PROGRAM FILES (X86)\MSI AFTERBURNER\UNINSTALL.EXE hide %SystemDrive%\PROGRAM FILES (X86)\THE KMPLAYER\KMPSETUP.EXE hide %SystemDrive%\PROGRAM FILES (X86)\SOPCAST\UNINST.EXE chklst delvir delref HTTP://ZENIGAMEBLINGER.ORG/ deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX delref %SystemDrive%\PROGRAM FILES (X86)\WINZIP SYSTEM UTILITIES SUITE\WINZIPSSCHECKUPDATE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\WINZIP SYSTEM UTILITIES SUITE\WINZIPSS.EXE delref 0C:\PROGRAM FILES\I2P\SCRIPTS\I2PPROXY.PAC deldirex %SystemDrive%\USERS\IGNAT\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\HOME\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTP://SEARCH.CONDUIT.COM/?GD=&CTID=CT3324790&OCTID=EB_ORIGINAL_CTID&ISID=M5EC7EE11-4D38-4F81-96C0-620F64604E27&SEARCHSOURCE=55&CUI=&UM=5&UP=SP1BBD56A9-D7E9-4524-B538-929958CCF997&SSPV= delref %SystemDrive%\USERS\IGNAT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\1KQ57ZEB.DEFAULT\EXTENSIONS\HELPER-SIG@SAVEFROM.NET.XPI delref HTTP://SEARCH.CONDUIT.COM/?GD=&CTID=CT3324790&OCTID=EB_ORIGINAL_CTID&ISID=M5EC7EE11-4D38-4F81-96C0-620F64604E27&SEARCHSOURCE=69&CUI=&SSPV=&LAY=1&UM=5&UP=SP1BBD56A9-D7E9-4524-B538-929958CCF997 delref HTTP://ZENIGAMEBLINGER.ORG regt 27 ; Time tasks exec C:\ProgramData\TimeTasks\uninstall.exe deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes |
17.02.2016, 21:14 | #5 (ссылка) |
Новичок
Регистрация: 19.05.2014
Сообщений: 15
Репутация: 0
|
Спасибо, проблема решена.
Во время быстрой проверки MBAM нашёл 165 угроз... http://rghost.ru/download/private/62...0%B8%D1%8F.txt |
17.02.2016, 21:22 | #6 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) В Malwarebytes - всё найденное удалите.
( поместите в карантин ) 2) Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru и Yandex снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html |
17.02.2016, 21:28 | #7 (ссылка) | |
Новичок
Регистрация: 19.05.2014
Сообщений: 15
Репутация: 0
|
Цитата:
|
|
17.02.2016, 22:11 | #10 (ссылка) |
Новичок
Регистрация: 19.05.2014
Сообщений: 15
Репутация: 0
|
Если про отчёт программы АdwСleaner, то вот: http://rghost.ru/download/private/8P...er%5BC1%5D.txt
Галочку "Удалить "Tracing" ключи" на всякий случай снял. |
17.02.2016, 22:30 | #11 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Перед выполнением дальнейших действий*
* Если хотите сохранить закладки браузера Хром выполните... https://support.google.com/chrome/answer/96816?hl=ru Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: ... Запустите FRST и нажмите один раз на кнопку Fix и подождите. Код:
Task: {42C16185-ED8F-4401-A329-421C07FBAEA1} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION Task: {874A6552-C276-477F-9D95-7FA35A720F6C} - \GameNet -> No File <==== ATTENTION Task: {9A7C2227-320B-4795-B3E8-FE1118AC56F0} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION Task: {DC8560F6-3A19-4CBF-A474-A23F2DE414A2} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION Task: {EC4F58C0-5765-4D96-B710-E05E9DE7FE6F} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\Microsoft:bqsYoAyrZjzMBDs4065s AlternateDataStreams: C:\ProgramData\Microsoft:eAEwrkq1ghuXaTcrwa AlternateDataStreams: C:\ProgramData\Microsoft:QBDKr7JtvyPRymAPyWvngqz AlternateDataStreams: C:\Users\IGNAT\Cookies:oJTrdHgauYJi4FfzmshNknvKDs AlternateDataStreams: C:\Users\Все пользователи\Microsoft:bqsYoAyrZjzMBDs4065s AlternateDataStreams: C:\Users\Все пользователи\Microsoft:eAEwrkq1ghuXaTcrwa AlternateDataStreams: C:\Users\Все пользователи\Microsoft:QBDKr7JtvyPRymAPyWvngqz MSCONFIG\startupreg: amigo => C:\Users\IGNAT\AppData\Local\Amigo\Application\amigo.exe --no-startup-window MSCONFIG\startupreg: CMD => cmd.exe /c start http://adverttraff.org && exit MSCONFIG\startupreg: GameCenterMailRu => "C:\Users\IGNAT\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -autostart MSCONFIG\startupreg: MailRuUpdater => C:\Users\IGNAT\AppData\Local\MailRu\MailRuUpdater.exe MSCONFIG\startupreg: removeBrowserTabSearchdatamngr => cmd.exe /c RD /S /Q "C:\Program Files (x86)\Browser Tab Search by Ask" AppInit_DLLs-x32: => No File CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-2575969489-1904705891-165196895-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.rambler.ru/?utm_source=r57.sub3&utm_medium=distribution&utm_content=e08&utm_campaign=4w17 HKU\S-1-5-21-2575969489-1904705891-165196895-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=openpart SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKLM-x32 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = SearchScopes: HKU\S-1-5-21-2575969489-1904705891-165196895-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg SearchScopes: HKU\S-1-5-21-2575969489-1904705891-165196895-1000 -> {6FFAAA5E-C39C-45DE-922B-532A4B081E4D} URL = hxxp://nova.rambler.ru/search?query={searchTerms}&utm_source=r57.sub3&utm_medium=distribution&utm_content=e09&utm_campaign=4w17 SearchScopes: HKU\S-1-5-21-2575969489-1904705891-165196895-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg FF SelectedSearchEngine: Поиск@Mail.Ru FF Homepage: mail.ru FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q= FF Plugin HKU\S-1-5-21-2575969489-1904705891-165196895-1000: @mail.ru/GameCenter -> C:\Users\IGNAT\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File] FF Extension: VKontakte.ru Downloader - C:\Users\IGNAT\AppData\Roaming\Mozilla\Firefox\Profiles\1kq57zeb.default\extensions\vk@sergeykolosov.mp.xpi [2016-01-11] FF Extension: MEGA - C:\Users\IGNAT\AppData\Roaming\Mozilla\Firefox\Profiles\1kq57zeb.default\Extensions\firefox@mega.co.nz.xpi [2016-02-17] CHR StartupUrls: Default -> "hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg","hxxp://www.rambler.ru/?utm_source=r57.sub3&utm_medium=distribution&utm_content=e08&utm_campaign=4w17" EmptyTemp: Reboot: Проверяем, как работает система... и Пишем по _общему результату лечения. |
17.02.2016, 22:51 | #13 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Хорошо.
Далее согласно традиции: закрываем уязвимости Программу AVZ можно скачать здесь: https://yadi.sk/d/03dWbs24mHPRH Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. * Если какое обновление не будет устанавливаться - пропустите. --------- Рекомендации Часто в комплекте с основной программой идут дополнения. При установке ВСЕХ программ нужно включать расширенный режим установки. И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки ) -- В антивирусе включить обнаружение потенциально нежелательных/опасных программ. -- Перед установкой программы читать о ней отзывы. -- По возможности проверять программу здесь: https://www.virustotal.com/ * Если позволяет вес программы. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Стартовая страница | erky | Безопасность | 1 | 13.03.2015 14:58 |
в Google chrome появилась стартовая страница http://isearch.babylon.com | bolik2011 | Поисковые системы | 8 | 23.03.2013 19:32 |
Стартовая страница http://speed2.ru/ | MrBulkin | Безопасность | 8 | 25.09.2012 22:16 |
Стартовая страница в ie8 | BobSagget | Интернет и сети | 0 | 30.01.2012 10:32 |
На всех браузерах появилась стартовая страница http://isearch.babylon.com | remote76 | Безопасность | 4 | 03.10.2011 22:56 |