Стартовая страница http://zenigameblinger.org/

Doge · 17.02.2016, 20:10

Здравствуйте!

Наверно уже больше полугода назад ребёнок подцепил стартовую страницу http://zenigameblinger.org/, пытался с ней как-то бороться, но в итоге ничего не помогло (на специализированные форумы не ходил), страница не сильно-то мне мешала, но сегодня в связи с другой проблемой оказался на Вашем форуме, поэтому хотел бы заодно вылечить и эту заразу.

При запуске системы запускается фаерфокс со стартовой страницей http://zenigameblinger.org/, при чём он запускается не сразу, если во время загрузки всех программ с автозапуском (Steam, Skype например) убить процесс firefox.exe в диспетчере задач, то следующий запуск браузера идёт с нормальной стартовой страницей, которую установил я.

У меня Win 7 x64 Ultimate, Firefox 44.0.2.

safety · 17.02.2016, 20:15

добавьте образ автозапуска.
смотрите по ссылке из подписи

Doge · 17.02.2016, 20:27

http://rghost.ru/download/private/7w...17_19-19-24.7z

safety · 17.02.2016, 20:42

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\MSI AFTERBURNER\UNINSTALL.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\THE KMPLAYER\KMPSETUP.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\SOPCAST\UNINST.EXE
chklst
delvir

delref HTTP://ZENIGAMEBLINGER.ORG/

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

delref %SystemDrive%\PROGRAM FILES (X86)\WINZIP SYSTEM UTILITIES SUITE\WINZIPSSCHECKUPDATE.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\WINZIP SYSTEM UTILITIES SUITE\WINZIPSS.EXE

delref 0C:\PROGRAM FILES\I2P\SCRIPTS\I2PPROXY.PAC

deldirex %SystemDrive%\USERS\IGNAT\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\HOME\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://SEARCH.CONDUIT.COM/?GD=&CTID=CT3324790&OCTID=EB_ORIGINAL_CTID&ISID=M5EC7EE11-4D38-4F81-96C0-620F64604E27&SEARCHSOURCE=55&CUI=&UM=5&UP=SP1BBD56A9-D7E9-4524-B538-929958CCF997&SSPV=

delref %SystemDrive%\USERS\IGNAT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\1KQ57ZEB.DEFAULT\EXTENSIONS\HELPER-SIG@SAVEFROM.NET.XPI

delref HTTP://SEARCH.CONDUIT.COM/?GD=&CTID=CT3324790&OCTID=EB_ORIGINAL_CTID&ISID=M5EC7EE11-4D38-4F81-96C0-620F64604E27&SEARCHSOURCE=69&CUI=&SSPV=&LAY=1&UM=5&UP=SP1BBD56A9-D7E9-4524-B538-929958CCF997

delref HTTP://ZENIGAMEBLINGER.ORG

regt 27
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

Doge · 17.02.2016, 21:14

Спасибо, проблема решена.

Во время быстрой проверки MBAM нашёл 165 угроз...
http://rghost.ru/download/private/62...0%B8%D1%8F.txt

RP55.RP55 · 17.02.2016, 21:22

1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

2) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html

Doge · 17.02.2016, 21:28

Цитата:

Сообщение от RP55.RP55

2) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672

В инструкции написано снять галочки с двух пунктов, но там во время старта программы (скачал только что) есть и третий пункт: "Удалить "Tracing" ключи" - снимать эту галочку?

RP55.RP55 · 17.02.2016, 21:47

Создайте\сохраните отчёт - отчёт в тему.

Doge · 17.02.2016, 22:09

Addition.txt: http://rghost.ru/download/private/8w...f/Addition.txt

FRST.txt: http://rghost.ru/download/private/7P...750b4/FRST.txt

Doge · 17.02.2016, 22:11

Цитата:

Сообщение от RP55.RP55

Создайте\сохраните отчёт - отчёт в тему.

Если про отчёт программы АdwСleaner, то вот: http://rghost.ru/download/private/8P...er%5BC1%5D.txt

Галочку "Удалить "Tracing" ключи" на всякий случай снял.

RP55.RP55 · 17.02.2016, 22:30

Перед выполнением дальнейших действий*
* Если хотите сохранить закладки браузера Хром выполните...
https://support.google.com/chrome/answer/96816?hl=ru

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код:

  

Task: {42C16185-ED8F-4401-A329-421C07FBAEA1} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {874A6552-C276-477F-9D95-7FA35A720F6C} - \GameNet -> No File <==== ATTENTION
Task: {9A7C2227-320B-4795-B3E8-FE1118AC56F0} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {DC8560F6-3A19-4CBF-A474-A23F2DE414A2} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
Task: {EC4F58C0-5765-4D96-B710-E05E9DE7FE6F} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Microsoft:bqsYoAyrZjzMBDs4065s
AlternateDataStreams: C:\ProgramData\Microsoft:eAEwrkq1ghuXaTcrwa
AlternateDataStreams: C:\ProgramData\Microsoft:QBDKr7JtvyPRymAPyWvngqz
AlternateDataStreams: C:\Users\IGNAT\Cookies:oJTrdHgauYJi4FfzmshNknvKDs
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:bqsYoAyrZjzMBDs4065s
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:eAEwrkq1ghuXaTcrwa
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:QBDKr7JtvyPRymAPyWvngqz
MSCONFIG\startupreg: amigo => C:\Users\IGNAT\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
MSCONFIG\startupreg: CMD => cmd.exe /c start http://adverttraff.org && exit
MSCONFIG\startupreg: GameCenterMailRu => "C:\Users\IGNAT\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -autostart
MSCONFIG\startupreg: MailRuUpdater => C:\Users\IGNAT\AppData\Local\MailRu\MailRuUpdater.exe
MSCONFIG\startupreg: removeBrowserTabSearchdatamngr => cmd.exe /c RD /S /Q "C:\Program Files (x86)\Browser Tab Search by Ask"
AppInit_DLLs-x32:  => No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2575969489-1904705891-165196895-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.rambler.ru/?utm_source=r57.sub3&utm_medium=distribution&utm_content=e08&utm_campaign=4w17
HKU\S-1-5-21-2575969489-1904705891-165196895-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=openpart
SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = 
SearchScopes: HKLM-x32 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
SearchScopes: HKU\S-1-5-21-2575969489-1904705891-165196895-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
SearchScopes: HKU\S-1-5-21-2575969489-1904705891-165196895-1000 -> {6FFAAA5E-C39C-45DE-922B-532A4B081E4D} URL = hxxp://nova.rambler.ru/search?query={searchTerms}&utm_source=r57.sub3&utm_medium=distribution&utm_content=e09&utm_campaign=4w17
SearchScopes: HKU\S-1-5-21-2575969489-1904705891-165196895-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: mail.ru
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
FF Plugin HKU\S-1-5-21-2575969489-1904705891-165196895-1000: @mail.ru/GameCenter -> C:\Users\IGNAT\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
FF Extension: VKontakte.ru Downloader - C:\Users\IGNAT\AppData\Roaming\Mozilla\Firefox\Profiles\1kq57zeb.default\extensions\vk@sergeykolosov.mp.xpi [2016-01-11]
FF Extension: MEGA - C:\Users\IGNAT\AppData\Roaming\Mozilla\Firefox\Profiles\1kq57zeb.default\Extensions\firefox@mega.co.nz.xpi [2016-02-17]
CHR StartupUrls: Default -> "hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg","hxxp://www.rambler.ru/?utm_source=r57.sub3&utm_medium=distribution&utm_content=e08&utm_campaign=4w17"
EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.

Doge · 17.02.2016, 22:48

http://rghost.ru/download/private/8H...3b8/Fixlog.txt

Система работает нормально

RP55.RP55 · 17.02.2016, 22:51

Хорошо.
Далее согласно традиции:
закрываем уязвимости
Программу AVZ можно скачать здесь: https://yadi.sk/d/03dWbs24mHPRH

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

* Если какое обновление не будет устанавливаться - пропустите.
---------

Рекомендации

Часто в комплекте с основной программой идут дополнения.
При установке ВСЕХ программ нужно включать расширенный режим установки.
И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки )
--
В антивирусе включить обнаружение потенциально нежелательных/опасных программ.
--
Перед установкой программы читать о ней отзывы.
--
По возможности проверять программу здесь: https://www.virustotal.com/
* Если позволяет вес программы.

Doge · 17.02.2016, 22:58

Установил обновления, спасибо!

17.02.2016, 20:10	#1 (ссылка)
Doge Новичок Регистрация: 19.05.2014 Сообщений: 15 Репутация: 0	Стартовая страница http://zenigameblinger.org/ Здравствуйте! Наверно уже больше полугода назад ребёнок подцепил стартовую страницу http://zenigameblinger.org/, пытался с ней как-то бороться, но в итоге ничего не помогло (на специализированные форумы не ходил), страница не сильно-то мне мешала, но сегодня в связи с другой проблемой оказался на Вашем форуме, поэтому хотел бы заодно вылечить и эту заразу. При запуске системы запускается фаерфокс со стартовой страницей http://zenigameblinger.org/, при чём он запускается не сразу, если во время загрузки всех программ с автозапуском (Steam, Skype например) убить процесс firefox.exe в диспетчере задач, то следующий запуск браузера идёт с нормальной стартовой страницей, которую установил я. У меня Win 7 x64 Ultimate, Firefox 44.0.2.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Стартовая страница	erky	Безопасность	1	13.03.2015 14:58
в Google chrome появилась стартовая страница http://isearch.babylon.com	bolik2011	Поисковые системы	8	23.03.2013 19:32
Стартовая страница http://speed2.ru/	MrBulkin	Безопасность	8	25.09.2012 22:16
Стартовая страница в ie8	BobSagget	Интернет и сети	0	30.01.2012 10:32
На всех браузерах появилась стартовая страница http://isearch.babylon.com	remote76	Безопасность	4	03.10.2011 22:56

17.02.2016, 20:15	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	добавьте образ автозапуска. смотрите по ссылке из подписи

17.02.2016, 20:27	#3 (ссылка)
Doge Новичок Регистрация: 19.05.2014 Сообщений: 15 Репутация: 0	http://rghost.ru/download/private/7w...17_19-19-24.7z

17.02.2016, 21:14	#5 (ссылка)
Doge Новичок Регистрация: 19.05.2014 Сообщений: 15 Репутация: 0	Спасибо, проблема решена. Во время быстрой проверки MBAM нашёл 165 угроз... http://rghost.ru/download/private/62...0%B8%D1%8F.txt

17.02.2016, 21:22	#6 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	1) В Malwarebytes - всё найденное удалите. ( поместите в карантин ) 2) Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru и Yandex снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html

17.02.2016, 21:47	#8 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Создайте\сохраните отчёт - отчёт в тему.

17.02.2016, 22:09	#9 (ссылка)
Doge Новичок Регистрация: 19.05.2014 Сообщений: 15 Репутация: 0	Addition.txt: http://rghost.ru/download/private/8w...f/Addition.txt FRST.txt: http://rghost.ru/download/private/7P...750b4/FRST.txt

17.02.2016, 22:48	#12 (ссылка)
Doge Новичок Регистрация: 19.05.2014 Сообщений: 15 Репутация: 0	http://rghost.ru/download/private/8H...3b8/Fixlog.txt Система работает нормально

17.02.2016, 22:51	#13 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Хорошо. Далее согласно традиции: закрываем уязвимости Программу AVZ можно скачать здесь: https://yadi.sk/d/03dWbs24mHPRH Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. * Если какое обновление не будет устанавливаться - пропустите. --------- Рекомендации Часто в комплекте с основной программой идут дополнения. При установке ВСЕХ программ нужно включать расширенный режим установки. И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки ) -- В антивирусе включить обнаружение потенциально нежелательных/опасных программ. -- Перед установкой программы читать о ней отзывы. -- По возможности проверять программу здесь: https://www.virustotal.com/ * Если позволяет вес программы.

17.02.2016, 22:58	#14 (ссылка)
Doge Новичок Регистрация: 19.05.2014 Сообщений: 15 Репутация: 0	Установил обновления, спасибо!

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads